TL;DR: SIM swap saldırısında bir saldırgan, operatörünüzü kandırarak telefon numaranızı kendi SIM kartına aktarır. Böylece SMS tabanlı tüm doğrulama kodlarını ele geçirir — banka, kripto borsası ve sosyal medya hesaplarınıza erişebilir. Korunmak için SMS tabanlı 2FA yerine authenticator uygulaması veya donanım güvenlik anahtarı kullanın.
SIM swap saldırısı, son yılların en tehlikeli ve en hızlı yayılan siber tehdidi haline geldi. Türkiye dahil dünya genelinde kripto para sahipleri, iş insanları ve sıradan bireyler bu saldırıdan yoğun zarar görmeye devam ediyor. FBI’ın açıkladığı verilere göre yalnızca 2023 yılında SIM swap kaynaklı finansal kayıplar küresel ölçekte 48 milyon doları aştı; gerçek rakamın bunun çok üzerinde olduğu tahmin ediliyor çünkü vakaların büyük çoğunluğu hiç rapor edilmiyor.
Bu saldırının özellikle sinsi tarafı şu: Fiziksel cihazınıza dokunulmaz. Telefonunuz elinizde, şifreleriniz aynı, bilgisayarınıza kimse girmemiş olabilir. Ama telefon numaranız ele geçirildiğinde tüm dijital hayatınızın kapısı ardına kadar açılır.
Bu rehberde SIM swap’ın mekanizmasını, hangi profillerin risk altında olduğunu, Türkiye’ye özgü tehdit faktörlerini ve hesaplarınızı uzun vadede koruyan kapsamlı bir güvenlik stratejisini ele alıyoruz.
SIM Swap Saldırısı Tam Olarak Nedir?
SIM swap, bir saldırganın telefon operatörünüzü sosyal mühendislik yoluyla ikna ederek numaranızı kendi kontrolündeki bir SIM karta aktarmasıdır. İşlem tamamlandığında siz artık o numaraya erişemezsiniz; tüm aramalar, SMS’ler ve güvenlik kodları saldırganın eline geçer.
Saldırı süreci şu aşamalardan oluşur:
Birinci aşama — Hedef araştırması: Saldırgan önce sizi araştırır. Sosyal medya profillerinden doğum tarihinizi, yaşadığınız şehri, çalıştığınız yeri öğrenir. Sızdırılmış veritabanlarından e-posta, telefon numarası ve TC kimlik numarası gibi kritik bilgileri ele geçirebilir. Phishing saldırılarıyla da bu bilgilere ulaşılabilir. Bu aşama bazen haftalarca sürebilir; saldırgan mümkün olduğunca fazla kişisel bilgi toplamaya çalışır.
İkinci aşama — Operatörü arama: Saldırgan, Turkcell, Vodafone veya Türk Telekom müşteri hizmetlerini arar ve sizmiş gibi konuşur. Topladığı kişisel bilgileri (TC kimlik numarası, doğum tarihi, adres) kimlik doğrulaması için kullanır.
Üçüncü aşama — SIM değişim talebi: “Telefonum çalındı, yeni SIM karta numara aktarımı yapın” veya “SIM kartım bozuldu, değiştirmem gerekiyor” gibi inandırıcı bir senaryo sunar. Operatör çalışanı gerekli bilgilerin doğruluğunu teyit ederse talebi onaylayabilir.
Dördüncü aşama — Devralma: Numara aktarımı tamamlandığında telefonunuz sinyalsiz kalır. Yeni bir çekme alanına girmiş gibi görünür — ancak gerçek neden çok daha tehlikelidir. Bu aşamadan sonra numaranıza gelen her SMS saldırganın cihazına ulaşır.
Beşinci aşama — Zincirleme hesap ele geçirme: Saldırgan şimdi banka OTP’lerini, sosyal medya doğrulama kodlarını ve kripto borsası giriş şifrelerini alabilir. “Şifremi unuttum” seçeneğiyle hesapları sıfırlamaya başlar. Tüm bu süreç bazen 20-30 dakika içinde tamamlanır.
