Koleksiyonlar ile düzeninizi koruyun
İçeriği tercihlerinize göre kaydedin ve kategorilere ayırın.
Sosyal mühendislik (kimlik avı ve aldatıcı siteler)
Sosyal mühendislik, ziyaretçileri gizli bilgileri açıklamak ve yazılım indirmek gibi tehlikeli bir şey yapmaları için kandıran içeriktir. Google, web sitenizin sosyal mühendislik içeriği barındırdığını algılarsa ziyaretçiler sitenizi görüntülediklerinde Chrome tarayıcısı tarafından "Yanıltıcı bir siteye girmek üzeresiniz" uyarısı gösterilebilir. Sitenizde sosyal mühendislik saldırıları içerdiğinden şüphelenilen sayfaların
olup olmadığını kontrol etmek için Search Console'daki Güvenlik Sorunları raporunu inceleyebilirsiniz.
Sosyal mühendislik saldırısı, bir web kullanıcısının web üzerinde tehlikeli bir şey yapması için kandırıldığı durumdur.
Farklı türlerde sosyal mühendislik saldırıları vardır:
Kimlik avı: Site, kullanıcıları kişisel bilgilerini (örneğin, şifrelerini, telefon numaralarını veya vatandaşlık numaralarını) vermeleri için kandırır. Bu durumda içerik, güvenilen bir varlığa (örneğin, tarayıcı, işletim sistemi, banka veya devlet kurumu) benzer şekilde hareket eder veya görünür.
Aldatıcı içerik: İçerik, normal şartlarda yalnızca güvendiğiniz bir kaynak veya tarafla yapacağınız bir işlemi (şifre paylaşmak, teknik desteği aramak, yazılım indirmek gibi) yapmanız yönünde sizi kandırmaya çalışır veya cihaz yazılımının eski olduğunu iddia ederek kullanıcıları kandıran bir reklamla kullanıcılardan istenmeyen yazılımları yüklemeye zorlar.
Yeterince etiketlenmemiş üçüncü taraf hizmetleri:Üçüncü taraf hizmeti, başka bir tüzel kişilik adına bir siteyi veya hizmeti işletenlere verilen addır. Siz (üçüncü taraf) bir siteyi, ilişkinizi açıkça belirtmeden başka bir (birinci) taraf adına işletiyorsanız bu durum sosyal mühendislik olarak işaretlenebilir. Örneğin, siz (birinci taraf), siteniz için bağış toplama işlemlerini yürütmek üzere bir bağış yönetimi web sitesi (üçüncü taraf) kullanan bir hayır kurumu web sitesine sahip olabilirsiniz. Bağış sitesinin, söz konusu hayır kurumu sitesi adına hareket eden bir üçüncü taraf platformu olduğunu açıkça belirtmesi gerekir; aksi halde, durumu sosyal mühendislik olarak değerlendirilebilir.
Google Güvenli Tarama, sürekli olarak sosyal mühendislik eylemlerinde bulunan sayfaları ziyaret etmeden önce web kullanıcılarını uyararak korur.
Web sayfaları aşağıdaki durumlarda sosyal mühendislik sayfası olarak değerlendirilir:
Kendi cihazınız veya tarayıcınız ya da web sitesinin kendisi gibi güvenilen bir varlığa benzer şekilde hareket etmesi veya görünmesi ya da
Şifre paylaşma, teknik destek numarasını arama ya da yazılım indirme gibi sadece güvenilir bir varlıkta yapacağınız işlemler gerçekleştirmeniz için sizi kandırmaya çalışması.
Yerleşik içeriklerde sosyal mühendislik
Sosyal mühendislik ayrıca normalde yararlı olan web sitelerinde yerleşik olan içeriklerde, genellikle reklamlarda da karşınıza çıkabilir. Yerleşik sosyal mühendislik içeriği ana makine sayfası için bir politika ihlalidir.
