Çalışanların %30\'u phishing mailine tıklar (Verizon DBIR 2025 ortalaması). Klasik "siber güvenlik eğitimi" sunum izlemekle değil simülasyon ile etkilidir. Microsoft Defender Attack Simulator (Plan 2\'de dahil) çalışanlarınıza kontrollü phishing maili göndererek kimin tıkladığını ölçer + otomatik eğitim atar.
Lisans: Attack Simulator Defender for Office 365 Plan 2 gerek. M365 E5'te dahil. Standalone Plan 2 $5/kullanıcı/ay. Business Premium'da YOK (Plan 1).
Neden Phishing Simülasyon?
- Sunum tabanlı eğitimde bilgi 1 hafta sonra %40\'a düşer (Forgetting Curve)
- Gerçek simülasyon "muscle memory" yaratır — çalışan refleks olarak süpheli görür
- Yöneticilere somut metrik: tıklama oranı %30\'dan %5\'e düştü
- KVKK + ISO 27001 + SOC 2 audit\'lerinde "çalışan farkındalık programı" kanıtı
Hazırlık — Yasal ve İletişim
⚠ Hukuki uyarı: Phishing simülasyonu çalışan davranışını izler — KVKK kapsamında iş yeri izlemedir. Çalışanlara önceden bilgilendirme (genel — kesin simülasyon tarihini söylemek değil) + iş sözleşmesinde madde + İK politikasında belirtme şart. Hukuk müşaviriniz ile koordine edin.
Önce yapılacaklar:
- İK + hukuk müşaviri ile iletişim — "siber güvenlik farkındalık programı" politikası
- Çalışanlara genel duyuru: "Önümüzdeki dönemde periyodik olarak güvenlik testleri yapılacak"
- İlk simülasyondan en az 1 ay önce eğitim sunma
- İlk kampanya: küçük grup (10 user), "test" olarak başlat
Adım 1: Attack Simulator'a Erişim
- security.microsoft.com → Email & collaboration → Attack simulation training.
- İlk açışta Microsoft\'un "veri toplama" onayını al → Continue.
- 3 ana sekme: Simulations, Trainings, Reports.
Adım 2: Yeni Simülasyon Oluşturma
- Simulations → Launch simulation.
- Technique seçimi:
- Credential Harvest: Fake login sayfası (en yaygın saldırı tekniği)
- Malware Attachment: Sahte makro virüs eki (test için zararsız payload)
- Link in Attachment: Word/PDF içinde tehlikeli link
- Link to Malware: Mail içinde dosya download link\'i
- Drive-by URL: Tarayıcı zafiyeti istismarı
- OAuth Consent Grant: Sahte OAuth uygulamasına yetki verme
- İlk simülasyon için Credential Harvest öneririz.
Adım 3: Payload Seçimi (Mail İçeriği)
Microsoft 100+ hazır phishing şablonu sunar. Kategori:
- Account verification ("Hesabınız donduruldu, doğrulayın")
- Package delivery ("Kargo gelmedi, takip linki")
- Survey ("Anket — hediye kazanın")
- IT/HR notification ("IT departmanı: yeni şifre politikası")
- Money transfer / invoice ("Fatura ödenmeli")
Custom payload da oluşturabilirsiniz. Şirketinize özel (örn "İK\'dan: yıllık izin formu doldurun") en etkili olur — kullanıcı şüphelenmez.
Adım 4: Hedef Kullanıcılar
- Manual: 10-20 kullanıcı seç
- Group: All employees, Finance team, IT team
- Import CSV: belirli email listesi
İlk kampanya: 10-20 kişilik pilot. Sonra tüm şirkete (50+).
Adım 5: Training Atama
Kullanıcı phishing\'e tıkladığında otomatik eğitim atanır:
- Microsoft eğitim modülleri: Video 5-10 dk + quiz
- Konu: "Phishing nasıl tespit edilir", "URL kontrolü", "MFA önemi"
- Türkçe: bazı modüller var, çoğu İngilizce subtitled
- Custom training: PDF/video kendiniz yüklerseniz
Training Assignment Modları
- Assign training ✓ (öneri: ON)
- Training due date: 14 gün
- Send training assignment notification ✓
- Send training reminder notification ✓ (7 gün kala)
Adım 6: Schedule + Launch
- Send to all selected users at once veya Send over a randomized period (örn 8 saat).
- Random period öneri (8 saat) — kullanıcılar aynı anda almasın, sosyal medya bilgi aktarımı azalsın.
- Date/time: hafta içi 09:00-11:00 (en gerçekçi).
- Review → Submit.
Adım 7: Sonuç Analizi (Reports)
Simülasyon bittikten 24 saat sonra raporlar hazır:
| Metrik | Anlamı |
|---|
| Compromise rate | Phishing\'e teslim olan oran (tıkladı + form doldurdu) |
| Click rate | Sadece linke tıklayan ama form doldurmayanlar |
| Read rate | Maili açan ama tıklamayan |
| Repeat offenders | Geçen ve bu kampanyada tıklayan |
| Time to click | Mail alındıktan ne kadar sürede tıklanmış |
Benchmark (Microsoft global ortalaması 2025): Compromise rate %15 (tıkla + form), Read rate %60, Click rate %25. Bunun altında olursanız çalışan farkındalığı iyidir.
Strateji — 6 Aylık Plan
| Ay | Eylem | Hedef |
|---|
| 1 | Eğitim sunumu (Teams, 30 dk) | Tüm çalışanlar farkındalık |
| 2 | İlk simülasyon — Credential Harvest, easy difficulty | Baseline tıklama oranı ölç (%30 beklenir) |
| 3 | Tıklayanlara training + 1:1 görüşme | Yeniden teste hazır |
| 4 | 2. simülasyon — Malware Attachment, medium | %20 tıklama |
| 5 | Custom payload (şirkete özel) | %15 tıklama |
| 6 | Repeat offender 1:1 + final simülasyon | %5 tıklama, hedef erişildi |
Sık Karşılaşılan Sorunlar
Sorun 1: Çalışanlar IT departmanını uyarınca "panik" yaratıyor
İyi haber — bilgili çalışan demek. IT departmanına da uyarı sistemi tanımla — phishing simülasyon olduğu otomatik tespit edilsin, gerçek alarmı bastırmasın.
Sorun 2: Bazı kullanıcılar her seferinde tıklıyor (repeat offenders)
Yöneticisi ile 1:1 görüşme + ek bireysel eğitim. Yardımcı olunmazsa: bilinçli (sigorta amaçlı) veya bilinçsiz "yüksek risk grup" — Conditional Access ile sıkı kontrol uygula.
Sorun 3: KVKK / hukuk müşaviri itirazı
Çalışan davranış izleme şart şeffaflık. Genel duyuru + İK politikası + sözleşme maddesi ile karşılanır. Çalışan kim kanıt değil — agregate metrik (ekibin %X tıkladı) raporlanır.
🎣 Phishing Simülasyon Kampanyası — KOBİ Pilot
Defender Plan 2 + İK politikası şablonu + 6 aylık kampanya planlama + custom payload tasarımı + raporlama. Microsoft Yetkili CSP desteği.
Phishing Simülasyon →
İlgili Rehberler