Kim Risk Altında? Hedef Profilleri
SIM swap saldırılarının rastgele gerçekleştiğini düşünmek büyük yanılgıdır. Saldırganlar genellikle yüksek potansiyel getiri sunan profilleri hedef alır:
Kripto para sahipleri ve yatırımcılar: En yüksek risk kategorisi. Kripto borsaları SMS 2FA kullandığında, numara ele geçirilmesi doğrudan portföyün çalınması anlamına gelebilir. Türkiye’de artan kripto kullanımı, ülkemizi bu tür saldırılar için özellikle cazip bir hedef haline getiriyor.
Girişimciler ve iş insanları: Kurumsal e-posta hesapları, iş banka hesapları ve sosyal medya yönetim hesapları hedef alınır. CEO dolandırıcılığı gibi karmaşık saldırılarda SIM swap, saldırı zincirinin ilk halkasını oluşturabilir.
Sosyal medya influencer’ları ve içerik üreticileri: Büyük takipçi kitlesine sahip hesaplar hem satış değeri taşır (bu hesaplar yeraltı pazarlarında milyonlarca dolara satılabiliyor) hem de dolandırıcılık kampanyaları için kullanılabilir.
Gazeteciler ve insan hakları savunucuları: Kaynak gizliliği bu kişiler için hayati önem taşır. Kurumsal hedefli siyasi saldırılarda da SIM swap yöntemi kullanıldığı belgelenmiştir.
Yüksek değerli numara sahipleri: Kısa, prestijli veya hatırlanabilir telefon numaraları çalınmak istenebilir. Bazı numaralar çevrimiçi platformlarda önemli fiyatlara alınıp satılıyor.
Sıradan bireyler: Finansal kazanç amaçlı saldırılar belirli bir profili hedef almaz. Banka hesabı ele geçirebilecek herhangi bir numara potansiyel hedef olabilir.
SIM Swap ile Neler Kaybedilebilir?
Numaran ele geçirildiğinde olası kayıplar hızla domino etkisiyle zincirleme bir felakete dönüşür:
Banka ve finansal hesaplar: Türk bankalarının neredeyse tamamı işlem onayı için SMS OTP kullanır. Garanti, İş Bankası, Yapı Kredi, Akbank, Ziraat, Halkbank — hepsi. Saldırgan, numaranıza gelen SMS’lerle bu hesaplara erişip para transferi yapabilir. Bazı banka soygunlarının saatler içinde gerçekleştiği ve hesapta hiçbir şey kalmadığı vakaları Türkiye’de yaşandığı biliniyor.
Kripto varlıklar: Binance, Coinbase, Kraken ve diğer borsalar SMS 2FA kullandığında durum kritikleşir. Kripto transferlerinin geri döndürülemezliği nedeniyle bu kayıpların telafi edilmesi mümkün değildir.
E-posta hesabı: E-posta, dijital kimliğin merkezidir. Gmail, Outlook veya Yandex gibi servislerde telefon numarası kurtarma seçeneği varsa, numara ele geçirildiğinde e-postaya da erişilebilir. E-postaya erişim ise bağlı olan tüm hesaplar için şifre sıfırlama imkânı demektir.
Sosyal medya hesapları: Instagram, Twitter/X, WhatsApp ve Facebook hesapları SMS aracılığıyla sıfırlanabilir. Büyük takipçi kitlesi olan hesaplar satılabilir veya dolandırıcılık için kullanılabilir. WhatsApp hesabı ele geçirilirse kişilerinize sahte mesajlar atılabilir.
İş ve kurumsal sistemler: Kurumsal e-postaya erişim, VPN bağlantısı veya iş uygulamalarına SMS ile giriş yapılan sistemlerde iş verileri tehlikeye girebilir.
Dijital kimlik zinciri: Telefon → E-posta → Tüm bağlı servisler. Bu zincirleme çöküş birkaç saat içinde tüm dijital varlığınızı yerle bir edebilir.
Korunma Stratejileri: Adım Adım Güvenlik Planı
SIM swap’a karşı tek bir önlem yeterli değildir. Katmanlı bir güvenlik yaklaşımı gerekir.