Örneklerde de gösterildiği gibi kullanıcılar yerleşik sosyal mühendislik içeriklerini kimi zaman ana makine sayfasında da görebilir. Diğer durumlarda ana makine sitesinde görünür reklam bulunmaz. Ancak site kullanıcıları pop-up'lar, arkada açılan sayfalar ya da diğer tür yönlendirmeler aracılığı ile sosyal mühendislik sayfalarına yönlendirir. Her iki durumda da bu tür yerleşik sosyal mühendislik içerikleri ana makine sayfası açısından bir politika ihlaline neden olur.
Ama benim sosyal mühendislikle bir ilgim yok!
Aldatıcı sosyal mühendisliğe yönelik içerik, sayfaya yerleştirilen resimler, diğer üçüncü taraf bileşenleri veya reklamlar gibi kaynaklar aracılığıyla eklenmiş olabilir. Bu tür aldatıcı içerik, site ziyaretçilerini istenmeyen yazılım indirme gibi şeyler için kandırabilir.
Buna ek olarak, bilgisayar korsanları masum sitelerin kontrolünü ele geçirebilir ve bunları, sosyal mühendislik içeriğini barındırmak veya dağıtmak için kullanabilir. Bilgisayar korsanı, genellikle ziyaretçileri kredi kartı numaraları gibi kişisel bilgilerini paylaşmaları için kandırma amacıyla sitenin içeriğini değiştirebilir veya siteye ilave sayfalar ekleyebilir. Sitenizin sosyal mühendislik içeriği barındıran veya dağıtan bir site olarak tanımlanıp tanımlanmadığını öğrenmek için Search Console'daki Güvenlik Sorunları raporuna bakabilirsiniz.
Aşağıda sosyal mühendislik uygulamalarına dahil olan sayfalara bazı örnekler verilmiştir:
Kullanıcıları kötü amaçlı yazılım yüklemek üzere kandırmaya çalışan aldatıcı pop-up.Kullanıcıya tarayıcılarını güncellemede yardımcı olacağını iddia eden aldatıcı pop-upSahte Google giriş sayfası
Aldatıcı reklam örnekleri
Aşağıda yerleşik reklamların içindeki aldatıcı içeriklere ilişkin bazı örnekler verilmiştir. Bu reklamlar, reklamdan ziyade sayfa arayüzünün bir parçası olarak görünür.
Kullanıcının yazılımının eski olduğunu iddia eden aldatıcı pop-up.FLV geliştiricisinden olduğunu iddia eden aldatıcı pop-up.Sayfanın eylem düğmesi gibi görünen gizli reklamlar.
Sorunu çözme
Siteniz sosyal mühendislik (aldatıcı içerik) bulunduğu için işaretlendiyse sayfanızda açıklanan uygulamalardan hiçbirinin bulunmadığından emin olduktan sonra aşağıdaki adımları uygulayın:
Sitenizin aldatıcı içerik (sosyal mühendislik için bildirilen terim) barındırıyor olarak listelenip listelenmediğini öğrenmek için Güvenlik Sorunları raporunu kontrol edin. Raporda, örnek olarak verilmiş işaretli URL'ler varsa
bu URL'lerden bazılarını ziyaret edin. Ancak bunu yaparken, web sitenizin sunulduğu ağın
içinde yer almayan bir bilgisayar kullanın (akıllı bilgisayar korsanları, web sitesinin sahibinin ziyaret ettiğini
düşünürlerse saldırılarını devre dışı bırakabilirler).
Raporda, örnek olarak verilmiş URL'ler yoksa ve sitenizin sosyal mühendislik (aldatıcı içerik)
içermediğinden eminseniz Güvenlik
Sorunları raporunda bir güvenlik
incelemesi isteyebilirsiniz.
Aldatıcı içeriği kaldırın. Sitenizin hiçbir sayfasında aldatıcı içerik bulunmadığından emin olun. Güvenli Tarama'nın bir web sayfasını hatalı sınıflandırdığını düşünüyorsanız bu durumu bildirin.
