Sponsorlu Adsterra — Trafiğinizi Paraya Çevirin — 35.000+ yayıncının güvendiği üst düzey bir reklam ağına katılın. Akıllı CPM, reklam engelleme önleme, hızlı ödemeler.
Bilgi bankasına dön

Tek Kullanımlık E-posta ile Kimlik Avından Nasıl Korunursunuz

Kimlik avı saldırıları, kötü amaçlı e-postaların insanların gerçekten kontrol ettiği gelen kutularına ulaşması sayesinde işe yarar. Tek kullanımlık e-posta adresleri, gerçek gelen kutunuzun asla saldırganların sistemlerinde görünmemesini sağlayarak onlar için çıkmaz bir yol oluşturur.

Kimlik Avı Problemi

Gerçek e-posta adresinizle bir web sitesine kaydolduğunuzda:

  1. Bu adres bir veritabanına girer
  2. Site hacklenirse, saldırganlar e-postanızı elde eder
  3. O hizmetten geliyormuş gibi kimlik avı e-postaları gönderirler
  4. Bu hizmeti gerçekten kullandığınız için e-posta meşru görünür
  5. Kötü amaçlı bağlantıya tıklama olasılığınız artar

Temel içgörü: Kimlik avı bağlam sayesinde çalışır. "Adobe parolanızı sıfırlayın" diyen bir e-posta yalnızca gerçekten Adobe kullanıyorsanız işe yarar. Saldırganların inandırıcı bir saldırı oluşturabilmesi için e-postanızın doğru veritabanında olması gerekir.

Tek Kullanımlık E-posta Zinciri Nasıl Kırar

Bunun yerine geçici bir adres kullandığınızda:

  1. [email protected] ile bir web sitesine kaydolursunuz
  2. Kaydı tamamlar ve ihtiyacınız olanı alırsınız
  3. 10 dakika sonra adres süresi dolar ve gelen kutusu silinir
  4. Site 3 ay sonra hacklendiğinde, saldırganlar o geçici adresi elde eder
  5. Ona kimlik avı e-postaları gönderirler... ama artık mevcut değil
  6. Saldırı asla size ulaşmaz

Kimlik avı yolunu kopardınız. Gerçek gelen kutunuz o veritabanına asla dokunmaz, dolayısıyla sonraki saldırıları asla almazsınız.

Gerçek Dünya Örneği: Bülten Tuzağı

İlginç bir makale buldunuz ama "Bültenimize kaydolun" duvarının arkasında:

Seçenek 1: Gerçek e-postanızı kullanın

[email protected] → Bülten veritabanı → Site hacklenir →
Saldırganlar [email protected]'a sahte "güvenlik uyarısı" gönderir →
Siteyi tanıdığınız için tıklarsınız → Kimlik bilgisi hırsızlığı

Seçenek 2: Tek kullanımlık e-posta kullanın

[email protected] → Bülten veritabanı → Site hacklenir →
Saldırganlar [email protected]'e e-posta gönderir → Adres haftalar önce süresi doldu →
E-posta geri döner, saldırı başarısız, siz hiç görmezsiniz

Makaleye erişim sağladınız. Bülten gelen kutunuzu asla doldurmaz. Ve hackerlar kaçınılmaz olarak veritabanını ihlal ettiğinde, gerçek adresiniz orada değildir.

Veri İhlali Çığı

E-postanız birden fazla veritabanında olduğunda olan şey:

Tek kullanımlık e-posta olmadan:

  • Yıllar içinde 50 hizmete kayıt
  • 10'u ihlal edilir (araştırmalar her 5 şirketten 1'inin ihlal edildiğini gösterir)
  • E-postanız artık 10 hacker veritabanında mevcut
  • Saldırganlar profil oluşturmak için bunları çapraz referanslar
  • "Bu kişi Adobe, Netflix ve LinkedIn kullanıyor. Netflix temalı sahte bir Adobe faturası ve LinkedIn takip bağlantısı gönderelim."

Güvenilmeyen siteler için tek kullanımlık e-posta ile:

  • 50 hizmete kayıt
  • Kritik 5'i için gerçek e-posta (banka, e-posta sağlayıcı, parola yöneticisi)
  • Diğer 45'i için tek kullanımlık
  • İhlaller olduğunda saldırganlar süresi dolmuş adresleri elde eder
  • Gerçek e-postanız yalnızca 5 veritabanında görünür (güvendiğiniz olanlar)
  • Saldırı yüzeyi %90 azaltılmış

Mesele Kompartmantalizasyon

Kimlik avı sosyal mühendislik yoluyla başarılı olur — e-postanın meşru olduğuna inanmanızı sağlayarak. Saldırganlar bunu şöyle yapar:

  • Gerçekten kullandığınız hizmetlerin logolarını ve markalamasını kullanarak
  • Yakın zamanlı aktiviteye atıfta bulunarak ("Son siparişiniz...")
  • Aciliyet yaratarak ("Hesabınız kilitlenecek!")