1. SMS 2FA’dan Authenticator Uygulamasına Geçin
Bu, alınabilecek en etkili tek önlemdir ve ücretsizdir. SMS tabanlı iki faktörlü kimlik doğrulama, numara ele geçirildiğinde tamamen işlevsiz hale gelir. Authenticator uygulamaları ise tamamen cihaz bazlıdır — numaranız ele geçirilse bile saldırgan kodu göremez.
Güvenilir authenticator uygulamaları:
Google Authenticator: En yaygın kullanılan uygulama. Basit arayüz, güvenilir çalışma. Dezavantajı: bulut yedekleme yoktur — telefon kaybolursa kodlar da kaybolur.
Authy: Bulut yedekleme ve çok cihaz desteği sunar. Telefon kaybolursa yeni cihaza kolayca geçiş yapılabilir. Biraz daha karmaşık kurulum, ancak kurtarma kolaylığı büyük avantaj.
Bitwarden Authenticator: Açık kaynak, şeffaf kod tabanı. Gizlilik konusunda hassas kullanıcılar için iyi bir seçenek.
Microsoft Authenticator: Microsoft ekosistemi kullananlar için pratik seçenek. Microsoft hesapları için ek entegrasyon avantajları mevcut.
Bu geçişi önce en kritik hesaplar için yapın:
- Kripto borsaları (Binance, Coinbase, Kraken)
- Banka uygulamaları (mümkünse)
- Ana e-posta hesabı (Gmail, Outlook)
- Sosyal medya hesapları (Instagram, Twitter/X, Facebook)
2. Operatörünüze SIM Değişim Kilidi Ekleyin
Bu adım, saldırı zincirini doğrudan kırar. Hesabınıza ek bir güvenlik PIN’i eklendiğinde, operatör çalışanı PIN olmadan SIM değişimi gerçekleştiremez.
Turkcell için: 532’yi arayın veya Turkcell mağazasına gidin. “Hesabıma SIM değişim kilidi eklemek istiyorum, ek güvenlik PIN’i belirlemek istiyorum” deyin. Çağrı merkezindeki yetkiliye bu talebi ilettiğinizde hesabınıza kayıt yaptıracaklar.
Vodafone için: 542’yi arayın veya Vodafone Center’a gidin. “Hesabım için güvenlik PIN’i oluşturmak istiyorum” deyin.
Türk Telekom için: 444 1 444’ü arayın veya yetkili bayiye gidin. “Hesap erişim şifresi belirlemek istiyorum” talebiyle başvurun.
Bu kilidi aktif etmek ve PIN’i güvenli bir yerde (fiziksel olarak yazdırılmış, şifreli bir notta ya da güvenilir bir şifre yöneticisinde) saklamak kritik önem taşır.
3. Kişisel Bilgi Ayak İzinizi Küçültün
Saldırganlar SIM swap için gereken bilgileri genellikle sosyal medyadan, veri ihlali veritabanlarından ve phishing saldırılarından toplar. Bu bilgilere ulaşmalarını zorlaştırabilirsiniz:
- Sosyal medya profillerinde doğum tarihi, tam adres ve aile bilgilerini gizleyin ya da hiç paylaşmayın
- LinkedIn’de kişisel iletişim bilgilerini sınırlayın
- Herkese açık forumlarda gerçek adınızı ve telefon numaranızı kullanmayın
- E-posta veya SMS yoluyla gelen doğrulama taleplerinde şüpheci olun; bağlantılara tıklamak yerine URL’yi manuel girin
- Have I Been Pwned (haveibeenpwned.com) gibi servislerle e-postanızın veri ihlallerine karışıp karışmadığını kontrol edin
4. Donanım Güvenlik Anahtarı Kullanın
Yüksek değerli hesaplar için en güçlü koruma donanım güvenlik anahtarıdır. YubiKey, Google Titan Key veya Thetis FIDO2 gibi fiziksel cihazlar, SIM swap, phishing ve uzaktan saldırılara karşı neredeyse aşılmazdır.
Bu cihazlar USB veya NFC ile çalışır. Hesaba giriş sırasında fiziksel butona basmanız gerekir — kodu bilseniz bile cihaz yanınızda olmazsa giriş yapamazsınız. Uzaktan saldırı fiziksel olarak imkânsızdır.