Sitenizde yer alan üçüncü taraf kaynaklarını kontrol edin. Sitenizdeki sayfalarda bulunan reklamların, resimlerin veya diğer yerleşik üçüncü taraf kaynaklarının aldatıcı olmadığından emin olun.
Reklam ağlarının sitenizin sayfalarında gösterilen reklamları dönüşümlü yayınlayabileceğini unutmayın. Bu nedenle, sosyal mühendislik reklamlarını görebilmek için bir sayfayı birkaç kez yenilemeniz gerekebilir.
Bazı reklamlar mobil cihazlarda ve masaüstü bilgisayarlarda farklı görünebilir. Sitenizi hem mobil hem de masaüstü görünümlerinde incelemek için URL Denetleme aracını kullanabilirsiniz.
İnceleme isteğinde bulunun. Sitenizdeki tüm sosyal mühendislik içeriğini kaldırdıktan sonra, Güvenlik Sorunları raporunda bir güvenlik incelemesi isteyebilirsiniz. İncelemenin tamamlanması birkaç gün sürebilir.
Üçüncü taraf hizmeti yönergeleri
Sitenize bir üçüncü taraf hizmeti eklerseniz sosyal mühendislik olarak etiketlenmemek için aşağıdaki koşulları sağlamanızı öneririz:
Her sayfada, üçüncü taraf sitesi, kullanıcıların siteyi kimin işlettiğini anlamasını sağlayacak şekilde üçüncü taraf markasını açıkça içermelidir. Örneğin, üçüncü taraf markasını sayfanın üst kısmına eklenebilir.
Birinci taraf markasını içeren her sayfada, birinci ve üçüncü taraf arasındaki ilişkiyi açık bir şekilde belirtin ve daha fazla bilgi için bağlantı sağlayın. Örneğin, şöyle bir ifade:
Bu hizmet, Example.charities.com adına Example.com tarafından barındırılmaktadır. Daha fazla bilgi edinin.
İzole halde sayfayı görüntüleyen bir kullanıcının hangi sitede olduğunu ve birinci ve üçüncü taraflar arasındaki ilişkiyi her zaman anlayabilmesi bir iyi kullanılabilirlik kuralıdır.
Sitenizde güvenlikle ilgili kalıcı veya düzeltilemeyen sorunlar yaşayan bir Search Console kullanıcısıysanız bize bildirebilirsiniz.
[[["Anlaması kolay","easyToUnderstand","thumb-up"],["Sorunumu çözdü","solvedMyProblem","thumb-up"],["Diğer","otherUp","thumb-up"]],[["İhtiyacım olan bilgiler yok","missingTheInformationINeed","thumb-down"],["Çok karmaşık / çok fazla adım var","tooComplicatedTooManySteps","thumb-down"],["Güncel değil","outOfDate","thumb-down"],["Çeviri sorunu","translationIssue","thumb-down"],["Örnek veya kod sorunu","samplesCodeIssue","thumb-down"],["Diğer","otherDown","thumb-down"]],["Son güncelleme tarihi: 2025-08-04 UTC."],[[["\u003cp\u003eSocial engineering attacks trick users into revealing personal information or performing dangerous actions, often by impersonating trusted entities.\u003c/p\u003e\n"],["\u003cp\u003eGoogle Safe Browsing protects users by displaying warnings for websites identified as engaging in social engineering practices.\u003c/p\u003e\n"],["\u003cp\u003eWebsite owners can use Search Console's Security Issues report to identify and resolve social engineering issues on their sites.\u003c/p\u003e\n"],["\u003cp\u003eEmbedding third-party content, like ads, can introduce social engineering risks if the content is deceptive or leads to malicious pages.\u003c/p\u003e\n"],["\u003cp\u003eWebsites using third-party services should clearly disclose the relationship to avoid being mistakenly flagged as social engineering.\u003c/p\u003e\n"]]],["Social engineering tricks users into dangerous actions, like revealing personal data or downloading harmful software. This can occur through phishing, deceptive content, or unclear third-party services. Websites with such content may trigger browser warnings. Site owners should check the Security Issues report in Search Console for violations. Actions include removing deceptive content, ensuring third-party resources are not deceptive, and requesting a security review. Clear labeling of third-party involvement is crucial to avoid being flagged.\n"],null,["# Social Engineering (Phishing and Deceptive Sites) | Google Search Central\n\nSocial engineering (phishing and deceptive sites)\n=================================================\n\nSocial engineering is content that tricks visitors into doing something dangerous, such as\nrevealing confidential information or downloading software. If Google detects that your website\ncontains social engineering content, the Chrome browser may display a \"Deceptive site ahead\"\nwarning when visitors view your site. You can check if any pages on your site are suspected of\ncontaining social engineering attacks by visiting the Security Issues report in Search Console.\n\n[Open\nthe Security Issues Report](https://search.google.com/search-console/security-issues)\n\nWhat is social engineering?