Fraud Rehberi

Bankacılıkta Dijital Dolandırıcılık Trendleri

Written by

admin

in

Dijital Bankacılığın Büyümesi ve Fraud Artışı

Türkiye’de dijital bankacılık kullanımı son yıllarda büyük bir ivme kazandı. Türkiye Bankalar Birliği verilerine göre, aktif dijital bankacılık müşteri sayısı 80 milyonu aşmış durumda ve mobil bankacılık işlem hacmi her yıl çift haneli büyüme oranlarıyla artmaya devam ediyor. Ancak bu dijital dönüşüm, beraberinde ciddi güvenlik risklerini de getiriyor. Bankacılıkta dijital dolandırıcılık vakaları, dijitalleşme hızıyla doğru orantılı olarak artış göstermekte ve finansal kurumlar için en büyük operasyonel risk kalemlerinden birini oluşturmaktadır.

2025 yılı itibarıyla küresel ölçekte bankacılık fraud kayıplarının yıllık 40 milyar doları aştığı tahmin edilmektedir. Türkiye özelinde ise BDDK ve MASAK raporları, dijital kanallar üzerinden gerçekleştirilen dolandırıcılık vakalarında yıldan yıla belirgin bir artış olduğunu ortaya koymaktadır. Bu durum, bankaların fraud önleme stratejilerini sürekli güncellemesini ve yeni teknolojilere yatırım yapmasını zorunlu kılmaktadır.

Dolandırıcılar, yapay zekâ destekli araçlardan sosyal mühendislik tekniklerine kadar geniş bir yelpazede sofistike yöntemler kullanmaktadır. Artık bankacılıkta dijital dolandırıcılık sadece teknik bir mesele olmaktan çıkmış, psikolojik manipülasyon ve organizasyonel açıkların da istismar edildiği çok boyutlu bir tehdit haline gelmiştir.

Bankacılıkta Başlıca Fraud Türleri

Bankacılık sektörünü hedef alan dolandırıcılık türleri oldukça çeşitlidir. Her bir fraud türü, farklı zafiyetleri istismar eder ve farklı önleme stratejileri gerektirir. İşte bankacılıkta en yaygın karşılaşılan dijital dolandırıcılık türleri:

Mobil Bankacılık Fraud

Mobil bankacılık uygulamaları, dolandırıcılar için birincil hedef haline gelmiştir. Sahte bankacılık uygulamaları, zararlı yazılım bulaştırılmış cihazlar ve ele geçirilmiş hesaplar üzerinden gerçekleştirilen işlemler bu kategorinin başlıca örnekleridir. Dolandırıcılar, kullanıcıları sahte uygulama mağazalarına yönlendirerek veya meşru uygulamalara trojan yerleştirerek bankacılık kimlik bilgilerini ele geçirmektedir.

Overlay attack (ekran üstü saldırı) yöntemiyle, kullanıcı gerçek bankacılık uygulamasını açtığında üzerine sahte bir giriş ekranı yerleştirilir ve girilen bilgiler doğrudan saldırganın eline geçer. Ayrıca keylogger yazılımları, ekran kayıt araçları ve uzaktan erişim trojanları (RAT) da mobil bankacılık fraud’unun yaygın araçları arasındadır.

SIM Swap Saldırıları

SIM swap, bankacılıkta dijital dolandırıcılığın en tehlikeli formlarından biridir. Bu saldırıda dolandırıcı, hedef kişinin telefon numarasını kendi kontrolündeki bir SIM karta aktarır. Bu işlem genellikle mobil operatör çalışanlarının sosyal mühendislik yoluyla manipüle edilmesiyle veya sahte kimlik belgeleri kullanılarak gerçekleştirilir.

SIM swap başarılı olduğunda, saldırgan SMS tabanlı iki faktörlü doğrulama (2FA) kodlarını ele geçirir ve banka hesaplarına erişim sağlar. Türkiye’de özellikle son dönemde SIM swap vakalarında ciddi bir artış gözlemlenmekte olup, bu durum SMS tabanlı doğrulamanın güvenilirliğini sorgulatmaktadır.

