Fraud Rehberi

Category: Güncel Tehditler

En son dolandırıcılık yöntemleri, deepfake tehditleri, sosyal mühendislik ve güncel fraud trendleri.

  • Yapay Zeka ile Dolandırıcılık: Deepfake ve Yeni Nesil Tehditler

    Yapay Zeka Dolandırıcılık Dünyasını Nasıl Değiştiriyor?

    Yapay zeka teknolojileri hayatımızın her alanında devrim yaratırken, yapay zeka dolandırıcılık yöntemlerinde de köklü bir dönüşüme yol açıyor. Geleneksel dolandırıcılık teknikleri, insan becerisi ve zamanla sınırlıyken; günümüzde yapay zeka destekli araçlar, suçlulara daha önce hayal bile edemeyecekleri ölçekte ve sofistikasyonda saldırı kapasitesi sunuyor.

    2025 yılında küresel ölçekte yapay zeka destekli dolandırıcılık vakalarında yüzde 300 aşan bir artış gözlemlendi. Deepfake teknolojisi, ses klonlama, yapay zeka ile oluşturulan phishing e-postaları ve sentetik kimlikler; fraud ekosisteminin yeni silahları haline geldi. Bu rehberde, yapay zeka dolandırıcılık tehditlerinin tüm boyutlarını, gerçek vakaları ve korunma yöntemlerini kapsamlı şekilde ele alıyoruz.

    Deepfake Fraud: Görüntü ve Sesin Silah Olarak Kullanımı

    Deepfake teknolojisi, yapay zeka dolandırıcılık alanında en çarpıcı ve tehlikeli gelişmelerin başında geliyor. Yüz değiştirme, ses klonlama ve video manipülasyonu artık yalnızca film stüdyolarının değil, siber suçluların da araç kutusunda yer alıyor.

    Video Deepfake ile Kimlik Doğrulama Atlatma

    Birçok finans kuruluşu ve dijital platform, müşteri kimlik doğrulaması için video tabanlı KYC (Know Your Customer) süreçleri kullanıyor. Dolandırıcılar, deepfake teknolojisini kullanarak bu sistemleri atlatmayı başarıyor. İşte bu sürecin işleyişi:

    • Hedef belirleme: Dolandırıcılar, sosyal medya hesaplarından kurbanın yüz görüntülerini ve videolarını toplar.
    • Model eğitimi: Toplanan görüntülerle yapay zeka modeli eğitilerek gerçek zamanlı yüz değiştirme kapasitesi oluşturulur.
    • Canlı doğrulama atlatma: Video görüşme sırasında deepfake filtresi uygulanarak kimlik doğrulama süreçleri geçilir.
    • Hesap ele geçirme: Doğrulama tamamlandıktan sonra kurbanın hesabına erişim sağlanır veya sahte hesap açılır.

    2025 yılında Güneydoğu Asya da bir bankada gerçekleştirilen deepfake saldırısında, dolandırıcılar video KYC sürecini atlatarak 25 milyon dolarlık yetkisiz işlem gerçekleştirmeyi başardı. Bu vaka, finansal kurumların mevcut doğrulama sistemlerinin ne kadar savunmasız olduğunu gözler önüne serdi.

    Ses Klonlama ile Telefon Dolandırıcılığı

    Voice cloning olarak bilinen ses klonlama teknolojisi, yapay zeka dolandırıcılık yöntemleri arasında en hızlı büyüyen tehditlerden biri. Sadece birkaç saniyelik ses kaydı ile bir kişinin sesinin neredeyse birebir kopyası oluşturulabiliyor.

    • Aile üyelerinin sesini taklit ederek acil para talep etme
    • Banka müşteri temsilcisi gibi arayarak hesap bilgilerini ele geçirme
    • Şirket yöneticilerinin sesini klonlayarak çalışanlara sahte talimat verme
    • Sesli kimlik doğrulama sistemlerini atlatma

    Türkiye de 2025 yılında artan aile üyesi taklidi dolandırıcılıklarının önemli bir kısmında ses klonlama teknolojisinin kullanıldığı tespit edildi. Kurbanlar, telefonun diğer ucundaki sesin gerçek yakınlarına ait olduğuna ikna oluyor ve büyük maddi kayıplar yaşıyor.

    CEO Fraud ve BEC Saldırılarında Deepfake Kullanımı

    Business Email Compromise (BEC) saldırıları, şirketlere yönelik en maliyetli dolandırıcılık türlerinden biri olmaya devam ediyor. Yapay zeka, bu saldırıları çok daha inandırıcı hale getiriyor:

    • Deepfake video konferans: CEO nun yüzü ve sesiyle sahte video toplantı düzenlenerek finans ekibine havale talimatı verilmesi
    • Ses klonlu telefon araması: CFO nun sesini taklit ederek acil ödeme talimatı iletilmesi
    • Yapay zeka destekli e-posta zinciri: Yöneticinin yazım tarzını mükemmel taklit eden e-postalarla ikna sürecinin yönetilmesi

    2024 yılında Hong Kong da yaşanan ve büyük yankı uyandıran vakada, dolandırıcılar deepfake video konferans yöntemiyle bir şirketin finans departmanını kandırarak 25 milyon dolar transfer ettirdi. Birden fazla üst düzey yöneticinin deepfake görüntüsü eşzamanlı olarak kullanıldı. Bu vaka, kurumsal güvenlik protokollerinin yeniden gözden geçirilmesi gerektiğini acı bir şekilde ortaya koydu.

    Yapay Zeka Destekli Phishing: Mükemmel Sahte İletişim

    Geleneksel phishing e-postaları genellikle yazım hataları, garip ifadeler ve genel içerikle kolayca ayırt edilebiliyordu. Yapay zeka dolandırıcılık araçları bu denklemi tamamen değiştirdi.

    Büyük Dil Modelleri ile Kusursuz Phishing E-postaları

    Günümüzde gelişmiş dil modelleri kullanılarak oluşturulan phishing e-postaları, gerçek kurumsal iletişimden ayırt edilemez düzeyde:

    • Dilbilgisi ve üslup mükemmelliği: Yapay zeka, hedef kurumun iletişim tarzını analiz ederek birebir kopyasını üretir.
    • Bağlamsal uygunluk: Güncel olayları, şirket haberlerini ve sektörel gelişmeleri e-postaya entegre eder.
    • Duygusal manipülasyon: Aciliyet, korku veya fırsat hissi yaratacak şekilde optimize edilmiş metinler oluşturur.
    • Çok aşamalı ikna: Tek bir e-posta yerine, güven inşa eden bir e-posta dizisi tasarlar.

    Araştırmalar, yapay zeka ile oluşturulan phishing e-postalarının tıklanma oranının geleneksel phishing e göre yüzde 60 daha yüksek olduğunu ortaya koyuyor. Bu durum, farkındalık eğitimlerinin ve teknik savunma mekanizmalarının güncellenmesini zorunlu kılıyor.

    Kişiselleştirilmiş Sosyal Mühendislik

    Yapay zeka, sosyal medya profillerini, kurumsal web sitelerini ve sızdırılmış veritabanlarını analiz ederek her bir hedefe özel kişiselleştirilmiş saldırı senaryoları oluşturabiliyor:

    • Hedefin ilgi alanlarına, hobilerine ve son paylaşımlarına göre özelleştirilmiş tuzaklar
    • İş değişikliği, terfi veya proje duyuruları gibi profesyonel olayları istismar eden senaryolar
    • Hedefin yakın çevresindeki kişilerin kimliğini taklit eden iletişimler
    • Coğrafi konum ve zaman dilimine göre optimize edilmiş gönderim zamanlaması

    Çok Dilli Fraud Kampanyaları

    Yapay zekanın dil yetenekleri sayesinde dolandırıcılar artık dünya genelinde eşzamanlı kampanyalar yürütebiliyor. Türkçe dahil onlarca dilde, yerel kültürel kodlara uygun, doğal ve ikna edici phishing içerikleri saniyeler içinde üretilebiliyor. Bu durum, özellikle Türkiye gibi daha önce dil bariyeri nedeniyle kısmen korunan pazarları yeni tehditlere açık hale getiriyor.

    Sentetik Kimlik Oluşturma: Yapay Zekanın Karanlık Yüzü

    Sentetik kimlik dolandırıcılığı, gerçek ve sahte bilgilerin birleştirilmesiyle tamamen yeni kimlikler oluşturulmasını içeriyor. Yapay zeka bu süreci dramatik şekilde hızlandırıyor ve otomatikleştiriyor:

    • GAN ile üretilen yüz fotoğrafları: Hiçbir gerçek kişiye ait olmayan, ancak son derece gerçekçi yüz görselleri oluşturulması
    • Sahte belge üretimi: Yapay zeka ile kimlik belgeleri, faturalar ve banka ekstreleri gibi doğrulama belgelerinin üretilmesi
    • Tutarlı dijital iz: Sosyal medya hesapları, e-posta geçmişi ve çevrimiçi aktivite oluşturarak sahte kimliğe derinlik kazandırılması
    • Kredi geçmişi inşası: Küçük ve düzenli işlemlerle zaman içinde güvenilir bir kredi profili oluşturulması

    Sentetik kimliklerle açılan hesaplar, ortalama 12-18 ay boyunca normal müşteri gibi davranarak güven kazanıyor ve ardından büyük miktarlı dolandırıcılık gerçekleştiriliyor. Bu durum, geleneksel fraud tespit sistemlerinin en büyük kör noktalarından birini oluşturuyor.