\n---------------------------\n\nA *social engineering attack* is when a web user is tricked into doing something\ndangerous online.\n\nThere are different types of social engineering attacks:\n\n- **[Phishing](https://support.google.com/websearch/answer/106318):** The site tricks users into revealing their personal information (for example, passwords, phone numbers, or social security numbers). In this case, the content pretends to act, or looks and feels, like a trusted entity --- for example, a browser, operating system, bank, or government.\n- **Deceptive content:** The content tries to trick you into doing something you'd only do for a trusted entity --- for example, sharing a password, calling tech support, downloading software, or the content contains an ad that falsely claims that device software is out-of-date, prompting users into installing unwanted software.\n- **Insufficiently labeled third-party services:** A *third-party service* is someone that operates a site or service on behalf of another entity. If you (third party) operate a site on behalf of another (first) party without making the relationship clear, that might be flagged as social engineering. For example, if you (first party) run a charity website that uses a donation management website (third party) to handle collections for your site, the donation site must clearly identify that it is a third-party platform acting on behalf of that charity site, or else it could be considered social engineering.\n\n[Google Safe\nBrowsing](https://www.google.com/transparencyreport/safebrowsing) protects web users by warning users before they visit pages that consistently\nengage in social engineering.\n\nWeb pages are considered social engineering when they either:\n\n- Pretend to act, or look and feel, like a trusted entity, like your own device or browser, or the website itself, or\n- Try to trick you into doing something you'd only do for a trusted entity, like sharing a password, or calling a tech support number, or downloading software.\n\n### Social engineering in embedded content\n\nSocial engineering can also show up in content that is embedded in otherwise benign websites,\nusually in ads. Embedded social engineering content is a policy violation for the host page.\n\nSometimes embedded social engineering content will be visible to users on the host page, as\nshown in the [examples](#example). In other cases, the host site does not contain\nany visible ads, but leads users to social engineering pages via pop-ups, pop-unders, or other\ntypes of redirection. In both cases, this type of embedded social engineering content will\nresult in a policy violation for the host page.\n\nBut I don't engage in social engineering!\n-----------------------------------------\n\nDeceptive social engineering content may be included via resources embedded in the page, such\nas images, other third-party components, or ads. Such deceptive content may trick site visitors\ninto downloading [unwanted\nsoftware](https://www.google.com/about/unwanted-software-policy.html).\n\nAdditionally, **hackers** can take control of innocent sites and use them to\nhost or distribute social engineering content. The hacker could change the content of the site\nor add additional pages to the site, often with the intent of tricking visitors into parting\nwith personal information such as credit card numbers. You can find out if your site has been\nidentified as a site that hosts or distributes social engineering content by checking the\nSecurity Issues report in Search Console.\n\nSee our [Help\nfor Hacked Sites](https://web.dev/articles/hacked) if you believe that your site has been hacked.\n\nExamples of social engineering violations\n-----------------------------------------\n\n### Deceptive content examples\n\nHere are some examples of pages that engage in social engineering practices:\n\n\u003cbr /\u003e\n\nDeceptive popup intended to trick the user into installing malware.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to help the user update their browser\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nFake Google login page\n\n\u003cbr /\u003e\n\n| Note the deceptive URL. Other phishing sites like this could trick you into giving up other personal information such as credit card information. Phishing sites may look exactly like the real site---so be sure to look at the address bar to check that the URL is correct, and also check to see that the website begins with `https://`.