  • Sosyal mühendislik: Operatör çağrı merkezlerinin manipüle edilmesi
  • İçeriden tehdit: Operatör çalışanlarının rüşvetle ikna edilmesi
  • Sahte belgeler: Kimlik ve vekaletnamesahteciliği ile SIM değişikliği
  • Port-out fraud: Numaranın farklı bir operatöre taşınması yoluyla el değiştirmesi

Phishing ve Smishing Saldırıları

Oltalama saldırıları, bankacılık sektöründe en yaygın dolandırıcılık yöntemi olmaya devam etmektedir. Phishing (e-posta tabanlı oltalama) ve smishing (SMS tabanlı oltalama) saldırılarında dolandırıcılar, bankanın resmi iletişimlerini taklit ederek müşterileri sahte web sitelerine yönlendirir.

Günümüzde phishing saldırıları çok daha sofistike hale gelmiştir. Yapay zekâ ile oluşturulan e-postalar, dilbilgisi hatalarından arınmış ve kurumsal iletişim tarzını birebir taklit eden içerikler üretebilmektedir. Ayrıca spear phishing (hedefli oltalama) saldırılarında, kişiye özel bilgiler kullanılarak güvenilirlik artırılmaktadır.

Smishing saldırılarında ise “Hesabınıza şüpheli giriş tespit edildi” veya “Kartınız bloke edilmiştir” gibi aciliyet yaratan mesajlarla müşteriler sahte bağlantılara tıklamaya yönlendirilmektedir. Bu bağlantılar, bankanın gerçek web sitesinin birebir kopyası olan sahte sayfalara yönlendirir.

Authorized Push Payment (APP) Fraud

APP fraud, mağdurun kendi rızasıyla dolandırıcının hesabına para göndermesi şeklinde gerçekleşen bir dolandırıcılık türüdür. Bu yöntemde teknik bir sızma veya hesap ele geçirme söz konusu değildir; bunun yerine sosyal mühendislik teknikleri kullanılarak mağdur ikna edilir.

Yaygın APP fraud senaryoları şunlardır:

  • CEO fraud / BEC: Şirket üst yöneticisinin kimliğine bürünerek acil havale talimatı verilmesi
  • Fatura dolandırıcılığı: Tedarikçi fatura bilgilerinin değiştirilmesi ve ödemenin sahte hesaba yönlendirilmesi
  • Romantik dolandırıcılık: Sosyal medya veya tanışma uygulamaları üzerinden duygusal bağ kurularak para transferi sağlanması
  • Yatırım dolandırıcılığı: Sahte yatırım fırsatları sunularak yüksek getiri vaadi ile para aktarımı
  • Teknik destek dolandırıcılığı: Banka veya teknoloji şirketi çalışanı kılığında aranarak hesap bilgilerinin alınması

APP fraud’un önlenmesi özellikle zordur çünkü işlem, meşru müşteri tarafından onaylanmaktadır. Bu durum, bankaların sorumluluk ve tazminat politikalarında da önemli tartışmalara yol açmaktadır.

Mule Account (Para Katırı) Kullanımı

Para katırı hesapları, dolandırıcılık gelirlerinin aklanması için kullanılan aracı banka hesaplarıdır. Dolandırıcı örgütler, suç gelirlerini izlenemez hale getirmek için birden fazla hesap üzerinden hızlı transferler gerçekleştirir. Para katırları genellikle üç kategoride sınıflandırılır:

  • Bilmeden katır olanlar: İş ilanları veya kolay para kazanma vaatleriyle kandırılan kişiler
  • Şüphelenen katırlar: İşin yasallığından şüphe duyan ancak maddi kazanç için devam edenler
  • Bilinçli katırlar: Suç örgütünün aktif parçası olarak hareket edenler

Türkiye’de özellikle üniversite öğrencileri ve ekonomik sıkıntı yaşayan bireyler, sosyal medya üzerinden yayınlanan sahte iş ilanlarıyla para katırı olarak devşirilmektedir. Bu hesaplar, MASAK tarafından izlenmekte ve şüpheli işlem bildirimi kapsamında değerlendirilmektedir.