    Bot Saldırıları ve Credential Stuffing

    Yapay zeka destekli bot saldırıları, credential stuffing (çalıntı kimlik bilgileriyle otomatik giriş denemeleri) alanında ciddi bir tehdit oluşturuyor:

    • Akıllı CAPTCHA çözme: Yapay zeka modelleri, geleneksel CAPTCHA mekanizmalarını yüksek başarı oranıyla aşabiliyor.
    • İnsan benzeri davranış simulasyonu: Bot trafiği, fare hareketleri, tıklama desenleri ve sayfa gezinme alışkanlıkları taklit edilerek tespit sistemlerinden kaçınıyor.
    • Adaptif saldırı stratejileri: Yapay zeka, savunma mekanizmalarını analiz ederek gerçek zamanlı olarak saldırı taktiklerini değiştirebiliyor.
    • Dağıtık saldırı koordinasyonu: Binlerce farklı IP adresinden, farklı zamanlarda ve farklı paternlerle koordineli saldırılar düzenlenebiliyor.

    Her gün milyarlarca çalıntı kullanıcı adı ve parola kombinasyonu, yapay zeka destekli botlar tarafından çeşitli platformlarda deneniyor. Aynı parolayı birden fazla platformda kullanan kullanıcılar en büyük risk altında bulunuyor.

    Yapay Zeka ile Otomatik Fraud Operasyonları

    Yapay zeka, dolandırıcılık operasyonlarının ölçeklenmesini ve otomasyonunu mümkün kılıyor. Artık tek bir dolandırıcı, yapay zeka araçları sayesinde daha önce onlarca kişilik bir ekibin yapabileceği operasyonları yürütebiliyor:

    • Otomatik hedef tarama: Sosyal medya ve açık kaynaklardan potansiyel kurbanların otomatik olarak belirlenmesi ve profillenmesi
    • Dinamik senaryo üretimi: Her kurban için en etkili dolandırıcılık senaryosunun otomatik olarak oluşturulması
    • Gerçek zamanlı adaptasyon: Kurbanın tepkilerine göre stratejinin anında değiştirilmesi
    • Para akışı yönetimi: Elde edilen fonların karmaşık ağlar üzerinden otomatik olarak aklanması
    • Çoklu kanal koordinasyonu: E-posta, SMS, telefon ve sosyal medya üzerinden eşzamanlı ve tutarlı saldırı yürütülmesi

    Bu otomasyon seviyesi, dolandırıcılığın demokratikleşmesi olarak nitelendiriliyor. Teknik bilgisi sınırlı kişiler bile hazır yapay zeka araçlarıyla sofistike saldırılar düzenleyebilir hale geliyor.

    Yapay Zekaya Karşı Yapay Zeka: Savunma Stratejileri

    Yapay zeka dolandırıcılık alanında yalnızca saldırganların değil, savunmacıların da en güçlü silahı. AI a karşı AI yaklaşımı, modern fraud önleme stratejilerinin temelini oluşturuyor.

    Anomali Tespiti ve Davranış Analizi

    Makine öğrenimi modelleri, kullanıcı davranışlarındaki anormallikleri gerçek zamanlı olarak tespit edebiliyor:

    • İşlem deseni analizi: Olağandışı transfer tutarları, saatler ve alıcı profilleri belirlenir.
    • Cihaz parmak izi takibi: Aynı hesaba farklı cihazlardan veya konumlardan erişim denemeleri izlenir.
    • Oturum davranışı izleme: Kullanıcının platform üzerindeki gezinme ve etkileşim desenleri analiz edilir.
    • Ağ analizi: Hesaplar, cihazlar ve IP adresleri arasındaki bağlantılar haritalanarak organize dolandırıcılık ağları ortaya çıkarılır.

    Doğal Dil İşleme ile Phishing Tespiti

    Gelişmiş NLP (Doğal Dil İşleme) modelleri, phishing e-postalarını ve mesajlarını yüksek doğrulukla tespit edebiliyor:

    • E-posta içeriğindeki manipülatif dil kalıplarının belirlenmesi
    • Gönderenin yazım tarzındaki tutarsızlıkların tespiti
    • Bağlamsal uyumsuzlukların ve mantıksal tutarsızlıkların analizi
    • Çok dilli phishing içeriklerinin dil bağımsız olarak sınıflandırılması

    Deepfake Tespit Teknolojileri

    Deepfake içeriklerin tespiti için geliştirilen yapay zeka modelleri giderek daha sofistike hale geliyor:

    • Biyolojik sinyal analizi: Kalp atışı, göz kırpma ve mikro ifade tutarlılığının kontrol edilmesi
    • Piksel düzeyinde analiz: Görüntüdeki yapay oluşturma izlerinin tespit edilmesi
    • Ses spektrum analizi: Klonlanmış seslerdeki doğal olmayan frekans desenlerinin belirlenmesi
    • Temporal tutarlılık kontrolü: Video karelerindeki zamana bağlı tutarsızlıkların tespiti

    Ancak bu teknolojik yarış, sürekli bir kedi-fare oyunu niteliğindedir. Saldırganlar tespit yöntemlerini aşmak için modellerini geliştirirken, savunmacılar da yeni tespit teknikleri üzerinde çalışmaya devam ediyor.

    Kuruluşlar İçin Hazırlık ve Korunma Önerileri

    Yapay zeka destekli dolandırıcılık tehditlerine karşı kuruluşların kapsamlı bir savunma stratejisi oluşturması gerekiyor:

    • Çok katmanlı kimlik doğrulama: Tek bir doğrulama yöntemine güvenmek yerine, biyometrik, bilgi tabanlı ve cihaz tabanlı doğrulamayı birlikte kullanın.
    • Yapay zeka farkındalık eğitimleri: Çalışanları deepfake, ses klonlama ve yapay zeka destekli phishing konularında düzenli olarak eğitin.
    • Doğrulama protokolleri: Büyük tutarlı işlemler için çift onay mekanizması ve bant dışı doğrulama prosedürleri uygulayın. Özellikle üst yönetimden gelen acil ödeme talimatlarını mutlaka farklı bir kanaldan doğrulayın.
    • Yapay zeka destekli savunma sistemleri: Geleneksel kural tabanlı sistemlerin ötesine geçerek makine öğrenimi tabanlı fraud tespit çözümleri kullanın.
    • Olay müdahale planları: Deepfake veya yapay zeka destekli saldırılara özel müdahale prosedürleri oluşturun ve düzenli tatbikatlar yapın.
    • Sürekli izleme ve güncelleme: Tehdit ortamını düzenli olarak takip edin ve savunma stratejilerinizi buna göre güncelleyin.

    Etik Tartışmalar ve Regülasyon İhtiyacı

    Yapay zeka dolandırıcılık tehditleri, önemli etik ve yasal soruları da beraberinde getiriyor:

    • Yapay zeka geliştirici sorumluluğu: Açık kaynaklı yapay zeka modellerinin kötüye kullanımından kim sorumlu olmalı?
    • Düzenleyici çerçeve: Deepfake oluşturma ve dağıtımı konusunda yasal düzenlemeler yeterli mi?
    • Uluslararası iş birliği: Sınır ötesi yapay zeka destekli dolandırıcılıkla mücadelede ülkeler arası koordinasyon nasıl sağlanmalı?
    • Erişim kontrolü ve şeffaflık: Gelişmiş yapay zeka araçlarına erişim ne ölçüde kısıtlanmalı?

    Avrupa Birliğinin AI Act düzenlemesi, deepfake içeriklerin etiketlenmesini zorunlu kılan ilk kapsamlı yasal çerçeve olarak öne çıkıyor. Türkiye dahil birçok ülke, benzer düzenlemeler üzerinde çalışıyor. Ancak teknolojinin hızına yetişmek, regülatörler için en büyük zorluk olmaya devam ediyor.

    2026 ve Ötesi: Yapay Zeka Dolandırıcılığında Gelecek Tahminleri

    Yapay zeka dolandırıcılık alanında önümüzdeki dönemde beklenen gelişmeler şu şekilde özetlenebilir:

    • Gerçek zamanlı deepfake: Video görüşmelerde anlık yüz ve ses değiştirme teknolojisinin yaygınlaşması, canlı dolandırıcılık senaryolarını artıracak.
    • Otonom dolandırıcılık ajanları: Baştan sona insan müdahalesi olmadan çalışan, kendi kendini optimize eden yapay zeka fraud sistemleri ortaya çıkacak.
    • Multimodal saldırılar: Metin, ses, görüntü ve videoyu eşzamanlı kullanan bütünleşik saldırı senaryoları yaygınlaşacak.
    • Kuantum hesaplama tehdidi: Kuantum bilgisayarların gelişmesiyle mevcut şifreleme yöntemlerinin kırılma riski dolandırıcılık ekosistemini yeniden şekillendirecek.
    • Savunma teknolojilerinde sıçrama: Federe öğrenme, homomorfik şifreleme ve yapay zeka destekli biyometrik doğrulama sistemleri güçlenecek.
    • Regülasyonların olgunlaşması: Küresel ölçekte yapay zeka kullanımına yönelik standartlar ve denetim mekanizmaları netleşecek.