Google, Facebook, Twitter/X, GitHub, Binance ve diğer büyük platformlar donanım güvenlik anahtarlarını destekler. Kripto yatırımcıları için donanım cüzdan + donanım güvenlik anahtarı kombinasyonu en güçlü koruma mimarisidir.
5. Hesap Aktivitelerini Gerçek Zamanlı Takip Edin
Erken tespit, hasarı dramatik biçimde sınırlar:
- Banka ve kripto hesabı bildirimlerini tüm işlemler için aktif edin
- Anlık push bildirim aldığınızda derhal kontrol edin
- Telefonunuz tanıdık bir yerde aniden sinyalsiz kalırsa — bu SIM swap’ın en belirgin işaretidir — hemen başka bir cihazdan operatörünüzü arayın
- Beklenmedik şifre sıfırlama e-postaları veya giriş bildirimleri alırsanız ilgili hesapları derhal kilitleyin
6. E-posta Hesabı Güvenliğini Güçlendirin
E-posta, SIM swap zincirinde kritik bir halkadır. Çoğu hesap kurtarması e-posta üzerinden gerçekleştiğinden, e-postanız güvende olduğunda pek çok domino devrimi önlenebilir:
- E-posta hesabına authenticator uygulaması 2FA ekleyin
- E-posta kurtarma seçeneği olarak telefon numarası kullanmayın — yedek kod veya yedek e-posta kullanın
- E-posta şifrenizi güçlü ve benzersiz tutun; bir şifre yöneticisi kullanın
- Gmail için: Ayarlar → Güvenlik → 2 Adımlı Doğrulama → Authenticator uygulaması ekle → Telefon numarasını kurtarma seçeneği olarak kaldır
7. Farklı Platformlar İçin Farklı Numaralar Kullanın
Bu noktada sanal numara stratejik bir işlev üstlenir. Kişisel numaranızı yalnızca güvendiğiniz kişilerle iletişimde kullanın. Platform kayıtları, e-ticaret siteleri, sosyal medya ve diğer dijital servisler için sanal numara kullanın.
Bu yaklaşımın mantığı şudur: SIM swap gerçekleşse ve kişisel numaranız ele geçirilse bile, bu numara yalnızca güvendiğiniz kişilerle paylaşıldığından bağlı platform sayısı çok azdır. Saldırgan ele geçirdiği numarayla erişebileceği hesap bulamayabilir.
Türkiye’ye Özgü Risk Faktörleri
Türkiye’de SIM swap riski bazı yapısal nedenlerle küresel ortalamayı aşabilir:
Mobil bankacılıkta SMS bağımlılığı: Türk bankaları işlem doğrulamasında SMS OTP’ye çok güveniyor. Bu durum, SIM swap sonrasında finansal kayıp ihtimalini artırıyor. Bazı ülkelerde bankacılık uygulamaları ek doğrulama mekanizmaları (biyometrik onay, uygulama bildirimi) kullanırken Türkiye’de SMS hâlâ baskın yöntem.
Kişisel bilgilerin erişilebilirliği: TC kimlik numarası, çeşitli platformlarda kullanılan bir tanımlayıcı ve operatörlerin kimlik doğrulamasında kullandığı temel bilgilerden biri. Bu numaranın sosyal mühendislik saldırıları için ne denli değerli olduğu göz önüne alındığında, dijital platformlarda TC kimlik paylaşımına dikkat edilmesi gerekir.
Kripto para kullanımının hızlı büyümesi: Türk lirası değer kayıpları nedeniyle kripto para yatırımları Türkiye’de ciddi biçimde arttı. Bu durum, Türk kullanıcıları kripto odaklı SIM swap saldırıları için hedef haline getiriyor.
Operatör çalışanı faktörü: Türk operatörlerin güvenlik protokolleri genel olarak iyi düzeyde olmakla birlikte insan faktörü her zaman bir risk unsuru oluşturuyor. Saldırganların bazen çalışanlara rüşvet teklif ettiği belgelenmiş vakalar mevcuttur. Bu nedenle yalnızca operatör protokolüne güvenmek yeterli değildir.