İç Fraud (Çalışan Dolandırıcılığı)

Bankacılık sektöründe iç fraud, kurum çalışanlarının yetkilerini kötüye kullanarak gerçekleştirdiği dolandırıcılık faaliyetlerini kapsar. Müşteri bilgilerine yetkisiz erişim, hesap manipülasyonu, kredi dolandırıcılığı ve bilgi sızdırma gibi eylemler bu kategoriye girmektedir.

İç fraud, dışarıdan gelen saldırılara kıyasla tespit edilmesi çok daha zor olan bir tehdit türüdür. Çalışan, sistemlere meşru erişim yetkisine sahip olduğundan, normal iş süreçleri içinde gerçekleştirilen kötü niyetli faaliyetler kolayca gözden kaçabilir. Bu nedenle bankalar, dört göz prensibi ve kapsamlı iç denetim mekanizmaları uygulamaktadır.

SWIFT ve EFT Fraud

SWIFT (Society for Worldwide Interbank Financial Telecommunication) sistemi üzerinden gerçekleştirilen dolandırıcılık, bankacılık tarihinin en yüksek tutarlı fraud vakalarını içermektedir. 2016 yılında Bangladeş Merkez Bankası’ndan SWIFT sistemi üzerinden 81 milyon dolar çalınması, küresel bankacılık sektöründe bir dönüm noktası olmuştur.

SWIFT fraud genellikle şu aşamalardan oluşur:

  • Banka iç ağına sızma ve SWIFT terminallerine erişim sağlama
  • SWIFT mesaj formatlarının öğrenilmesi ve sahte transfer talimatları oluşturulması
  • Güvenlik kontrollerinin atlatılması veya devre dışı bırakılması
  • Fonların birden fazla ülkedeki hesaplara dağıtılması

EFT (Elektronik Fon Transferi) fraud’u ise Türkiye’nin ulusal ödeme sistemi üzerinden gerçekleştirilen dolandırıcılık faaliyetlerini kapsar. Ele geçirilmiş kurumsal hesaplardan yetkisiz EFT talimatları gönderilmesi, bu kategorinin en yaygın örneğidir. Bankaların EFT işlemlerinde uygulanan limit kontrolleri, çift onay mekanizmaları ve işlem izleme sistemleri, bu tür saldırılara karşı kritik savunma hatlarını oluşturur.

FAST Sistemi ve Anlık Transfer Riskleri

FAST (Fonların Anlık ve Sürekli Transferi), Türkiye Cumhuriyet Merkez Bankası tarafından işletilen ve 7/24 anlık para transferi imkânı sunan bir sistemdir. FAST’ın yaygınlaşması, müşteri deneyimini önemli ölçüde iyileştirmiş olsa da, dolandırıcılık açısından yeni riskler ortaya çıkarmıştır.

Anlık transferlerin geri alınamaması, FAST’ı dolandırıcılar için cazip bir kanal haline getirmektedir. Geleneksel EFT işlemlerinde mevcut olan geri alma veya durdurma penceresi, FAST’ta saniyeler içinde kapanmaktadır. Bu durum, özellikle APP fraud ve para katırı operasyonlarında FAST’ın tercih edilmesine yol açmaktadır.

FAST kaynaklı risklerin yönetimi için bankalar, işlem öncesi risk değerlendirmesini milisaniyeler içinde tamamlayabilen gerçek zamanlı fraud skorlama sistemlerine yatırım yapmaktadır. Alıcı hesap kontrolü, işlem tutarı analizi ve davranışsal anomali tespiti, FAST fraud’unun önlenmesinde kritik öneme sahiptir.

Bankaların Fraud Önleme Yaklaşımları

Modern bankacılıkta fraud önleme, çok katmanlı bir savunma stratejisi gerektirir. Tek bir güvenlik önleminin yeterli olmadığı günümüzde, bankalar birden fazla teknolojiyi ve süreci entegre eden kapsamlı fraud yönetim çerçeveleri oluşturmaktadır.