    Yapay zeka dolandırıcılık tehditleri her geçen gün daha sofistike hale gelirken, bireylerin ve kuruluşların proaktif bir güvenlik yaklaşımı benimsemesi hayati önem taşıyor. Teknolojiyi anlamak, güncel tehditleri takip etmek ve çok katmanlı savunma stratejileri uygulamak; bu yeni çağda güvende kalmanın temel anahtarları olacaktır.

  • Sosyal Mühendislik Saldırıları: İnsan Faktörü Nasıl Sömürülüyor?

    Sosyal Mühendislik Nedir?

    Sosyal mühendislik, insan psikolojisini hedef alan ve bireyleri manipüle ederek gizli bilgilere erişmeyi amaçlayan saldırı yöntemlerinin genel adıdır. Teknik güvenlik önlemlerini aşmak yerine, doğrudan insanların güvenini, korkularını, merakını veya aciliyet duygusunu istismar eden bu saldırılar, siber güvenlik dünyasının en tehlikeli ve en yaygın tehditlerinden birini oluşturmaktadır.

    Güvenlik duvarları, antivirüs yazılımları ve şifreleme teknolojileri ne kadar gelişmiş olursa olsun, bir çalışanın sahte bir e-postadaki bağlantıya tıklaması tüm bu savunma hatlarını bir anda geçersiz kılabilir. Sosyal mühendislik saldırıları, teknolojinin değil insanın zayıf halkası olduğu gerçeğinden beslenir. Araştırmalara göre, başarılı siber saldırıların yüzde 90’ından fazlası bir sosyal mühendislik bileşeni içermektedir.

    Neden Teknoloji Tek Başına Yetmiyor?

    Kurumlar her yıl milyonlarca lira siber güvenlik altyapısına yatırım yapmaktadır. Ancak en gelişmiş güvenlik sistemleri bile insan faktörünü tamamen ortadan kaldıramaz. Bunun başlıca nedenleri şunlardır:

    • İnsan davranışı öngörülemez: Stres, yorgunluk, dikkat dağınıklığı gibi durumlar çalışanları savunmasız hale getirir.
    • Güven duygusu istismar edilebilir: İnsanlar doğası gereği başkalarına güvenme eğilimindedir ve bu durum saldırganların işini kolaylaştırır.
    • Teknolojik filtreler atlatılabilir: Sosyal mühendislik saldırıları genellikle zararlı yazılım içermez; bu nedenle geleneksel güvenlik araçları tarafından tespit edilmesi güçtür.
    • Sürekli evrilen taktikler: Saldırganlar yöntemlerini sürekli güncelleyerek güvenlik sistemlerinin bir adım önünde kalmaya çalışır.

    Bu nedenle, teknik savunma mekanizmalarının yanı sıra insan odaklı güvenlik stratejileri geliştirmek hayati önem taşımaktadır.

    Sosyal Mühendislik Teknikleri

    Sosyal mühendislik saldırıları birçok farklı biçimde karşımıza çıkar. Her bir teknik, farklı bir iletişim kanalını ve psikolojik zafiyeti hedef alır. İşte en yaygın sosyal mühendislik yöntemleri:

    Phishing (E-posta Oltalama)

    Phishing, sosyal mühendislik saldırılarının en yaygın ve en bilinen türüdür. Saldırganlar, güvenilir bir kurum veya kişi gibi görünen sahte e-postalar göndererek alıcıları kişisel bilgilerini paylaşmaya, zararlı bağlantılara tıklamaya veya ekleri indirmeye yönlendirir.

    Tipik bir phishing e-postası; bankanızdan, kargo şirketinden veya devlet kurumundan gelmiş gibi görünür. E-posta genellikle “Hesabınız askıya alındı”, “Ödemeniz başarısız oldu” veya “Paketiniz teslim edilemedi” gibi acil eylem gerektiren mesajlar içerir. Kurbanlar bu bağlantılara tıkladığında, gerçeğiyle neredeyse birebir aynı görünen sahte web sitelerine yönlendirilir ve burada giriş bilgilerini, kredi kartı numaralarını veya diğer hassas verilerini farkında olmadan saldırganlara teslim eder.

    Spear Phishing (Hedefli Oltalama)

    Spear phishing, genel phishing saldırılarından farklı olarak belirli bir kişi veya kuruluşu hedef alan, özelleştirilmiş saldırılardır. Saldırganlar, hedefin sosyal medya hesaplarını, kurumsal web sitelerini ve diğer kamuya açık bilgileri analiz ederek son derece ikna edici ve kişiselleştirilmiş mesajlar oluşturur.

    Örneğin, bir şirketin finans departmanındaki çalışana, o kişinin yöneticisinin ismini ve iç terminolojiyi kullanarak yazılmış bir e-posta gönderilebilir. Bu tür hedefli saldırılar, genel phishing kampanyalarına kıyasla çok daha yüksek başarı oranına sahiptir.

    Whaling (Üst Düzey Yönetici Hedefli Saldırılar)

    Whaling saldırıları, CEO’lar, CFO’lar ve üst düzey yöneticiler gibi kritik karar alıcıları hedef alan spear phishing’in özel bir türüdür. Bu kişilerin geniş yetkilere ve hassas bilgilere erişimi olduğundan, başarılı bir whaling saldırısı kuruma büyük zarar verebilir. Saldırganlar genellikle yasal bildirimler, düzenleyici kurum yazıları veya stratejik iş teklifleri gibi üst düzey yöneticilerin ilgisini çekecek konular kullanır.

    Vishing (Sesli Dolandırıcılık)

    Vishing (voice phishing), telefon aramalarını kullanarak gerçekleştirilen sosyal mühendislik saldırılarıdır. Saldırganlar, banka çalışanı, teknik destek uzmanı veya devlet görevlisi gibi davranarak kurbanları arar ve kişisel bilgilerini ele geçirmeye çalışır.

    Türkiye’de özellikle yaygın olan bu yöntemde, dolandırıcılar genellikle “Hesabınızdan şüpheli bir işlem tespit edildi” veya “Vergi borcunuz bulunmaktadır” gibi korkutucu senaryolar kullanır. Arayan numara sahte olarak manipüle edilebilir (caller ID spoofing), bu da aramanın gerçek bir kurumdan geldiği yanılsamasını güçlendirir.

    Smishing (SMS Dolandırıcılık)

    Smishing, SMS mesajları aracılığıyla gerçekleştirilen oltalama saldırılarıdır. Kısa ve acil eylem gerektiren mesajlar, zararlı bağlantılar içerir. Kargo takip bildirimleri, banka uyarıları veya ödül kazanma bildirimleri bu saldırının en sık kullanılan temaları arasındadır.

    Mobil cihazlarda URL’lerin tam olarak görüntülenememesi ve kullanıcıların SMS mesajlarına daha hızlı tepki verme eğilimi, smishing saldırılarının başarı oranını artırmaktadır.

    Pretexting (Sahte Senaryo Oluşturma)

    Pretexting, saldırganın sahte bir kimlik ve senaryo oluşturarak kurbanın güvenini kazanması üzerine kurulu bir tekniktir. Saldırgan, kendisini IT departmanından bir çalışan, denetçi, tedarikçi veya iş ortağı olarak tanıtabilir. Amaç, kurbanı bilgi paylaşmaya veya belirli bir eylemi gerçekleştirmeye ikna etmektir.

    Pretexting, genellikle diğer sosyal mühendislik teknikleriyle birlikte kullanılır. Örneğin, saldırgan önce telefonda IT destek personeli gibi davranarak (pretexting) güven oluşturur, ardından kurbanı bir phishing bağlantısına yönlendirir.

    Baiting (Yem Bırakma)

    Baiting saldırılarında, kurbanın merakını veya açgözlülüğünü tetikleyecek bir yem kullanılır. Bu yem fiziksel veya dijital olabilir:

    • Fiziksel baiting: Zararlı yazılım yüklenmiş USB belleklerin şirket otoparkına, lobiye veya ortak alanlara bırakılması. Meraklı bir çalışan bu USB’yi bilgisayarına taktığında, zararlı yazılım otomatik olarak çalışır.
    • Dijital baiting: Sahte film, müzik veya yazılım indirme siteleri, ücretsiz hediye vaatleri veya sahte güncelleme bildirimleri aracılığıyla kurbanların zararlı dosyaları indirmesi sağlanır.

    Tailgating (Fiziksel Erişim Saldırısı)

    Tailgating, yetkisiz bir kişinin yetkili bir çalışanın arkasından fiziksel olarak güvenli bir alana girmesidir. Saldırgan, elinde kutular taşıyormuş gibi yaparak kapıyı tutmasını isteyebilir veya yeni bir çalışan gibi davranarak güvenlik kontrollerini atlayabilir.

