Sahte Banka SMS/Mesaj Dolandırıcılığı (Smishing) 2026

Smishing (SMS phishing); banka, kargo şirketi, e-Devlet ya da vergi dairesi adına gelmiş gibi görünen SMS, MMS veya RCS mesajlarıyla mağdurun sahte bir siteye yönlendirilmesi ve oturum bilgilerinin çalınması saldırısıdır. “Hesabınızda şüpheli işlem var, doğrulamak için tıklayın”, “kargonuz için adres güncelleyin” başlıklı mesajlar tipik örneklerdir.

Smishing’in Aşamaları

1. Sızdırılmış telefon numarası listelerinin saldırgana ulaşması.
2. SMS gönderim altyapısı (yurt dışı SMS gateway, sahte alfanumerik gönderici adı) üzerinden mesajların yollanması.
3. Sahte web sayfasında parola, OTP ve kart bilgilerinin girilmesi.
4. Saldırganın sahte siteye girilen bilgileri gerçek banka uygulamasında kullanarak işlem yapması.
5. Fonun yurtdışı IBAN ya da kripto adresine aktarılması.

Hukuki Nitelendirme

Olay TCK m.158/1-f (bilişim sistemi araç kılınarak nitelikli dolandırıcılık) ve TCK m.245 (banka veya kredi kartlarının kötüye kullanılması) yönünden incelenir. Banka, anormal işlem tespit etme yükümlülüğüne aykırı davrandığı tespit edilirse müteselsil sorumluluğu doğabilir.

Mağdurun İlk Adımları

• Bankayı ofis saatlerimizde müşteri hizmetleri üzerinden arayarak hesabı dondurun.
• Banka kanalları üzerinden işlem itirazı (chargeback için) açın.
• Sahte mesaj ve sahte URL’yi ekran görüntüsü ile saklayın.
• İl Emniyet Müdürlüğü Siber Şubesi’ne ya da savcılığa şikâyet sunun.
• BTK ihbar hattı ile sahte SMS gönderici hattını bildirin.

Banka Sorumluluğu

Banka, anormal IBAN’a hızlı transfer ve farklı cihazdan giriş gibi durumlarda kullanıcıyı bilgilendirme ve ek doğrulama yapma yükümlüsüdür. Bu yükümlülüğün ihlali, bankanın TBK m.49 ve TKHK kapsamında müteselsil sorumluluğunu doğurur.

Sıkça Sorulan Sorular

OTP’yi sahte siteye girdim, banka karşılar mı?

Banka, kullanıcının OTP’yi paylaşmış olması nedeniyle sorumluluğu kullanıcıya yüklemeye çalışır. Ancak sistemde anormal işlem uyarısı çalışmadıysa müteselsil sorumluluk değerlendirmesi gündeme gelir.

Para yurtdışına gitti, recall mümkün mü?

Banka SWIFT recall (MT192) talebi gönderir. Karşı banka fonu çekmediyse iade ihtimali artar.

Sahte SMS gönderen kim, tespit edilebilir mi?

SMS gateway sağlayıcısı kayıtları, BTK denetiminde tutulur. Adli süreçte gönderici altyapısı tespit edilebilir; ancak yurtdışı kaynaklı gateway’ler için süreç daha uzundur.

İlgili Sayfalar

• Nitelikli dolandırıcılık (TCK 158/1-f)
• SIM swap saldırısı
• Phishing linki ile kripto çalınması
• Bilişim suçları hukuku

Konuyla İlgili Yargıtay Kararları

• 11. CD 2021/26836 E., 2026/2038 K., 25.02.2026
• 11. CD 2021/33112 E., 2026/1967 K., 24.02.2026
• 11. CD 2025/4373 E., 2026/1903 K., 23.02.2026
• 11. CD 2021/27759 E., 2026/1894 K., 23.02.2026
• 11. CD 2025/4370 E., 2026/1902 K., 23.02.2026
• 11. CD 2025/4369 E., 2026/1901 K., 23.02.2026
• 11. CD 2021/29097 E., 2026/1819 K., 19.02.2026
• 11. CD 2021/29584 E., 2026/1814 K., 19.02.2026

Karar metinleri T.C. Adalet Bakanlığı içtihat sisteminden alınmıştır; her dosya kendine özgü olgu ve hukuki niteliğe göre değerlendirilmelidir.