İşlem İzleme ve Gerçek Zamanlı Puanlama

İşlem izleme (transaction monitoring) sistemleri, bankacılık fraud önlemenin temelini oluşturur. Bu sistemler, her işlemi gerçek zamanlı olarak analiz eder ve risk puanı atar. Makine öğrenmesi algoritmaları, normal müşteri davranış kalıplarını öğrenerek anomalileri tespit eder.

Gerçek zamanlı puanlama sistemleri şu parametreleri değerlendirir:

  • İşlem tutarı ve sıklığı
  • Coğrafi konum ve IP adresi analizi
  • İşlem saati ve müşterinin alışkanlık kalıpları
  • Alıcı hesap risk profili ve geçmiş fraud ilişkisi
  • Cihaz bilgileri ve oturum davranışı
  • Ağ analizi ve hesaplar arası ilişki haritası

Risk puanı belirlenen eşik değerlerin üzerinde olan işlemler, otomatik olarak bloke edilir veya ek doğrulama adımlarına yönlendirilir. Bu sistemlerin etkinliği, yanlış pozitif oranının düşük tutulmasına bağlıdır; aksi takdirde meşru müşteri işlemleri engellenerek müşteri deneyimi olumsuz etkilenir.

Çok Faktörlü Doğrulama (MFA)

Çok faktörlü doğrulama, kullanıcının kimliğini birden fazla bağımsız yöntemle doğrulayan bir güvenlik katmanıdır. Bankacılıkta yaygın kullanılan doğrulama faktörleri şunlardır:

  • Bilgi faktörü: Şifre, PIN, güvenlik sorusu
  • Sahiplik faktörü: Mobil cihaz, donanım token, akıllı kart
  • Biyometrik faktör: Parmak izi, yüz tanıma, ses tanıma

SMS tabanlı OTP (tek kullanımlık şifre) hâlâ yaygın olarak kullanılmakla birlikte, SIM swap saldırıları nedeniyle güvenilirliği tartışılmaktadır. Bu nedenle bankalar, uygulama tabanlı doğrulama (push notification), biyometrik doğrulama ve donanım güvenlik anahtarlarına geçiş yapmaktadır.

Davranışsal Biyometri

Davranışsal biyometri, kullanıcının dijital davranış kalıplarını analiz ederek kimlik doğrulaması yapan ileri düzey bir teknolojidir. Klavye yazım hızı ve ritmi, fare hareketleri, dokunmatik ekran etkileşim biçimi, telefonu tutma açısı ve uygulama kullanım alışkanlıkları gibi yüzlerce parametre sürekli olarak izlenir.

Bu teknoloji, oturum boyunca sürekli kimlik doğrulama imkânı sunar. Bir hesap ele geçirildiğinde, saldırganın davranış kalıpları meşru kullanıcıdan farklılık gösterir ve sistem otomatik olarak uyarı üretir. Davranışsal biyometri, kullanıcı deneyimini bozmadan arka planda çalışması nedeniyle bankacılıkta giderek daha fazla benimsenmektedir.

Cihaz Tanıma ve Parmak İzi

Cihaz parmak izi (device fingerprinting), kullanıcının bağlandığı cihazın benzersiz özelliklerini kaydederek tanımlama yapan bir güvenlik yöntemidir. İşletim sistemi, tarayıcı sürümü, ekran çözünürlüğü, yüklü yazı tipleri, donanım özellikleri ve ağ yapılandırması gibi onlarca parametre birleştirilerek cihaza özgü bir parmak izi oluşturulur.

Tanınmayan bir cihazdan gelen işlemler, ek doğrulama adımlarına tabi tutulur. Ayrıca jailbreak veya root edilmiş cihazlar, VPN kullanımı ve emülatör tespiti de cihaz güvenlik değerlendirmesinin parçasıdır.

MASAK Yükümlülükleri ve Şüpheli İşlem Bildirimi

MASAK (Mali Suçları Araştırma Kurulu), Türkiye’de suç gelirlerinin aklanması ve terörün finansmanının önlenmesi konusunda yetkili kuruluştur. Bankalar, 5549 sayılı Kanun kapsamında MASAK’a karşı önemli yükümlülükler taşımaktadır.