SIM Swap Olduğunda Ne Yapmalısınız?
Telefon sinyalinizi kaybettiğinizde ve SIM swap şüphesi oluştuğunda her dakika kritiktir:
Adım 1 — Operatörü acilen arayın: Komşunuzdan, iş yerindeki bir telefondan veya Wi-Fi üzerinden VoIP aracılığıyla operatörü arayın. “Numarama yetkisiz SIM swap yapılmış olabilir, hemen bloke edin” deyin. SIM değişimini durdurmalarını ya da geri almalarını talep edin.
Adım 2 — Banka hesaplarını kilitleyin: Bankanızın 7/24 açık müşteri hattını arayın (farklı bir telefondan). Hesabınızdaki tüm işlemleri askıya almalarını, özellikle para çıkışlarını bloke etmelerini isteyin.
Adım 3 — Kripto borsalarına acil başvuru yapın: Binance, Coinbase ve benzeri borsalara destek talebi açın. Hesabı geçici olarak dondurmalarını isteyin. E-postanıza erişiminiz varsa bu işlemi kendiniz de yapabilirsiniz.
Adım 4 — E-posta ve sosyal medya hesaplarını güvence altına alın: Yedek kodlarınız varsa hesaplara erişin ve şifreleri değiştirin. 2FA yöntemini değiştirin, kurtarma telefon numarasını kaldırın.
Adım 5 — Suç duyurusunda bulunun: En yakın savcılığa veya siber suç birimine başvurun. Türk Ceza Kanunu’nun bilişim suçları kapsamındaki maddeler SIM swap saldırısını suç olarak tanımlar. Operatörden SIM değişim işleminin kayıtlarını yazılı olarak talep edin — bu belge hukuki süreçte gerekli olacak.
Adım 6 — Mali kayıp belgelendirmesi: Banka ekstresini ve kripto işlem geçmişini kayıt altına alın. Mali kayıp gerçekleşmişse sigorta şirketinizi ve bankanızı bilgilendirin; tazminat talebi hukuki yolda önemli olacak.
İki Faktörlü Kimlik Doğrulama Yöntemleri: Güvenlik Karşılaştırması
Hangi 2FA yönteminin ne düzeyde koruma sağladığını anlamak, güvenlik kararlarınızı bilinçli şekilde vermenizi sağlar:
| Yöntem | SIM Swap Riski | Phishing Riski | Kullanım Kolaylığı | Öneri |
|---|---|---|---|---|
| SMS OTP | Çok yüksek | Yüksek | Çok kolay | Yalnızca düşük değerli hesaplar |
| E-posta OTP | Yüksek (E-posta SMS ile kurtarılıyorsa) | Orta | Kolay | Geçiş dönemi çözümü |
| Authenticator uygulaması | Düşük | Orta | Orta | Standart öneri |
| Donanım güvenlik anahtarı | Çok düşük | Çok düşük | Düşük | Yüksek değerli hesaplar |
| Passkey (WebAuthn) | Çok düşük | Çok düşük | Giderek kolaylaşıyor | Geleceğin standardı |
Şifre Yöneticisi: Gözden Kaçan Güvenlik Katmanı
SIM swap tartışmalarında şifre yöneticisi genellikle göz ardı edilir, ancak bu araç güvenlik zincirinin kritik bir halkasıdır:
Her platformda farklı, güçlü ve rastgele şifre kullanmak, ele geçirilen bir hesabın diğerlerine sıçramasını engeller. Şifre yöneticisi olmadan bunu pratikte uygulamak neredeyse imkânsızdır.
Güvenilir şifre yöneticileri:
- Bitwarden: Açık kaynak, ücretsiz temel plan, çok cihaz senkronizasyonu
- 1Password: Kullanıcı dostu arayüz, güçlü güvenlik mimarisi
- KeePass: Tamamen yerel depolama, internet bağlantısı gerektirmez; en paranoyak kullanıcılar için
Sigorta: SIM Swap Sonrası Mali Korunma
Türkiye’de siber güvenlik sigortası henüz yaygın değil, ancak bu ürünler mevcuttur. Bazı bankalar ve özel sigorta şirketleri dijital dolandırıcılık sigortası sunuyor. Kripto yatırımcıları için özel sigorta ürünleri de piyasaya çıkmaya başladı. Bu ürünleri araştırmak ve değerlendirmek, yüksek değerli dijital varlıklar için anlamlı bir adım olabilir.
