“Sayın müşterimiz, hesabınızda şüpheli işlem tespit edilmiştir. Hesabınızın askıya alınmaması için lütfen aşağıdaki linkten bilgilerinizi güncelleyin.” — Telefonunuza bu tür bir mesaj geldi ve linke tıkladınız. Ya da “Kargonuz teslim edilemedi, adresi güncellemek için tıklayın” mesajıyla gelen linkte banka bilgilerinizi girdiniz. Şimdi paranız gitmiş. Peki bu tam olarak ne? “Smishing nedir ve buna karşı nasıl korunulur?”
Smishing (SMS + Phishing), siber suçluların tanınmış kurum ve kuruluşları taklit eden sahte kısa mesajlar göndererek kişisel bilgi, banka şifresi veya kart numarası çalmaya çalıştığı bir tür oltalama saldırısıdır. Türkiye’de bu yöntem son yıllarda en yaygın siber dolandırıcılık biçimlerinden biri haline gelmiştir. Hukuki açıdan smishing genellikle TCK m. 158/1-f (nitelikli dolandırıcılık) ve ele geçirilen bilgiler kullanılırsa TCK m. 245 (kart kötüye kullanımı) kapsamında değerlendirilmektedir.
Beluk Partners Hukuk Bürosu olarak hazırladığımız bu rehberde “Sahte banka SMS’ine inandım ve bilgilerimi girdim — şimdi ne yapmalıyım?”, “Bu suçu işleyenlerin cezası nedir?” ve “Smishing’i nasıl fark ederim?” sorularını Yargıtay kararları ve güncel mevzuat çerçevesinde yanıtlıyoruz.
Smishing nedir? Türkiye’de suç sayılır mı?
Smishing; SMS yoluyla gerçekleştirilen oltalama saldırısıdır. Fail sahte SMS ile mağduru kandırarak bilgi veya para elde ederse TCK m. 158/1-f (nitelikli dolandırıcılık) kapsamında 3–10 yıl hapis + menfaatin 2 katı adli para cezasına çarptırılabilir. Kamu kurumu taklidi yapılmışsa TCK m. 158/1-d ile birlikte ceza daha da ağırlaşır.
Smishing Nasıl Çalışır?
Smishing saldırısı belirli bir psikolojik mekanizmaya dayanır: güven, aciliyet ve panik. Saldırganlar, mağdurun düşünmeden hareket etmesini sağlamak için bu üç unsuru ustaca birleştirir. Mesajın güvenilir bir kaynaktan geldiğine inandırılan mağdur, acil eylem gerektirdiğini düşünerek sahte linke tıklar ve bilgilerini girer.
SMS mesajlarına e-postalara kıyasla çok daha fazla güvenilmesi —araştırmalara göre SMS’lerin %98’i okunurken e-postaların yalnızca %20’si okunmaktadır— bu saldırıları özellikle tehlikeli kılmaktadır. Ayrıca mobil cihazlarda link önizlemesi mümkün olmadığından sahte URL’ler kolayca gizlenebilmektedir.
Türkiye’deki En Yaygın Smishing Senaryoları
1. Sahte Banka SMS’i
Gerçek bankaların adını ve görsel kimliğini taklit eden mesajlar gönderilir: “Hesabınızda 3.250 TL tutarında yetkisiz işlem tespit edildi. İşlemi iptal etmek için tıklayın.” Linke tıklayan mağdur, bankanın birebir kopyası olan sahte siteye yönlendirilir ve kart bilgilerini, internet bankacılığı şifresini girer. Giren veriler saniyeler içinde saldırganlara iletilir.
2. Kargo / PTT Dolandırıcılığı
“Kargonuz teslim edilemedi. Teslimat adresinizi güncellemek için küçük bir ödeme yapmanız gerekmektedir” formatındaki mesajlar, özellikle yoğun e-ticaret sezonlarında artış göstermektedir. PTT, Yurtiçi Kargo, MNG gibi kuruluşların isimleri kullanılmaktadır. Türkiye’de en yaygın smishing yöntemlerinden biridir.
3. Sahte Ceza / İcra / Uzlaşma SMS’i
“Adınıza trafik cezası kesilmiştir, son gün için tıklayın” veya “Hakkınızda icra dosyası açılmıştır, uzlaşma için iletişim kurun” formatındaki mesajlar mağduru panikletmeyi hedefler. Hukuki süreç korkusu, kişilerin linke tıklamadan ya da verilen numarayı aramadan önce düşünmesini engeller.
4. e-Devlet ve Kurum Taklidi
“SGK prim borcunuz bulunmaktadır, ödeme için tıklayın” veya “e-Devlet hesabınızda güvenlik sorunu tespit edilmiştir” biçimindeki mesajlar, devlet kurumlarına duyulan güveni istismar eder. Kamu kurumu taklidi TCK m. 158/1-d kapsamında ayrı bir nitelikli hal sayılır ve ceza ağırlaşır.
5. Ödül / Çekiliş Haberi
“Tebrikler! Çekilişimizde 50.000 TL kazandınız. Ödülünüzü almak için lütfen bilgilerinizi girin” mesajları. Genellikle tanınmış süpermarket zincirlerinin, GSM operatörlerinin veya bankaların adı kullanılmaktadır.