Bankaların temel MASAK yükümlülükleri şunlardır:

  • Müşteri tanıma (KYC): Hesap açılışında ve iş ilişkisi süresince müşteri kimliğinin doğrulanması
  • Şüpheli işlem bildirimi (ŞİB): Şüpheli bulunan işlemlerin 10 iş günü içinde MASAK’a bildirilmesi
  • Eşik değer üstü işlem bildirimi: Belirlenen tutarların üzerindeki nakit işlemlerin otomatik raporlanması
  • Risk bazlı yaklaşım: Müşteri risk sınıflandırması yapılarak yüksek riskli müşterilere sıkılaştırılmış tedbirlerin uygulanması
  • Saklama yükümlülüğü: İşlem kayıtlarının ve müşteri belgelerinin en az 8 yıl saklanması

Şüpheli işlem bildirimi, bankacılıkta dijital dolandırıcılıkla mücadelenin en kritik araçlarından biridir. Bankaların uyum birimleri, otomatik izleme sistemleri tarafından tetiklenen uyarıları değerlendirir ve gerekli bildirimleri yapar. Bu süreçte tipping off (ihbar yasağı) kuralı gereği, müşteriye bildirim yapıldığının söylenmesi yasaktır.

PEP Kontrolü ve Yaptırım Taraması

PEP (Politically Exposed Person – Siyasi Nüfuz Sahibi Kişi) kontrolü, bankacılıkta zorunlu bir uyum sürecidir. Siyasi nüfuz sahibi kişiler, rüşvet ve yolsuzluk riski nedeniyle yüksek riskli müşteri kategorisinde değerlendirilir. PEP kapsamına devlet başkanları, üst düzey bürokratlar, yargıçlar, askeri komutanlar ve bunların yakın aile üyeleri ile iş ortakları girmektedir.

Bankalar, müşteri kabul sürecinde ve periyodik olarak PEP taraması yapmak zorundadır. PEP olarak tanımlanan müşteriler için sıkılaştırılmış müşteri durum tespiti (Enhanced Due Diligence – EDD) uygulanır ve üst yönetim onayı alınır.

FATF Kara ve Gri Liste Eşleştirme

FATF (Financial Action Task Force), kara para aklamanın ve terörün finansmanının önlenmesi konusunda uluslararası standartları belirleyen kuruluştur. FATF’ın yayımladığı kara liste ve gri liste, bankaların işlem izleme süreçlerinde kritik bir referans noktasıdır.

Bankalar, uluslararası transferlerde ilgili ülkelerin FATF listelerindeki konumunu değerlendirir. Kara listede yer alan ülkelerle yapılan işlemlere karşı önlem alınması (counter-measure) zorunludur. Gri listede yer alan ülkelerle yapılan işlemlerde ise sıkılaştırılmış durum tespiti uygulanır. Ayrıca BM, AB ve OFAC yaptırım listeleri de düzenli olarak taranmaktadır.

Dört Göz Prensibi ve Maker-Checker Onay Akışı

Dört göz prensibi (four-eye principle), kritik işlemlerin en az iki yetkili kişi tarafından onaylanmasını gerektiren bir iç kontrol mekanizmasıdır. Bankacılıkta bu prensip, maker-checker onay akışı olarak yapılandırılır: bir çalışan işlemi başlatır (maker), başka bir yetkili kişi kontrol ederek onaylar (checker).

Bu mekanizma özellikle şu süreçlerde uygulanır:

  • Yüksek tutarlı para transferleri
  • Müşteri bilgi değişiklikleri (adres, telefon, e-posta güncellemeleri)
  • Limit artırma talepleri
  • SWIFT mesaj onayları
  • Yeni ürün ve hizmet tanımlamaları
  • Sistem erişim yetkilendirmeleri

Maker-checker akışı, hem iç fraud riskini azaltır hem de operasyonel hata olasılığını minimize eder. Dijital ortamda bu süreç, iş akışı yönetim sistemleri üzerinden otomatize edilmiş olup, tam bir denetim izi (audit trail) bırakılmaktadır.

