Giriş

Virabet adıyla gelen promosyon e‑postaları veya kısa mesajlar (SMS) bazen gerçeğe çok benzeyebilir. Bu yazıda temel amaç; sahte promosyon tespiti için işinize yarayacak, teknik ve pratik kontrol adımlarını paylaşmaktır. İçerik hesap bilgilerinizi ve kişisel verilerinizi korumaya yönelik genel öneriler içerir. Bu yönergeler tüm durumlar için mutlak garanti sağlamaz; şüphe olduğunda resmi kanallardan doğrulama yapın.

Hızlı kontrol listesi (Hemen bakmanız gerekenler)

• Gönderen e‑posta adresinin tam domainine bakın: görüntülenen isim ile gerçek adres uyuşuyor mu?
• E‑postanın veya SMS’in içindeki bağlantıları tıklamadan önce hedef URL’i görüntüleyin veya kopyalayın.
• İçerikte olağanüstü vaatler, aşırı aciliyet vurgusu veya hesap bilgisi/ödeme talebi var mı?
• Mesaj metninde ciddi yazım/çeviri hataları veya marka görsellerinin bozuk kullanımı var mı?
• Kısa mesaj gönderen ID’si veya telefon numarası beklediğinizden farklı mı?
• Promosyonun resmi web sitesinde/uygulamasında aynı kampanya görünüyor mu? Kampanyayı oradan doğrulayın.

E‑posta doğrulama: hangi adımları uygulamalısınız?

E‑posta doğrulama, sahte promosyon tespiti için en etkili ilk kontrollerdendir. Aşağıdaki adımları uygulayın:

1. Gönderen adresini dikkatle inceleyin

Görünen ad çoğu zaman yanıltıcı olabilir. Gerçek gönderen adresine bakın (örneğin [email protected] yerine gerçek e‑posta info@ornek‑benzeri.com olabilir). Alt alan adları veya yazım benzetmeleri (typosquatting) sık kullanılan yöntemlerdir.

2. E‑posta başlıklarını görüntüleyin

E‑posta başlıkları (headers) teknik doğrulama için bilgi verir. "Authentication‑Results", "DKIM‑Signature", "Received" gibi satırlarda yetkilendirme bilgileri bulunur. Bu kayıtların varlığı gönderinin alan adı tarafından yetkilendirilmiş olabileceğine işaret eder; ancak tek başına kesinlik sağlamaz.

3. SPF, DKIM, DMARC kaydı ne anlama gelir?

Bu üç kayıt türü sunucuların e‑posta yetkilendirmesine yardımcı olur. Bir e‑posta bu kontrollerden başarıyla geçiyorsa, gönderenin alan adı adıyla ilişkili olma olasılığı artar. Ancak kötü amaçlı aktörler zaman zaman karmaşık yöntemlerle yanıltıcı iletiler oluşturabilir; bu yüzden diğer kontrolleri de yapın.

4. Bağlantıları kontrol etme

Bilgisayarda bağlantı üzerinde fareyi bekleterek hedef URL’i görebilirsiniz. Mobilde bağlantıya uzun basıp "Bağlantıyı kopyala" ile adresi inceleyin. Kısa linkler (ör. bit.ly) içeriyorsa, güvenilir bir ön izleyiciyle gerçek hedefi kontrol edin veya bağlantıyı kesinlikle tıklamayın; resmi uygulama veya siteyi doğrudan açarak kampanyayı doğrulayın.

SMS kaynak kontrolü

SMS bildirimleri farklı tekniklerle gelir. Aşağıdakileri kontrol edin:

• Gönderen ID’si: kısa kod mu, yerel numara mı, uluslararası numara mı? Beklentinize uygun mu?
• Mesajda kullanılan dil ve yazım: resmi dil kullanımı ve tutarlılık olup olmadığına bakın.
• Mesaj içindeki bağlantılar kısaltılmış mı? Kısaltılmış linkler hedefi gizleyebilir; dikkatli olun.
• SMS, sizi doğrudan kimlik bilgisi veya tek kullanımlık şifre (OTP) paylaşmaya yönlendiriyor mu? Gerçek hizmetler genelde bu bilgileri talep etmez.