FAQ
SIM swap saldırısını nasıl anlayabilirim?
En belirgin işaret, telefonunuzun tanıdık bir yerde (ev, ofis) aniden sinyalsiz kalmasıdır. Kapsama alanı dışı değilseniz bu bir uyarı sinyalidir. Ayrıca beklenmedik giriş bildirimleri, şifre sıfırlama e-postaları, bilinmeyen işlem uyarıları veya hesaplarınıza erişim sorunları da SIM swap işareti olabilir. Bu belirtilerden herhangi birini fark ettiğinizde önce operatörünüzü arayın, durumu teyit edin.
Türk operatörler SIM değişimi için ne kadar bilgi istiyor?
Standart prosedür genellikle TC kimlik numarası, müşteri numarası ve güvenlik sorusu içeriyor. Ancak bazı vakalarda çağrı merkezi üzerinden yalnızca kimlik numarasıyla bu işlemin yapılabildiği de biliniyor. Bu yüzden operatörünüzden ek PIN kilidi talep etmek çok önemlidir.
Kripto borsam SMS 2FA kullanıyor; hemen ne yapmalıyım?
Hemen authenticator uygulamasına geçin. Bu işlem 5 dakikadan fazla sürmez. Binance’da: Hesap → Güvenlik → 2FA Yönetimi → Google Authenticator’ı Etkinleştir → SMS 2FA’yı Devre Dışı Bırak. Coinbase, Kraken ve diğer büyük borsalar aynı adımları destekler. Bu değişikliği bekletmek tehlikelidir — yarın değil, bugün yapın.
Google Authenticator kurduğum telefonu kaybedersem ne olur?
Google Authenticator kurulumunda 10 adet yedek kod verilir. Bu kodları yazdırıp güvenli bir yere (fiziksel kilitli kutuda veya güvenilir bir şifre yöneticisinde) saklamanız gerekiyordu. Yedek kodunuz yoksa kurtarma süreci hesap bazında değişir ve uzun sürebilir. Bu riski sıfırlamak için Authy kullanın — şifreli bulut yedekleme ile yeni cihaza geçiş otomatik gerçekleşir.
SIM swap hukuken suç mu, Türkiye’de dava açılabilir mi?
Evet. SIM swap, Türk Ceza Kanunu’nun 243. maddesi (bilişim sistemine girme) ve 244. maddesi (bilişim sistemini engelleme, bozma, verileri yok etme) kapsamında suç oluşturur. Mağdur olursanız Cumhuriyet Savcılığı’na suç duyurusunda bulunun. Operatörden olayın kayıtlarını yazılı isteyin, banka işlem ekstrelerini alın. Mali kayıp gerçekleşmişse medeni hukuk kapsamında tazminat davası da mümkündür.
Sanal numara SIM swap’tan koruyor mu?
Doğrudan bir SIM swap koruması sunmuyor — sanal bir numara da benzer teknik saldırılara teorik olarak açık olabilir. Ancak sanal numaranın stratejik kullanımı dolaylı bir koruma sağlar: Kişisel numaranızı platforma kaydetmediğinizde, kişisel numaranız ele geçirilse bile o platformdaki hesabınıza bu yolla erişilemez. Gerçek koruma ise SMS 2FA’dan authenticator uygulamasına geçmektir.
Operatör çalışanına rüşvet vererek SIM swap yapılabilir mi?
Bu tür vakalar hem Türkiye’de hem de dünya genelinde belgelenmiştir. Bu nedenle yalnızca operatör protokolüne güvenmek yeterli değildir. Hesaplarınızdaki güvenlik katmanlarını SMS’ten bağımsız tutmak (authenticator uygulaması veya donanım anahtarı) bu riski sıfıra yaklaştırır. Saldırganın numaranıza ulaşması, SMS’e bağlı olmayan hesaplara erişim sağlamaz.