    Bu teknik, özellikle büyük kurumsal binalarda ve çok sayıda çalışanın bulunduğu ortamlarda etkilidir. Fiziksel erişim sağlandıktan sonra, saldırgan ağ cihazlarına doğrudan erişebilir, kilitlenmemiş bilgisayarları kullanabilir veya hassas belgeleri ele geçirebilir.

    Quid Pro Quo (Karşılıklı Değişim Tuzağı)

    Quid pro quo saldırılarında, saldırgan bir hizmet veya fayda sunma karşılığında bilgi talep eder. En yaygın örneği, sahte IT destek aramalarıdır: Saldırgan, teknik destek sunuyormuş gibi davranarak kurbanın bilgisayarına uzaktan erişim izni veya giriş bilgilerini talep eder.

    Bir diğer yaygın senaryo ise sahte anketlerdir. Saldırgan, bir hediye kartı veya ödül karşılığında anket doldurulmasını ister ve bu süreçte hassas bilgileri toplar.

    Psikolojik Tetikleyiciler: Saldırganların Silahları

    Sosyal mühendislik saldırılarının başarısı, insan psikolojisinin temel zafiyetlerini istismar etmesine dayanır. Saldırganlar aşağıdaki psikolojik tetikleyicileri ustaca kullanır:

    Aciliyet Duygusu

    Saldırganlar, kurbanın düşünme süresini kısaltmak için yapay bir aciliyet yaratır. “Hesabınız 24 saat içinde kapatılacak”, “Bu teklif sadece bugün geçerli” gibi ifadeler, insanları mantıklı düşünmeden hızlı hareket etmeye zorlar. Aciliyet duygusu altında insanlar normalde fark edecekleri uyarı işaretlerini gözden kaçırır.

    Otorite Etkisi

    İnsanlar, otorite figürlerinden gelen talepleri sorgulamadan yerine getirme eğilimindedir. Saldırganlar, CEO, müdür, polis, savcı veya banka yetkilisi gibi otorite konumundaki kişileri taklit ederek bu eğilimi kullanır. Kurbanlar, otoriteden gelen talebi reddetme konusunda çekince duyar ve sorgulama yapmadan itaat eder.

    Korku ve Panik

    Korku, rasyonel düşünceyi devre dışı bırakan güçlü bir duygudur. “Bilgisayarınız virüs bulaşmış”, “Hakkınızda yasal işlem başlatılacak” veya “Hesabınız ele geçirildi” gibi korkutucu mesajlar, kurbanları panik halinde saldırganın istediği eylemi gerçekleştirmeye yönlendirir.

    Merak

    İnsan doğasındaki merak duygusu, özellikle baiting saldırılarında etkili bir araçtır. “Şirket içi maaş listesi” etiketli bir USB bellek veya “Gizli rapor” başlıklı bir e-posta eki, birçok kişinin merakını cezbeder ve tıklamasına veya dosyayı açmasına neden olur.

    Sosyal Kanıt

    İnsanlar, başkalarının yaptığını taklit etme eğilimindedir. Saldırganlar, “Departmanınızdaki herkes bu formu zaten doldurdu” veya “Tüm çalışanlar şifrelerini güncelledi” gibi ifadelerle sosyal kanıt ilkesini kullanarak kurbanları ikna etmeye çalışır.

    İş Dünyasında Sosyal Mühendislik Tehditleri

    Sosyal mühendislik saldırıları, iş dünyasında milyarlarca dolarlık zarara yol açmaktadır. Kurumsal ortamda en sık karşılaşılan sosyal mühendislik tehditleri şunlardır:

    BEC (Business Email Compromise) Saldırıları

    BEC saldırıları, kurumsal e-posta hesaplarının ele geçirilmesi veya taklit edilmesi yoluyla gerçekleştirilen dolandırıcılıklardır. FBI verilerine göre, BEC saldırıları dünya genelinde en fazla mali kayba neden olan siber suç türlerinden biridir. Saldırganlar, şirket içi e-posta yazışmalarını taklit ederek sahte ödeme talimatları gönderir veya banka hesap bilgilerinin değiştirilmesini talep eder.

    Bu saldırılar genellikle uzun süreli bir keşif aşamasını içerir. Saldırganlar, hedef şirketin iç iletişim tarzını, ödeme süreçlerini ve karar mekanizmalarını analiz ederek son derece ikna edici mesajlar oluşturur.

    CEO Fraud (CEO Dolandırıcılığı)

    CEO fraud, BEC saldırılarının özel bir türü olup saldırganın şirketin üst yöneticisi gibi davranarak acil para transferi talep etmesidir. Genellikle finans departmanına yönelik olan bu saldırılarda, sahte CEO gizli bir satın alma, acil bir ödeme veya stratejik bir yatırım gerekçesiyle büyük miktarlarda para transferi yapılmasını ister.

    Bu saldırıların etkinliği, çalışanların üst yöneticiden gelen talepleri sorgulamaktan çekinmesine ve hiyerarşik kültürün baskısına dayanır.

    Tedarik Zinciri Dolandırıcılığı

    Tedarik zinciri dolandırıcılığında, saldırganlar bir tedarikçi veya iş ortağının kimliğine bürünerek sahte faturalar gönderir veya ödeme bilgilerini değiştirmeye çalışır. Özellikle birden fazla tedarikçiyle çalışan büyük kuruluşlarda bu saldırılar tespit edilmesi güç olabilir.

    Saldırganlar, gerçek bir tedarikçinin e-posta adresine çok benzer bir alan adı kullanarak (örneğin, tedarikci.com yerine tedarikçi.com veya tedarikci-fatura.com gibi) sahte faturalar ve ödeme talimatları gönderir.

    Kuruluşlar İçin Savunma Stratejileri

    Sosyal mühendislik saldırılarına karşı etkili bir savunma, teknoloji, süreç ve insan faktörünü birlikte ele alan bütünsel bir yaklaşım gerektirir.

    Güvenlik Farkındalık Eğitimi

    Çalışanlara düzenli olarak verilen güvenlik farkındalık eğitimleri, sosyal mühendisliğe karşı en etkili savunma hattıdır. Bu eğitimler şunları kapsamalıdır:

    • Sosyal mühendislik tekniklerinin tanınması ve gerçek dünya örnekleri
    • Şüpheli e-posta, arama ve mesajların nasıl tespit edileceği
    • Doğru raporlama prosedürleri ve olay müdahale adımları
    • Parola güvenliği ve çok faktörlü kimlik doğrulama kullanımı
    • Fiziksel güvenlik farkındalığı ve temiz masa politikası

    Eğitimler yılda en az iki kez tekrarlanmalı ve güncel tehdit trendlerine göre sürekli güncellenmelidir.

    Simüle Phishing Testleri

    Kuruluşlar, çalışanlarının farkındalık düzeyini ölçmek ve geliştirmek için düzenli simüle phishing kampanyaları düzenlemelidir. Bu testler, gerçek saldırı senaryolarını taklit eder ve hangi çalışanların veya departmanların ek eğitime ihtiyaç duyduğunu belirlemeye yardımcı olur.

    Önemli olan, bu testlerin cezalandırıcı değil eğitici amaçlı yapılmasıdır. Testi geçemeyen çalışanlara ek eğitim ve rehberlik sağlanmalıdır.

    Onay Akışları ve Maker-Checker Prensibi

    Finansal işlemler ve kritik sistem değişiklikleri için çift onay mekanizması (maker-checker) uygulanmalıdır. Bu prensibe göre, bir kişi işlemi başlatır (maker) ve farklı bir kişi onaylar (checker). Bu yaklaşım, tek bir çalışanın manipüle edilmesiyle oluşabilecek zararı önemli ölçüde azaltır.

    • Belirli tutarın üzerindeki para transferlerinde çift onay zorunluluğu
    • Tedarikçi banka bilgisi değişikliklerinde telefon ile doğrulama
    • Kritik sistem erişim taleplerinde yönetici onayı
    • E-posta dışı bir kanaldan (telefon, yüz yüze) teyit alma alışkanlığı

    Sıfır Güven (Zero Trust) Yaklaşımı

    Sıfır güven modeli, “asla güvenme, her zaman doğrula” ilkesine dayanır. Bu yaklaşımda, ağ içindeki veya dışındaki hiçbir kullanıcı veya cihaz otomatik olarak güvenilir kabul edilmez. Her erişim talebi, kimlik doğrulama ve yetkilendirme süreçlerinden geçmelidir.