Kampanya doğrulama: duyuru gerçek mi?

Bir promosyonun gerçek olup olmadığını kontrol etmek için şu adımları uygulayın:

1. Resmi uygulamayı veya web sitesini açın ve "Promosyonlar" veya "Kampanyalar" sayfasını kontrol edin.
2. Kampanyanın kullanım koşulları, süreleri ve katılım şartlarını inceleyin. Tutarsızlıklar varsa dikkatli olun.
3. Hesabınızın bildirim merkezinden gelen onayları kontrol edin; resmi bildirimler genellikle kullanıcı hesabı içinde de görünür.

Şüpheli bir bildirim aldığınızda yapmanız gereken adımlar

1. Mesajdaki bağlantılara tıklamayın veya ekleri açmayın.
2. Hemen ekran görüntüsü alın ve mesaj içeriğini kaydedin.
3. Resmi uygulama veya siteye doğrudan gidip hesabınızı kontrol edin; oturum açma bilgilerinizi mesajdaki formlarda paylaşmayın.
4. Şüpheli mesajı resmi destek kanallarına iletin. Destek üzerinden doğrulama talep edin.
5. Gerekirse hesabınızın şifresini değiştirin ve iki faktörlü kimlik doğrulama (2FA) açın.
6. Cihazınızda zararlı yazılım şüphesi varsa güncel bir güvenlik taraması yapın veya güvenilir bir araçla kontrol edin.

Gelişmiş kontroller ve araçlar

Teknik olarak daha derin incelemek isterseniz:

• E‑posta başlık analiz araçları ile "Received" izini takip ederek ilk gönderici sunucuyu bulun.
• Alan adı bilgisi (whois) ile kayıt tarihine bakın; yeni kaydedilmiş alanlar daha dikkatli incelenmelidir.
• Güvenlik ve şifre yöneticisi kullanarak tekil ve güçlü parolalar oluşturun.
• Mümkünse uygulama tabanlı doğrulama (TOTP) kullanın; SMS üzerinden gelen doğrulama kodları daha savunmasız olabilir.

Örnek sahte bildirimler (örnek metinler)

"Tebrikler! Hesabınıza büyük bir promosyon eklendi. Ödülü almak için hemen bu [bağlantı] adresine tıklayın."

"Güvenlik nedeniyle hesabınız askıya alındı. Kimliğinizi doğrulamak için kullanıcı adınızı ve şifrenizi girin."

Bu tür ifadeler genellikle aciliyet hissi oluşturur. Resmi platformlar hesap bilgilerinizi e‑posta ile talep etmez; doğrulama için hesabınızdan bildirim göndermeyi tercih ederler. Bu kural her platform için farklı olabilir; en güvenlisi resmi destekten teyit almaktır.

Raporlama ve resmi kanallar

Şüpheli bir mesaj aldığınızda:

• İlgili mesajın ekran görüntüsünü alın ve resmi destek sayfasındaki yönergelere göre iletin.
• E‑posta başlık bilgileri paylaşılabiliyorsa destek ekibine gönderin; teknik ekipler bu bilgilerle daha hızlı inceleme yapabilir.
• Ödeme bilgilerinizi paylaştıysanız bankanızla iletişime geçin ve gerekli güvenlik adımlarını atın.

Sonuç

Sahte promosyon tespitinde en etkili yaklaşım birkaç basit alışkanlığı sürekli uygulamaktır: göndereni ve bağlantıları dikkatle kontrol etmek, resmi platformdan kampanyayı doğrulamak, şüpheli durumları resmi kanallara iletmek ve hesap güvenliğinizi güçlendirmektir. Bu yöntemler tek tek kesin koruma sağlamaz; ancak bir arada uygulandıklarında riskleri önemli ölçüde azaltır.

Not: Bu yazı genel bilgilendirme amaçlıdır ve resmi destek, hukuki veya finansal tavsiye yerine geçmez. Şüphe duyduğunuzda doğrudan hesabınızın destek bölümünden doğrulama isteyin.