\n\n### Deceptive ad examples\n\nHere are some examples of deceptive content inside embedded ads. These ads appear to be part\nof the page interface rather than ads.\n\n\u003cbr /\u003e\n\nDeceptive popup claiming that the user's software is out of date.\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nDeceptive popup claiming to come from the FLV developer\n\n\u003cbr /\u003e\n\n\u003cbr /\u003e\n\nAds masquerading as page action buttons.\n\n\u003cbr /\u003e\n\nFixing the problem\n------------------\n\nIf your site is flagged for containing social engineering (deceptive content), ensure that\nyour page doesn't engage in any of the [practices](#examples), and then follow these steps:\n\n1. **Check in Search Console** .\n - [Verify that you own your site in Search Console](https://support.google.com/webmasters/answer/2739618) and that no new, suspicious owners have been added.\n -\n Check the\n [Security Issues report](https://search.google.com/search-console/security-issues)\n to see if your site is listed as containing deceptive content (the\n reporting term for social engineering). If the report contains sample flagged URLs, visit\n some of those URLs listed in the report, but use a computer that's not inside the network\n that is serving your website (clever hackers can disable their attacks if they think the\n visitor is a website owner).\n\n\n If the report doesn't contain sample URLs and you're confident your site doesn't contain\n social engineering (deceptive content),\n [request a security review](https://support.google.com/webmasters/answer/9044101#fix)\n in the Security Issues report.\n2. **Remove deceptive content** . Ensure that none of your site's pages contain deceptive content. If you believe Safe Browsing has classified a web page in error, [report it](https://www.google.com/safebrowsing/report_error/).\n3. **Check the third-party resources included in your site** . Ensure that any ads, images, or other embedded third-party resources on your site's pages are not deceptive.\n - Note that ad networks may rotate the ads shown on your site's pages. Therefore, you might need to refresh a page a few times before you're able to see any social engineering ads appear.\n - Some ads may appear differently on mobile devices and desktop computers. You can use the [URL\n Inspection tool](https://support.google.com/webmasters/answer/9012289) to view your site in both mobile and desktop views.\n - Follow the [third-party service guidelines](#third-party-guidelines) for any third-party services, such as payment services, that you use in your site.\n4. **Request a review** . After you remove all social engineering content from your site, you can [request a security review](https://support.google.com/webmasters/answer/9044101#fix) in the Security Issues report. A review can take several days to complete.\n\n### Third-party service guidelines\n\nIf you include a third-party service in your site, we recommend that you meet the following conditions\nin order to avoid being labeled as social engineering:\n\n- On every page, the third-party site clearly includes the third-party brand in a way that ensures users understand who is operating the site. For example, by including the third-party brand at the top of the page.\n- On every page that contains first-party branding, explicitly state the relationship between the first and third party, and provide a link for more information. For example, a statement like this: *This service is hosted by Example.com on behalf of Example.charities.com. More\n information.*\n\nA good usability guideline is whether a user viewing the page in isolation understands which\nsite they are on, and the relationship between the first and third party at all times.\n| **Best practice:** If you need a third party to perform a basic support service for your site, a best practice is to use an industry standard third party for that service. For example, to manage user authentication on your site, use [OAuth](https://oauth.net/) rather than managing authentication yourself.\n\nIf you're a Search Console user and are having trouble with persistent or unfixable security issues on your site, you can let us know.\n\n[Report a security issue](https://support.google.com/webmasters/contact/report_security_issues)"]]
