Dünya genelindeki e-postaların yaklaşık %45'i spam, kimlik avı ve kötü amaçlı yazılımlardan oluşuyor.

Güvenlik firması Kaspersky, 24 Şubat'ta yayınladığı izleme verilerine göre, 2025 yılında endişe verici düzeyde bir spam oranına tanık olunacağını gösterdi: Gönderilen her iki e-postadan biri spam olacak ve bu da küresel e-posta trafiğinin %44,99'unu oluşturacak.

Özellikle bireysel kullanıcılar ve işletmeler, bir önceki yıla göre %15 artışla 144 milyondan fazla kötü amaçlı veya potansiyel olarak tehlikeli e-posta ekiyle karşı karşıya kaldı.

Spam ve kimlik avı e-postaları çok yaygın.

Asya- Pasifik (APAC) bölgesi, %30 ile en yüksek oranda kötü amaçlı yazılım içeren e-posta tespitine sahip olurken, onu %21 ile Avrupa takip etti. Ülkelere bakıldığında ise Çin, toplam tespitlerin %14'ünü oluşturarak en yüksek spam (kötü amaçlı veya şüpheli ekler içeren e-postalar) oranına sahip oldu.

Kaspersky uzmanlarının analizine göre, siber suçluların e-posta yoluyla spam ve kimlik avı kampanyaları yürütürken öne çıkan bir eğilim, birden fazla iletişim kanalını bir arada kullanmalarıdır.

Buna göre, saldırganlar e-posta kullanıcılarını mesajlaşma uygulamaları aracılığıyla mesaj alışverişine veya sahte telefon numaralarını aramaya yönlendirmeye çalışırlar. Örneğin, yatırım dolandırıcılığı e-postaları kurbanları sahte web sitelerine yönlendirebilir. Orada, kurbanlardan iletişim bilgilerini vermelerini isterler ve ardından dolandırıcılığı sürdürmek için telefon görüşmeleri yoluyla onlarla iletişime geçerler.

Siber suçlular, kimlik avı e-postalarında ve kötü amaçlı dosya veya bağlantılar içeren e-postalarda çeşitli kamuflaj teknikleri de kullanmaktadır. Tehdit aktörleri genellikle bağlantı koruma hizmetleri veya QR kodları kullanarak kimlik avı bağlantılarını gizlemeye çalışırlar. Bu QR kodları genellikle doğrudan e-posta içeriğine yerleştirilir veya PDF dosyalarına eklenir.

Bu şekilde, yalnızca kimlik avı bağlantısını gizlemekle kalmaz, aynı zamanda kullanıcıları cep telefonlarıyla kodu taramaya da kandırırlar. Mobil cihazlar genellikle iş bilgisayarlarına kıyasla daha zayıf güvenlik katmanlarına sahiptir, bu nedenle kötü niyetli kişiler bu güvenlik açığından yararlanabilir.

Bunu önlemek için ne yapılabilir?

Kaspersky'de spam karşıtı analist olan Roman Dedenok şu yorumda bulundu: "E-posta yoluyla yapılan kimlik avı saldırılarının riskini hafife almamalıyız. Raporumuz, işletmelere yönelik saldırıların onda birinin e-posta kimlik avından kaynaklandığını ve bunların önemli bir kısmının hedefli, sürekli saldırılar (APT'ler) olduğunu gösteriyor."

2025 yılında, hedefli e-posta saldırılarının giderek daha karmaşık hale geldiğini görüyoruz. Saldırganlar, gönderen adreslerini oluşturmaktan, gerçek iş olayları ve süreçleriyle eşleşecek şekilde içeriği kişiselleştirmeye kadar en küçük ayrıntıları bile titizlikle hazırlıyor ve taklit ediyorlar.”

Kaspersky uzmanları, bireysel ve kurumsal kullanıcılar için riskleri en aza indirmek amacıyla, kullanıcıların her zaman güvenilir bir kaynaktan geliyormuş gibi görünen e-postalara karşı, herhangi bir platformdan gelen istenmeyen davetlere karşı dikkatli olmalarını önermektedir.

Kullanıcılar, bağlantılara (URL'lere) tıklamadan önce dikkatlice kontrol etme alışkanlığı edinmelidir. Şüpheli e-postalarda verilen telefon numaralarını aramayın. Bir hizmet için müşteri desteğiyle iletişime geçmeniz gerekiyorsa, telefon numarasını hizmetin resmi web sitesinde bulun.

Kurumsal kullanıcılar için, günümüzdeki birçok güvenlik çözümü, makine öğrenimi algoritmalarıyla desteklenen çok katmanlı savunma mekanizmalarına sahiptir; bu da giderek karmaşıklaşan tehditlere karşı güçlü bir koruma sağlar ve işletmelerin artan siber güvenlik risklerine proaktif olarak yanıt vermesini mümkün kılar.

İşletmeler ayrıca, akıllı telefonlar da dahil olmak üzere tüm çalışan cihazlarının güvenilir güvenlik yazılımlarıyla donatıldığından emin olmalıdır. Ayrıca, çalışanlara modern kimlik avı ve dolandırıcılık taktikleri konusunda düzenli eğitim vermelidirler.