    Sıfır güven yaklaşımının sosyal mühendisliğe karşı faydaları:

    • Ele geçirilen kimlik bilgileriyle yapılabilecek hasar sınırlandırılır
    • Ağ içi yanal hareket (lateral movement) zorlaştırılır
    • Sürekli kimlik doğrulama, tek seferlik erişim ihlallerinin etkisini azaltır
    • En az ayrıcalık ilkesi (least privilege) ile kullanıcı yetkileri minimize edilir

    Bireysel Korunma Yolları

    Sosyal mühendislik saldırılarından bireysel olarak korunmak için aşağıdaki önlemleri uygulamak büyük önem taşır:

    • Beklenmedik iletişimlere şüpheyle yaklaşın: Tanımadığınız numaralardan gelen aramalar, beklemediğiniz e-postalar ve SMS mesajlarını doğrulamadan harekete geçmeyin.
    • Bağlantılara tıklamadan önce kontrol edin: E-posta veya mesajdaki bağlantıların üzerine gelerek gerçek URL’yi kontrol edin. Şüphe duyduğunuzda, ilgili kurumun resmi web sitesine doğrudan tarayıcınızdan erişin.
    • Kişisel bilgilerinizi telefonda paylaşmayın: Bankalar ve resmi kurumlar asla telefon ile şifre, OTP kodu veya kart bilgisi talep etmez.
    • Çok faktörlü kimlik doğrulama (MFA) kullanın: Tüm önemli hesaplarınızda MFA aktif edin. Bu sayede şifreniz ele geçirilse bile hesabınız korunur.
    • Sosyal medyada paylaştıklarınıza dikkat edin: Doğum tarihi, iş yeri, seyahat planları gibi bilgiler saldırganlar tarafından kullanılabilir.
    • Yazılımlarınızı güncel tutun: İşletim sistemi, tarayıcı ve uygulamalarınızı her zaman en son sürümde tutarak bilinen güvenlik açıklarını kapatın.
    • Güçlü ve benzersiz parolalar kullanın: Her hesap için farklı, karmaşık parolalar oluşturun ve bir parola yöneticisi kullanmayı değerlendirin.

    Türkiye’de Sosyal Mühendislik Vakaları

    Türkiye, sosyal mühendislik saldırılarının yoğun olarak hedef aldığı ülkeler arasında yer almaktadır. Ülkemizde en sık karşılaşılan senaryolar şunlardır:

    • Sahte banka aramaları: Dolandırıcılar, banka müşteri hizmetleri gibi davranarak kurbanları arar ve “Hesabınızdan şüpheli işlem yapılmış” senaryosuyla kart bilgilerini, internet bankacılığı şifrelerini veya OTP kodlarını ele geçirir. Bu yöntem Türkiye’de en yaygın sosyal mühendislik tekniklerinden biridir.
    • Kargo ve e-ticaret dolandırıcılığı: Özellikle online alışverişin artmasıyla birlikte, sahte kargo takip SMS’leri ve e-postaları büyük artış göstermiştir. Kurbanlar, sahte kargo sitelerine yönlendirilerek kredi kartı bilgilerini girmektedir.
    • Devlet kurumu taklidi: SGK, vergi dairesi veya adliye gibi devlet kurumlarından geliyormuş gibi gönderilen sahte mesajlar, vatandaşları sahte web sitelerine yönlendirir. “Vergi iadesi hakkınız var” veya “E-devlet şifreniz güncellenmeli” gibi senaryolar sıkça kullanılmaktadır.
    • Kurumsal BEC saldırıları: Türkiye’deki birçok şirket, özellikle dış ticaret yapan firmalar, tedarikçi e-postalarının taklit edilmesi yoluyla büyük mali kayıplara uğramıştır. Saldırganlar, ihracat veya ithalat sürecindeki ödeme talimatlarını manipüle ederek fonları kendi hesaplarına yönlendirmektedir.
    • Sosyal medya hesap ele geçirme: Ünlü kişilerin veya markaların sosyal medya hesaplarının ele geçirilmesi ve takipçilerine yönelik dolandırıcılık mesajları gönderilmesi Türkiye’de sıkça yaşanan vakalar arasındadır.

    BTK (Bilgi Teknolojileri ve İletişim Kurumu) ve USOM (Ulusal Siber Olaylara Müdahale Merkezi), bu tür saldırılara karşı düzenli uyarılar yayınlamakta ve ulusal düzeyde koruma önlemleri almaktadır. Vatandaşlar, şüpheli durumları ALO 182 hattı üzerinden bildirebilir.

    Sonuç

    Sosyal mühendislik saldırıları, siber güvenliğin en zayıf halkası olan insan faktörünü hedef alan ve sürekli gelişen bir tehdit olmaya devam etmektedir. Teknolojik çözümler tek başına yeterli değildir; farkındalık, eğitim ve güçlü kurumsal süreçler bir arada uygulanmalıdır.

    Bireylerin ve kuruluşların sosyal mühendislik tekniklerini tanıması, psikolojik tetikleyicilerin farkında olması ve şüpheli durumları doğru bir şekilde raporlaması, bu saldırılara karşı en güçlü savunmadır. Unutmayın: siber güvenlikte en iyi güvenlik duvarı, bilinçli ve eğitimli bir kullanıcıdır.

  • SMS ve WhatsApp Dolandırıcılığı: Güncel Örnekler ve Korunma Rehberi

    SMS ve Mesajlaşma Platformları Üzerinden Dolandırıcılığın Artışı

    Dijital iletişimin hayatımızın merkezine yerleşmesiyle birlikte, dolandırıcılar da yöntemlerini hızla güncellemeye devam ediyor. Günümüzde SMS ve WhatsApp dolandırıcılığı, siber suçluların en sık başvurduğu yöntemler arasında yer alıyor. Türkiye’de akıllı telefon kullanım oranının yüzde doksanın üzerine çıkmasıyla birlikte, mesajlaşma platformları üzerinden gerçekleştirilen dolandırıcılık vakaları da rekor seviyelere ulaştı.

    Bilgi Teknolojileri ve İletişim Kurumu (BTK) verilerine göre, mesaj tabanlı dolandırıcılık şikayetleri son iki yılda iki kattan fazla artış gösterdi. Dolandırıcılar artık yalnızca SMS ile değil; aynı zamanda mesajlaşma uygulamaları, özellikle de milyonlarca Türk kullanıcının günlük olarak kullandığı platformlar üzerinden de hedeflerini avlıyor. Bu rehberde, en yaygın SMS ve mesajlaşma dolandırıcılığı türlerini, bunları nasıl tanıyacağınızı ve kendinizi nasıl koruyacağınızı ayrıntılı olarak ele alacağız.

    Smishing Nedir? SMS Phishing Tehdidi

    Smishing, İngilizce “SMS” ve “phishing” (oltalama) kelimelerinin birleşiminden oluşan bir terimdir. Geleneksel e-posta oltalama saldırılarının SMS versiyonu olan smishing, kullanıcılara kısa mesaj yoluyla sahte bağlantılar veya aldatıcı bilgiler göndererek kişisel verilerini çalmayı amaçlar.

    Smishing saldırılarının e-posta oltalamasına göre çok daha etkili olduğu bilinmektedir. Bunun başlıca nedenleri şunlardır:

    • Yüksek açılma oranı: SMS mesajlarının yüzde doksan beşinden fazlası ilk üç dakika içinde okunur. Bu oran e-postalara kıyasla çok daha yüksektir.
    • Güven faktörü: İnsanlar SMS mesajlarına e-postalara göre daha fazla güvenme eğilimindedir. Çünkü SMS, genellikle bankalar ve resmi kurumlar tarafından kullanılan bir iletişim kanalı olarak algılanır.
    • Aciliyet hissi: Kısa ve öz mesajlar, alıcıda anında harekete geçme dürtüsü yaratır. Dolandırıcılar bu psikolojik etkiyi ustaca kullanır.
    • Mobil cihaz kısıtlamaları: Telefon ekranında bağlantı adresinin tamamını görmek zordur; bu da sahte sitelerin gerçek sitelerden ayırt edilmesini güçleştirir.

    Yaygın SMS Dolandırıcılık Türleri

    Sahte Banka Uyarıları: “Kartınız Bloke Edildi”

    Bu yöntem, Türkiye’deki en yaygın smishing saldırılarından biridir. Dolandırıcılar, bankanızdan geliyormuş gibi görünen bir SMS göndererek kartınızın bloke edildiğini, hesabınızda şüpheli bir işlem tespit edildiğini veya güvenlik güncellemenizi yapmanız gerektiğini iddia eder.

    Mesajda genellikle şu ifadeler yer alır:

    • “Kartınız güvenlik nedeniyle bloke edilmiştir. Açmak için tıklayın.”
    • “Hesabınızdan 4.750 TL çekim yapılmıştır. İptal etmek için bağlantıya tıklayın.”
    • “Bankanız: Hesap bilgilerinizi güncelleyin, aksi halde hesabınız kapatılacaktır.”

    Bu mesajlardaki bağlantılar, bankanızın web sitesine birebir benzeyen sahte sitelere yönlendirir. Kurbanlar internet bankacılığı bilgilerini, kart numaralarını veya kimlik bilgilerini bu sahte sitelere girdiklerinde, tüm verileri dolandırıcıların eline geçer. Dolandırıcılar daha sonra bu bilgileri kullanarak hesaplardan para transferi yapar veya kartlarla alışveriş gerçekleştirir.