Smishing’i Nasıl Fark Edersiniz?
| Uyarı İşareti | Açıklama |
|---|---|
| Kısaltılmış veya şüpheli URL | Gerçek bankalar “bit.ly/xyz” gibi kısaltılmış link kullanmaz. Resmi domain yerine benzer görünen alan adları kullanılır (ornk. garanti-bankas.com). |
| Aciliyet ve panik yaratan dil | “Son gün”, “Hesabınız kapatılacak”, “Derhal işlem yapın” gibi ifadeler sizi düşünmeden hareket etmeye zorlar. |
| Kişisel bilgi talebi | Gerçek bankalar SMS yoluyla kart numarası, CVV veya internet bankacılığı şifresi istemez. |
| Tanımadık numara veya uluslararası kod | Mesajın geldiği numara resmi SMS gönderim adıyla eşleşmiyor ya da yabancı ülke kodu içeriyor. |
| Yazım ve dil bilgisi hataları | Profesyonel kurumlar mesleki kalitede iletişim kurar. Hatalı Türkçe, eksik karakterler, garip cümle yapısı uyarı işaretidir. |
| Gerçek olamayacak kadar iyi teklif | Büyük ödül, bedava hediye veya özel indirim vaadi içeren mesajlara şüpheyle yaklaşın. |
Smishing Kurbanı Olduysanız Ne Yapmalısınız?
1. Linke tıkladıysanız ve bilgi girdiyseniz — derhal kartı ve hesabı bloke ettirin: Bankanızı arayın, tüm şifrelerinizi değiştirin, iki faktörlü kimlik doğrulamayı aktif edin.
2. Para gittiyse bankaya itiraz: Bankaya yetkisiz işlem bildirimi yapın; BDDK şikayet hattını (444 0 476) arayın.
3. Suç duyurusunda bulunun: Cumhuriyet Başsavcılığı’na veya Emniyet Siber Suçlarla Mücadele Birimi’ne başvurun. Sahte SMS’i, banka hareketlerini ve varsa IP bilgilerini delil olarak sunun.
4. BTK bildirimi: BTK’nın 0850 475 0 475 hattını arayarak veya ihbar.gov.tr üzerinden sahte SMS’i bildirin. Bu sayede diğer kişilerin mağdur olması önlenebilir.
Smishing’in Hukuki Boyutu ve Cezaları
Smishing saldırısı gerçekleştiren failler Türk hukukunda birden fazla suç hükmüyle karşılaşabilir:
| Suç | TCK Maddesi | Ceza |
|---|---|---|
| Bilişim sistemi aracıyla nitelikli dolandırıcılık | TCK m. 158/1-f | 3–10 yıl hapis (alt sınır 4 yıl) + menfaatin 2 katı para |
| Kamu kurumu adını kullanarak dolandırıcılık | TCK m. 158/1-d + f | Ceza daha da ağırlaşır |
| Kart bilgileriyle harcama yapılırsa | TCK m. 245/1 | 3–6 yıl hapis + 5.000 gün para |
| Sahte web sitesi kurulmuşsa | TCK m. 243 + 158 | Her iki suçtan ayrı ceza |
| Birden fazla kişiyle organize şekilde yapılırsa | TCK m. 158/3 | Temel ceza ½ veya 1 kat artırılır |
Sık Sorulan Sorular
Sahte banka SMS’ine inandım ve bilgilerimi girdim — şimdi ne yapmalıyım?
Derhal hareket edin. Bankanızı arayarak kartınızı ve internet bankacılığı erişiminizi bloke ettirin. Şifrelerinizi değiştirin. Yetkisiz harcama yapılmışsa itiraz başvurusu açın. Emniyet Siber Suçlarla Mücadele Birimi’ne ya da Cumhuriyet Başsavcılığı’na suç duyurusunda bulunun. Sahte SMS’i, banka hareketlerini ve linki delil olarak saklayın.
SMS’teki linke tıkladım ama bilgi girmedim — tehlike var mı?
Bilgi girmediyseniz dolandırıcılık tamamlanmamıştır. Ancak bazı smishing siteleri linke tıklandığında otomatik olarak cihaza zararlı yazılım indirebilir ya da cihaz bilgilerini toplayabilir. Telefonunuzu güncel tutun, şüpheli uygulamaları kontrol edin ve güvenlik taraması yapın. Para kaybı yaşamadıysanız hukuki başvuru zorunlu değildir; ancak BTK’ya bildirmeniz başkalarının korunmasına katkı sağlar.
Failler tespit edilip cezalandırılabilir mi?
Evet, mümkündür. Savcılık SMS gönderim kaydı, sahte site IP adresi ve banka transferi izleri üzerinden faili tespit edebilir. Organize smishing çeteleri birden fazla ülkede faaliyet gösterebileceğinden uluslararası adli yardımlaşma süreçleri devreye girebilir. Türkiye’de bu alanda aktif soruşturmalar yürütülmekte, özellikle büyük çaplı davalar sonuçlanmaktadır.
Beluk Partners Hukuk Bürosu olarak smishing ve phishing dolandırıcılığının mağdurlarına kapsamlı hukuki destek sunuyoruz. Suç duyurusu hazırlanmasından tazminat davasına, banka itiraz süreçlerinden ceza yargılamasına kadar her aşamada yanınızdayız. Mağdur olduysanız ya da yanlışlıkla bir suça karıştığınızı düşünüyorsanız hızlı hareket etmek kritik önem taşımaktadır.