2026 Bankacılık Fraud Trendleri

Bankacılık sektöründe dijital dolandırıcılık, 2026 yılında yeni boyutlar kazanmaya devam etmektedir. İşte sektörün yakından takip ettiği güncel fraud trendleri:

Yapay Zekâ Destekli Saldırılar

Deepfake teknolojisi, bankacılık fraud’unda yeni bir dönem başlatmıştır. Ses klonlama ile banka çalışanlarının veya müşterilerin seslerinin taklit edilmesi, video deepfake ile uzaktan kimlik doğrulama süreçlerinin atlatılması ve yapay zekâ ile üretilen ultra-gerçekçi phishing içerikleri, 2026’nın en büyük tehditlerinden birini oluşturmaktadır.

Açık Bankacılık ve API Riskleri

Açık bankacılık düzenlemeleri kapsamında üçüncü taraf sağlayıcılara açılan API’ler, yeni saldırı vektörleri oluşturmaktadır. API güvenlik açıkları, yetkisiz veri erişimi ve sahte üçüncü taraf uygulamalar, bu alandaki başlıca riskleri oluşturmaktadır.

Kripto Para ve DeFi Bağlantılı Fraud

Geleneksel bankacılık ile kripto para ekosistemi arasındaki köprülerin artması, yeni fraud senaryolarını beraberinde getirmektedir. Banka hesaplarından kripto borsalarına hızlı fon transferi, para aklama operasyonlarında kripto paraların kullanılması ve DeFi protokollerinin istismar edilmesi, bankaların izleme kapsamını genişletmesini gerektirmektedir.

Gerçek Zamanlı Ödeme Sistemlerinin Yaygınlaşması

FAST gibi anlık ödeme sistemlerinin kullanımının artmasıyla birlikte, fraud önleme sistemlerinin de aynı hızda karar vermesi gerekmektedir. Milisaniyeler içinde risk değerlendirmesi yapabilen yapay zekâ modelleri, 2026’da bankacılık güvenliğinin en kritik yatırım alanlarından birini oluşturmaktadır.

İşbirlikçi Fraud İstihbaratı

Bankalar arası fraud istihbarat paylaşımı, sektörel savunmayı güçlendiren önemli bir trend olarak öne çıkmaktadır. Konsorsiyum tabanlı veri paylaşım platformları, dolandırıcı profilleri ve saldırı kalıplarının sektör genelinde paylaşılmasını sağlayarak, bireysel bankaların tespit kapasitesinin ötesinde bir koruma düzeyi sunmaktadır.

Sonuç

Bankacılıkta dijital dolandırıcılık, teknolojinin gelişimiyle birlikte sürekli evrim geçiren dinamik bir tehdit alanıdır. Mobil bankacılık fraud’undan SWIFT saldırılarına, SIM swap’tan APP fraud’a kadar geniş bir yelpazede faaliyet gösteren dolandırıcılar, her geçen gün daha sofistike yöntemler geliştirmektedir.

Bankaların bu tehditlere karşı etkili bir savunma oluşturabilmesi için teknoloji, süreç ve insan üçgeninde bütüncül bir yaklaşım benimsemesi gerekmektedir. Gerçek zamanlı işlem izleme, yapay zekâ destekli anomali tespiti, davranışsal biyometri ve güçlü kimlik doğrulama mekanizmaları, teknik savunmanın temel taşlarını oluşturur. MASAK uyum süreçleri, PEP kontrolleri ve FATF yaptırım taramaları ise düzenleyici çerçevenin gerekliliklerini karşılar.

2026 yılında bankacılıkta dijital dolandırıcılık ile mücadele, yapay zekâ ve makine öğrenmesi teknolojilerinin daha etkin kullanılmasını, sektörler arası işbirliğinin güçlendirilmesini ve müşteri farkındalığının artırılmasını gerektirmektedir. Proaktif ve adaptif bir fraud yönetim stratejisi, finansal kurumların hem müşterilerini hem de kurumsal itibarlarını korumasının anahtarıdır.

İlgili Yazılar

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

More posts