    Sahte Kargo Bildirimleri: “Kargonuz Teslim Edilemedi”

    E-ticaretin yaygınlaşmasıyla birlikte, sahte kargo bildirimleri de dolandırıcıların en sevdiği yöntemlerden biri haline geldi. Özellikle yoğun alışveriş dönemlerinde (indirim günleri, bayram öncesi) bu tür mesajlar büyük artış gösterir.

    Tipik bir sahte kargo mesajı şu şekilde olabilir:

    • “Kargonuz teslim edilemedi. Adres güncellemesi için tıklayın.”
    • “Gümrükte bekleyen kargonuz için 29,90 TL ödeme yapmanız gerekmektedir.”
    • “Kargo takip numaranız güncellendi. Detaylar için bağlantıya tıklayın.”

    Bu mesajlardaki bağlantılar ya kişisel bilgi toplayan sahte sitelere yönlendirir ya da küçük bir ödeme yapmanızı isteyerek kredi kartı bilgilerinizi ele geçirir. Bazen de bağlantıya tıklamak, telefonunuza zararlı yazılım yüklenmesine neden olabilir.

    Sahte Vergi İadesi ve Devlet Ödemesi Mesajları

    Dolandırıcılar, devlet kurumlarını taklit ederek vergi iadesi, sosyal yardım ödemesi veya pandemi destek ödemesi gibi vaatlerle kurbanları hedef alır. Bu mesajlar genellikle şu kalıpları kullanır:

    • “E-Devlet: Vergi iadeniz hazırdır. Almak için IBAN bilgilerinizi girin.”
    • “SGK: Emekli maaş farkınız hesaplandı. Ödeme almak için tıklayın.”
    • “Sosyal yardım başvurunuz onaylandı. Ödemeyi almak için bilgilerinizi güncelleyin.”

    Bu tür mesajlara özellikle ekonomik sıkıntı yaşayan bireyler daha kolay kanabilmektedir. Devlet kurumları, asla SMS yoluyla kişisel bilgi veya banka bilgisi talep etmez. Bu tür bir mesaj aldığınızda kesinlikle bağlantıya tıklamamalısınız.

    OTP (Tek Kullanımlık Şifre) Çalma

    Bu yöntem, diğer dolandırıcılık türlerinden farklı olarak doğrudan teknik bir saldırı içerir. Dolandırıcılar, çeşitli yollarla ele geçirdikleri kullanıcı adı ve şifre bilgileriyle bir hesaba giriş yapmaya çalışırken, iki faktörlü doğrulama nedeniyle telefonunuza gelen tek kullanımlık şifreye ihtiyaç duyarlar.

    Bu durumda dolandırıcı sizi arayarak veya mesaj göndererek bankanızdan, operatörünüzden veya bir teknoloji şirketinden arıyormuş gibi davranır ve az önce gelen kodu kendisiyle paylaşmanızı ister. Bazen mesaj şu şekilde olur: “Hesabınızın güvenliği için size gönderilen doğrulama kodunu lütfen bizimle paylaşın.”

    Unutmayın: Hiçbir banka, operatör veya resmi kurum sizden telefonla veya mesajla tek kullanımlık şifre istemez. Bu kodu yalnızca siz kullanmalısınız ve kimseyle paylaşmamalısınız.

    WhatsApp Dolandırıcılığı Türleri

    Hesap Çalma: Doğrulama Kodu Tuzağı

    WhatsApp dolandırıcılığı vakalarının en yaygın türlerinden biri hesap çalmadır. Bu yöntemde dolandırıcı, hedefin telefon numarasıyla yeni bir cihazda oturum açmaya çalışır. Bu işlem sırasında hedefe altı haneli bir doğrulama kodu gönderilir.

    Dolandırıcı daha sonra hedefe bir mesaj göndererek ya da arayarak bu kodu ister. Mesaj genellikle rehberdeki bir kişiden geliyormuş gibi görünür çünkü dolandırıcı daha önce o kişinin hesabını ele geçirmiştir. Tipik bir mesaj şöyledir: “Merhaba, yanlışlıkla sana bir doğrulama kodu gönderdim. Bana iletir misin?”

    Kodu paylaştığınız anda hesabınız dolandırıcının kontrolüne geçer. Dolandırıcı daha sonra sizin hesabınızı kullanarak rehberinizdeki herkese aynı yöntemi uygular veya para talep eden mesajlar gönderir.

    “Annem/Babam” Dolandırıcılığı: Yakın Kişi Taklidi

    Bu dolandırıcılık türü Avrupa’da büyük bir dalga yarattıktan sonra Türkiye’de de hızla yayıldı. Dolandırıcı, bilinmeyen bir numaradan mesaj göndererek kendisini hedefin çocuğu, ebeveyni veya yakın bir akrabası olarak tanıtır.

    Mesaj genellikle şu şekilde başlar:

    • “Anne, benim telefonum bozuldu. Bu yeni numaram. Acil bir durumum var, bana para gönderir misin?”
    • “Baba, telefonum suya düştü. Şu anda bu numarayı kullanıyorum. Acil 3.000 TL lazım.”
    • “Kızım/oğlum, kredi kartım çalışmıyor. Şu hesaba acil havale yapar mısın?”

    Bu mesajlar, duygusal bir bağ kurarak aciliyet hissi yaratır. Kurbanlar panik halinde doğrulama yapmadan para gönderebilmektedir. Dolandırıcılar genellikle aciliyet ve duygusal baskı unsurlarını bir arada kullanarak kurbanı hızlı karar vermeye zorlar.

    Sahte Müşteri Hizmetleri

    Dolandırıcılar, tanınmış markaların veya kurumların müşteri hizmetlerini taklit ederek kullanıcılara mesaj atar. Profil fotoğrafı olarak markanın logosunu kullanır, isim kısmına şirket adını yazarlar. Bu sahte hesaplardan gönderilen mesajlarda genellikle şunlar yer alır:

    • Hesap doğrulama talebi
    • Ödül veya hediye kazandığınız bilgisi
    • Abonelik iptali veya güncelleme uyarısı
    • Şikayet kaydınızla ilgili sahte bilgilendirme

    Gerçek müşteri hizmetleri asla sizden mesajlaşma uygulaması üzerinden şifre, kart bilgisi veya kişisel veri talep etmez. Herhangi bir şüphe durumunda, ilgili kurumun resmi web sitesindeki iletişim bilgilerini kullanarak doğrudan iletişime geçmelisiniz.

    Sahte Mağazalar ve Ticaret Dolandırıcılığı

    Mesajlaşma platformlarının ticari hesap özelliğini kötüye kullanan dolandırıcılar, sahte mağaza profilleri oluşturarak son derece cazip fiyatlarla ürün satışı yapar. Bu sahte mağazalar genellikle şu özellikleri taşır:

    • Piyasa fiyatının çok altında fiyatlar sunarlar
    • Yalnızca havale veya EFT ile ödeme kabul ederler
    • Stok sınırlıdır diyerek acele karar vermenizi isterler
    • Sahte müşteri yorumları ve referanslar paylaşırlar
    • Ürünü göndermeden iletişimi keserler

    Bu tür dolandırıcılıktan korunmak için, tanımadığınız satıcılardan alışveriş yapmaktan kaçının. Özellikle sadece havale kabul eden ve fiyatları gerçek olamayacak kadar düşük olan satıcılara karşı dikkatli olun.

    Grup Dolandırıcılığı: Sahte Yatırım Grupları

    Son dönemde büyük artış gösteren bu yöntemde, dolandırıcılar insanları sahte yatırım gruplarına ekler. Bu gruplarda sözde uzmanlar, borsa analistleri veya kripto para danışmanları bulunur. Grup içinde sahte ekran görüntüleri ve başarı hikayeleri paylaşılarak güven ortamı oluşturulur.

    Bu gruplarda genellikle şu süreç işler:

    • Güven aşaması: İlk birkaç gün ücretsiz yatırım tavsiyeleri verilir ve küçük kazançlar elde edilir.
    • Yatırım aşaması: Daha büyük kazançlar için daha yüksek miktarlarda yatırım yapmanız istenir.
    • Tuzak aşaması: Belirli bir platforma para yatırmanız veya belirli bir hesaba transfer yapmanız istenir.
    • Kaybolma aşaması: Paranızı aldıktan sonra grup silinir veya siz gruptan çıkarılırsınız.

    Unutmayın: Garantili kazanç vaat eden hiçbir yatırım yoktur. Mesajlaşma gruplarındaki yatırım tavsiyelerine asla güvenmeyin.

    Telegram Dolandırıcılık Türleri

    Telegram da dolandırıcılar tarafından yoğun olarak kullanılan bir platformdur. Özellikle anonim hesap oluşturma kolaylığı ve büyük grup kapasitesi, dolandırıcılar için cazip bir ortam yaratmaktadır. Telegram üzerindeki yaygın dolandırıcılık türleri şunlardır:

    • Sahte airdrop ve kripto para dağıtımı: Ücretsiz kripto para kazanacağınız vaatleriyle cüzdan bilgileriniz veya özel anahtarlarınız çalınır.
    • Sahte admin mesajları: Popüler gruplardaki yöneticilerin isimlerini taklit eden sahte hesaplar, üyelere özel mesaj atarak dolandırıcılık yapar.
    • Bot dolandırıcılığı: Sahte botlar aracılığıyla kişisel bilgi toplama veya ödeme bilgisi çalma işlemleri yapılır.
    • Sahte yatırım kanalları: Binlerce sahte aboneyle şişirilen kanallarda manipülatif yatırım tavsiyeleri verilir.
    • Romantik dolandırıcılık: Sahte profiller oluşturularak duygusal ilişki kurulur ve ardından çeşitli bahanelerle para istenir.