Bunu ancak hangi hizmetleri kullandığınızı bilirlerse yapabilirler.

Tek kullanımlık e-posta kullanarak, saldırganların bu profili asla oluşturmamasını sağlarsınız. E-posta adresiniz Instagram'ın veritabanında hiç olmadıysa ikna edici bir "Instagram parolanızı sıfırlayın" e-postası gönderemezler.

İkincil Fayda: Spam İzolasyonu

Kimlik avı tek tehdit değildir. Tek kullanımlık adresler ayrıca şunları önler:

  • Pazarlama listesi satışı: Siteler e-postanızı reklamcılara satar. Geçici bir adresle, satmadan önce kaybolursunuz.
  • Bülten yorgunluğu: Bir makale istediniz, haftada 3 e-posta sonsuza kadar değil.
  • Bot taraması: Otomatik botlar forumlardan ve yorum bölümlerinden e-posta toplar. Zaten ölü olan geçici bir adres kullanın.

Tek Kullanımlık E-postanın Korumadığı Durumlar

Sınırlamalar hakkında dürüst olalım:

  • Gerçek e-postanızla eriştiğiniz hizmetlere doğrudan saldırılar — Hackerlar bankanızı (gerçek e-postanızı kullandığınız yer) ele geçirirse yine de size ulaşırlar. Tek kullanımlık e-posta yalnızca güvenilmeyen siteler için yardımcı olur.
  • Sosyal medya kimlik avı — Saldırganlar sizi LinkedIn'de bulup orada DM gönderirse, tek kullanımlık e-posta yardımcı olmaz. Bu farklı bir saldırı vektörüdür.
  • Kimlik bilgisi tekrar kullanımı — Her yerde aynı parolayı kullanıyorsanız, bir sitenin ihlali diğerlerini de tehlikeye atar. Parola yöneticisi kullanın.

Tek kullanımlık e-posta derinlemesine savunma stratejisinin bir katmanıdır. Şunlarla birleştirin:

  • Her site için benzersiz parolalar (parola yöneticisi aracılığıyla)
  • Kritik hesaplarda iki faktörlü kimlik doğrulama
  • Bağlı uygulamaların düzenli güvenlik denetimleri

Pratik Uygulama

Tek kullanımlık e-posta kullanın:

  • E-posta gerektiren "ücretsiz" bir e-kitap indirirken
  • Biraz ilginizi çeken bir webinara kaydolurken
  • "Ücretsiz hesap oluştur" ile ücretli makalelere erişirken
  • Yeni bir uygulama veya hizmeti test ederken
  • Çekilişlere veya yarışmalara katılırken
  • Tekrar ziyaret etmeyebileceğiniz forumlara katılırken
  • "Buna pek güvenmiyorum..." dediğiniz herhangi bir site

Gerçek e-postanızı (veya takma adınızı) kullanın:

  • Bankacılık ve finansal hizmetler
  • Devlet hizmetleri (vergiler, sağlık, e-devlet)
  • Ana e-posta sağlayıcınız
  • Parola yöneticileri
  • İki faktörlü kimlik doğrulama kurtarma
  • İş veya profesyonel hesaplar
  • Uzun vadeli kullanmak istediğiniz hizmetler (Spotify, Netflix)

Sonuç

Kimlik avı, e-posta adresinizin doğru zamanda doğru veritabanında olmasına bağlıdır. Tek kullanımlık e-posta, gerçek adresinizi tamamen güvenmediğiniz veritabanlarından uzak tutar.

Gerçek e-postanızı hiç vermediğiniz hizmetlerden kimlik avına uğrayamazsınız.

Deneyin: Bir dahaki sefere rastgele bir web sitesi "içeriğin kilidini açmak" için e-postanızı istediğinde tempy.email kullanın. İçeriği alın, sekmeyi kapatın ve unutun. O site gerçek gelen kutunuza asla ulaşamayacak — pazarlama için de, kimlik avı için de, asla.

Güncellendi Şubat 12, 2026