Phishing Saldırılarına Karşı Çalışan Eğitimi: Şablon ve Örnekler
Kurumsal saldırıların %90'ı bir çalışanın phishing tıklamasıyla başlıyor. Teknik savunma ne kadar güçlü olursa olsun, eğitimsiz kullanıcı en zayıf halka. İşte hem eğitici hem ölçülebilir bir farkındalık programı.
Neden Phishing Hâlâ Çalışıyor?
2026'da bile phishing en başarılı saldırı vektörü. Neden? İnsan psikolojisi teknolojiden hızlı değişmiyor — aciliyet, otorite, merak, korku duyguları hâlâ sömürülebilir. AI ile üretilen kişiselleştirilmiş spear phishing e-postaları artık Türkçe dilbilgisi hatasız, hedef kişinin iş pozisyonuna uygun.
Ortalama KOBİ çalışanının phishing tıklama oranı eğitim öncesi %27, 3 ay sistematik eğitim sonrası %4. Teknik savunma aynı kalırken bu %23 düşüş = büyük saldırı yüzeyi azalması.
Eğitim Müfredatı — 2 Saatlik Format
Modül 1 (30 dk): Tehdit landscape. Gerçek saldırı örnekleri (Diyarbakır'daki bir firmanın yaşadığı olay), hangi veri çalınabilir, bireysel ve şirket etkisi. Story-based yaklaşım, slide dump değil.
Modül 2 (40 dk): Phishing imza tanıma. E-posta başlık analizi (From spoofing), URL inceleme (hover + teknikler), ek dosya tipi riskleri, görsel taklit (brand impersonation). Her anlatım sonrası quiz.
Simülasyon: Test ve Ölçüm
Eğitimden 2-4 hafta sonra gerçek bir phishing simülasyonu yapın. Gophish (open-source), KnowBe4 veya SoSafe gibi platformlar kullanabilirsiniz. Her çalışana özel link, tıklayan varsa landing page 'bu bir eğitim simülasyonuydu' diyerek mini kurs başlatır.
Ölçmeler: tıklama oranı, kimlik bilgisi girme oranı, rapor etme oranı (doğru davranış). İlk simülasyon baseline, her çeyrek dönem tekrarlayın. Tıklayanlar için 1:1 kısa eğitim seansı — şamar değil, koçluk.
Yüksek Riskli Roller: Yönetici Phishing (Whaling)
CFO, CEO, İK müdürü, IT yöneticisi gibi yüksek yetkili hesaplar, saldırganların özel hedefi. Whaling — yöneticilere özelleştirilmiş, detaylı OSINT içeren saldırılar. LinkedIn profilinden seyahat planı, toplantı konusu çıkarılır, sahte e-posta o kontekste yazılır.
Bu roller için ek önlemler: zorunlu 2FA + hardware key (YubiKey), büyük finansal işlemler için 2 kişilik onay, e-posta imzalama (DKIM + S/MIME), executive-level quarterly eğitim (45 dk, threat briefing tarzı).
Güvenlik Kültürü: Uzun Vadeli Yaklaşım
Tek seferlik eğitim etkisi 2-3 ayda buharlaşır. Kalıcı değişim için: aylık 5 dakikalık mikro-içerik (video, e-posta), çeyrek dönemlik simülasyon, yıllık tam eğitim, gamification (phishing rapor eden en çok çalışan ödülü), security champion programı (departmanda 1 gönüllü güvenlik elçisi).
VefaSec'te Diyarbakır'daki müşterilerimize yıllık abonelik bazında bu programı sunuyoruz — 4 simülasyon, 12 mikro-içerik, yıllık canlı eğitim, metrik raporlama. Tipik müşteride 6 ay sonunda tıklama oranı %5 altına düşüyor.
Projeniz veya denetim ihtiyacınız için VefaSec'le konuşun.
Diyarbakır merkezli ekibimiz; kurumsal müşterilere uçtan uca yazılım geliştirme, sızma testi ve siber güvenlik danışmanlığı hizmetleri sunar. Keşif görüşmesi ücretsiz, bağlayıcı değil.