    Telegram’da tanımadığınız kişilerden gelen mesajlara karşı son derece dikkatli olun. Özellikle para, yatırım veya kişisel bilgi ile ilgili talepleri kesinlikle dikkate almayın.

    Sahte Mesajları Tanımanın Yolları

    Dolandırıcılık mesajlarını gerçek mesajlardan ayırt etmek her zaman kolay olmayabilir; ancak dikkat etmeniz gereken bazı belirgin işaretler vardır:

    • Aciliyet ve panik yaratma: “Hemen”, “son gün”, “hesabınız kapatılacak” gibi ifadeler dolandırıcılığın en belirgin işaretleridir. Resmi kurumlar bu kadar acil ve tehditkâr bir dil kullanmaz.
    • Yazım ve dilbilgisi hataları: Profesyonel kurumlardan gelen mesajlarda ciddi yazım hataları bulunmaz. Dolandırıcı mesajlarda ise sıklıkla imla hataları, garip cümle yapıları ve tutarsız ifadeler yer alır.
    • Şüpheli bağlantılar: Bağlantı adresini dikkatlice inceleyin. Sahte siteler genellikle resmi site adresine benzeyen ancak küçük farklılıklar içeren adresler kullanır. Örneğin “bankasi” yerine “bankasii” veya “.com” yerine “.xyz” gibi uzantılar.
    • Kişisel bilgi talebi: Bankanız veya resmi kurumlar SMS veya mesaj yoluyla asla şifre, kart numarası, CVV kodu veya kimlik numarası istemez.
    • Bilinmeyen gönderici: Mesajın geldiği numara veya profili kontrol edin. Resmi kurumların özel kısa numaraları veya doğrulanmış hesapları bulunur.
    • Çok cazip teklifler: Gerçek olamayacak kadar iyi teklifler genellikle dolandırıcılıktır. Bedava hediye, büyük para ödülleri veya inanılmaz indirimler her zaman şüpheyle karşılanmalıdır.

    Korunma Stratejileri

    İki Faktörlü Doğrulamayı Etkinleştirin

    Tüm mesajlaşma uygulamalarında ve önemli hesaplarınızda iki faktörlü doğrulamayı (2FA) mutlaka etkinleştirin. Bu özellik, hesabınıza giriş yaparken telefon numaranıza ek olarak bir PIN kodu veya biyometrik doğrulama gerektirir. Özellikle mesajlaşma uygulamalarında iki aşamalı doğrulama aktif olduğunda, dolandırıcılar yalnızca doğrulama kodunu ele geçirseler bile hesabınıza erişemezler.

    Bilinmeyen Bağlantılara Asla Tıklamayın

    SMS veya mesajlaşma uygulamaları üzerinden gelen bağlantılara tıklamak yerine, ilgili kurumun resmi web sitesine doğrudan tarayıcınızdan girin. Eğer bankanızdan bir uyarı geldiğini düşünüyorsanız, mesajdaki bağlantıyı kullanmak yerine bankanızın resmi uygulamasını açın veya müşteri hizmetlerini arayın. Bu basit alışkanlık, sizi pek çok dolandırıcılık girişiminden koruyacaktır.

    Kişisel Bilgilerinizi Paylaşmayın

    Mesaj yoluyla gelen hiçbir talebe yanıt olarak kişisel bilgilerinizi paylaşmayın. Bu bilgiler arasında şunlar yer alır:

    • T.C. kimlik numarası
    • Banka hesap bilgileri ve kart numaraları
    • Şifreler ve PIN kodları
    • Tek kullanımlık doğrulama kodları (OTP)
    • Adres ve doğum tarihi gibi kişisel veriler

    Doğrulama Alışkanlıkları Edinin

    Bir yakınınızdan para talebi içeren bir mesaj aldığınızda, panik yapmadan önce o kişiyi bildiğiniz numaradan arayarak doğrulama yapın. Eğer kişi telefonunun bozulduğunu iddia ediyorsa, ortak tanıdıklar aracılığıyla durumu teyit edin. Dolandırıcılar aciliyet yaratarak sizi düşünmeden hareket ettirmeye çalışır; bu nedenle her zaman bir adım geri atıp doğrulama yapma alışkanlığı edinin.

    Ayrıca aile içinde bir güvenlik sorusu veya kod kelime belirleyebilirsiniz. Böylece beklenmedik para talebi durumlarında, karşınızdaki kişinin gerçekten yakınınız olup olmadığını hızlıca doğrulayabilirsiniz.

    Dolandırıcılığa Uğrarsanız Yapmanız Gerekenler

    Eğer bir SMS veya WhatsApp dolandırıcılığı ile karşılaştıysanız veya mağdur olduysanız, aşağıdaki adımları hızla uygulamanız büyük önem taşır:

    • Bankanızı hemen arayın: Kart veya hesap bilgilerinizi paylaştıysanız, derhal bankanızın müşteri hizmetlerini arayarak kartlarınızı ve hesaplarınızı geçici olarak bloke ettirin. Her dakika önemlidir.
    • Şifrelerinizi değiştirin: Ele geçirilmiş olabilecek tüm hesaplarınızın şifrelerini hemen değiştirin. Aynı şifreyi kullandığınız diğer hesapların şifrelerini de güncellemeyi unutmayın.
    • Savcılığa başvurun: En yakın Cumhuriyet Başsavcılığına suç duyurusunda bulunun. Dolandırıcılık mesajının ekran görüntülerini, para transferi dekontlarını ve tüm iletişim kayıtlarını delil olarak saklayın.
    • BTK’ya şikayet edin: Bilgi Teknolojileri ve İletişim Kurumuna şikayet bildirimi yaparak ilgili numaranın engellenmesini sağlayabilirsiniz. BTK’nın web sitesi veya çağrı merkezi üzerinden başvuru yapabilirsiniz.
    • Mesajlaşma uygulamasına bildirin: Dolandırıcı hesabı, kullandığı platforma bildirerek hesabın kapatılmasını sağlayın.
    • Çevrenizi uyarın: Özellikle hesabınız ele geçirildiyse, rehberinizdeki kişileri durumdan haberdar edin. Böylece onların da dolandırılmasını önleyebilirsiniz.
    • USOM’a bildirim yapın: Sahte web sitesi bağlantılarını Ulusal Siber Olaylara Müdahale Merkezine bildirerek sitenin engellenmesine katkıda bulunabilirsiniz.

    BTK ve Operatörlerin Rolü

    Dolandırıcılıkla mücadelede bireysel önlemlerin yanı sıra, kurumsal düzeyde de önemli adımlar atılmaktadır. BTK (Bilgi Teknolojileri ve İletişim Kurumu), sahte mesajların önlenmesi konusunda çeşitli düzenlemeler yürütmektedir:

    • Numara doğrulama sistemi: Kurumsal SMS gönderimlerinde başlık bilgisi zorunluluğu sayesinde, bankaların ve resmi kurumların mesajları doğrulanmış başlıklarla gönderilir.
    • Sahte numara engelleme: BTK, tespit edilen dolandırıcılık numaralarını operatörler aracılığıyla engellemektedir.
    • Farkındalık kampanyaları: Kamuoyunu bilgilendirmek amacıyla düzenli olarak uyarılar ve bilgilendirme kampanyaları yürütülmektedir.
    • İhbar hatları: Vatandaşların dolandırıcılık girişimlerini bildirebileceği ihbar mekanizmaları oluşturulmuştur.

    Mobil operatörler de kendi bünyelerinde spam filtresi ve dolandırıcılık tespit sistemleri geliştirmektedir. Ancak teknoloji ne kadar gelişirse gelişsin, en etkili koruma her zaman bilinçli kullanıcı davranışlarıdır.

    Sonuç olarak, SMS ve mesajlaşma platformları üzerinden gerçekleştirilen dolandırıcılık her geçen gün daha sofistike hale gelmektedir. Kendinizi ve sevdiklerinizi korumak için bu rehberdeki bilgileri uygulayın, şüpheli mesajlara karşı her zaman temkinli olun ve çevrenizi de bu konuda bilinçlendirin. Unutmayın: bir an düşünmek, bir ömür pişmanlığı önler.

  • Türkiye’de En Çok Karşılaşılan 10 Online Dolandırıcılık Yöntemi

    Türkiye’de Online Dolandırıcılığın Boyutu

    Dijitalleşmenin hız kazanmasıyla birlikte Türkiye’de online dolandırıcılık yöntemleri her geçen yıl daha sofistike bir hal almaktadır. Emniyet Genel Müdürlüğü (EGM) Siber Suçlarla Mücadele Daire Başkanlığı verilerine göre, siber suç ihbarları son beş yılda yaklaşık üç katına çıkmıştır. Bilgi Teknolojileri ve İletişim Kurumu (BTK) raporları, yalnızca 2025 yılında yüz binlerce dolandırıcılık girişiminin tespit edildiğini ortaya koymaktadır.

    Türkiye Bankalar Birliği istatistiklerine göre, dijital bankacılık kanallarında gerçekleşen dolandırıcılık vakalarından kaynaklanan toplam maddi kayıp milyarlarca lira seviyesine ulaşmıştır. Bu rakamlar yalnızca bildirilen vakaları kapsamaktadır; gerçek rakamın çok daha yüksek olduğu tahmin edilmektedir. Mağdurların önemli bir bölümü utanç duygusu veya bilgisizlik nedeniyle şikâyette bulunmamaktadır.

    Peki online dolandırıcılık yöntemleri nelerdir ve bunlardan nasıl korunabilirsiniz? İşte Türkiye’de en yaygın 10 dolandırıcılık türü, gerçek hayattan örnekler ve kendinizi korumanız için bilmeniz gereken her şey.

    1. Oltalama (Phishing) — Sahte Banka SMS ve E-postaları

    Nasıl Çalışır?

    Oltalama saldırıları, dolandırıcıların bankanızdan, kargo şirketinden veya resmi bir kurumdan geliyormuş gibi görünen sahte mesajlar göndermesiyle başlar. Bu mesajlarda genellikle “Hesabınız bloke edildi”, “Şüpheli işlem tespit edildi” veya “Kartınız askıya alındı” gibi acil eylem gerektiren ifadeler yer alır. Mesajdaki bağlantıya tıkladığınızda, gerçeğiyle neredeyse birebir aynı görünen sahte bir web sayfasına yönlendirilirsiniz.

    Gerçek Hayattan Örnek

    İstanbul’da yaşayan bir vatandaş, bankasından geldiğini düşündüğü bir SMS aldı. Mesajda hesabında şüpheli bir işlem tespit edildiği ve doğrulama yapılması gerektiği yazıyordu. Bağlantıya tıklayıp internet bankacılığı bilgilerini giren mağdur, birkaç dakika içinde hesabından 47.000 TL’nin farklı hesaplara aktarıldığını fark etti.

    Nasıl Tanırsınız?

    • Mesajdaki bağlantı adresini dikkatlice kontrol edin; bankalar kısa link (bit.ly vb.) kullanmaz.
    • SMS veya e-postada yazım hataları ve dilbilgisi yanlışlıkları olup olmadığına bakın.
    • Bankanız sizden asla SMS veya e-posta yoluyla şifre, CVV veya SMS doğrulama kodu istemez.
    • Acil eylem baskısı yapan mesajlara karşı şüpheci olun; doğrudan bankanızın resmi uygulamasını veya çağrı merkezini kullanın.

    2. Sazan Sarmalı — Sosyal Medyada Sahte Yatırım Vaatleri

    Nasıl Çalışır?

    Dolandırıcılar, sosyal medya platformlarında ünlü isimlerin fotoğraflarını ve sahte onaylarını kullanarak “garantili kazanç” vaat eder. Kurbanlar önce küçük bir miktar yatırım yapar ve sahte platformda kârlarının hızla arttığını görür. Güven kazandıktan sonra büyük miktarlar yatırmaya teşvik edilir. Parayı çekmeye çalıştıklarında ise vergi, komisyon gibi bahanelerle ek ödeme talep edilir ve sonunda iletişim tamamen kesilir.

    Gerçek Hayattan Örnek

    Ankara’da bir emekli öğretmen, tanınmış bir iş insanının adını kullanan bir reklama tıkladı. Telefon ile arayarak ikna eden dolandırıcılar, önce 5.000 TL yatırım yaptırdı. Sahte platformda bakiyesinin 25.000 TL’ye çıktığını gören mağdur, toplamda 180.000 TL aktardı. Parasını çekmek istediğinde önce vergi ödemesi gerektiği söylendi ve ardından tüm iletişim kesildi.

    Nasıl Tanırsınız?

    • “Garantili kazanç” ve “risksiz yatırım” vaatleri her zaman dolandırıcılık işaretidir.
    • Tanınmış kişilerin sosyal medya reklamlarında yatırım tavsiyesi verdiğini iddia eden içeriklere itibar etmeyin.
    • SPK (Sermaye Piyasası Kurulu) lisansı olmayan platformlara asla para yatırmayın.
    • Küçük kazançlarla güven kazanıp büyük miktarlar isteme kalıbına dikkat edin.

    3. Sahte E-Ticaret Siteleri — İndirim Tuzağı

    Nasıl Çalışır?

    Dolandırıcılar, popüler markaların görünümünü taklit eden sahte e-ticaret siteleri kurar. Bu siteler genellikle “yüzde 80 indirim”, “stoklar tükenmek üzere” gibi cazip kampanyalarla sosyal medya reklamları aracılığıyla tanıtılır. Ödeme yaptıktan sonra ya hiçbir ürün gelmez ya da çok düşük kaliteli, farklı bir ürün gönderilir. Kart bilgileriniz de kopyalanarak başka dolandırıcılıklarda kullanılabilir.

    Gerçek Hayattan Örnek

    Bursa’da bir genç, sosyal medyada gördüğü reklamda bir spor ayakkabının piyasa fiyatının dörtte birine satıldığını gördü. Siteye girip kredi kartıyla 1.200 TL ödeme yaptı. Ne ürün geldi ne de siteyle iletişim kurabildi. Üstelik birkaç gün sonra kartından farklı ülkelerden toplam 8.000 TL’lik alışveriş yapıldığını fark etti.

    Nasıl Tanırsınız?

    • Gerçek olamayacak kadar iyi fiyatlara şüpheyle yaklaşın.
    • Sitenin iletişim bilgileri, vergi numarası ve KEP adresi olup olmadığını kontrol edin.
    • URL adresinin doğru yazılıp yazılmadığını ve SSL sertifikası (kilit simgesi) bulunup bulunmadığını inceleyin.
    • Güvenilir e-ticaret sitelerinde sanal kart kullanarak alışveriş yapın.
    • Ticaret Bakanlığı’nın güvenli alışveriş listesini kontrol edin.

    4. WhatsApp ve Telegram Dolandırıcılığı

    Nasıl Çalışır?

    Bu yöntemde dolandırıcılar, tanıdığınız birinin hesabını ele geçirir veya sahte profil oluşturur. Size acil para ihtiyacı olduğunu, başının dertte olduğunu ya da “yanlışlıkla SMS kodu gönderdim” gibi bahanelerle mesaj atar. Telegram gruplarında ise sahte yatırım fırsatları, ücretsiz hediye çekilişleri veya sahte iş teklifleri sunulur.

    Gerçek Hayattan Örnek

    İzmir’de bir kadın, arkadaşının WhatsApp hesabından gelen mesajda acil ameliyat parası gerektiğini okudu. Sesli arama bile yapılmadan, mesajlaşma yoluyla 12.000 TL gönderdi. Daha sonra arkadaşını arayınca hesabının çalındığını öğrendi. Dolandırıcılar, ele geçirdikleri hesaptaki sohbet geçmişini kullanarak son derece inandırıcı mesajlar yazmıştı.

    Nasıl Tanırsınız?

    • Tanıdıklarınızdan gelen acil para taleplerinde mutlaka sesli veya görüntülü arama yaparak doğrulayın.
    • WhatsApp doğrulama kodlarınızı asla kimseyle paylaşmayın.
    • Telegram’da tanımadığınız kişilerden gelen grup davetlerini ve yatırım tekliflerini reddedin.
    • İki adımlı doğrulamayı mutlaka etkinleştirin.

    5. Sahte İş İlanları — Ön Ödeme Tuzağı

    Nasıl Çalışır?

    Dolandırıcılar, cazip maaş ve esnek çalışma koşulları sunan sahte iş ilanları yayınlar. Başvuran adaylara “eğitim materyali”, “sertifika ücreti”, “depozito” veya “güvenlik soruşturması masrafı” gibi adlar altında ön ödeme talep eder. Ödeme yapıldıktan sonra iletişim kesilir veya yeni ücretler istenir.

    Gerçek Hayattan Örnek

    Yeni mezun bir üniversite öğrencisi, sosyal medyada “evden çalışarak ayda 30.000 TL kazanın” ilanını gördü. Başvurduktan sonra kendisine profesyonel bir görüşme yapıldı ve işe kabul edildiği söylendi. Eğitim seti için 3.500 TL ödedi. Ardından yazılım lisansı için 2.000 TL daha istendi. Toplamda 7.500 TL kaybetti.

    Nasıl Tanırsınız?

    • Hiçbir meşru işveren, işe başlamadan önce adaydan para talep etmez.
    • Gerçekçi olmayan maaş vaatlerine dikkat edin.
    • Şirketin Ticaret Sicil kaydını ve vergi numarasını doğrulayın.
    • İş ilanının İŞKUR veya güvenilir kariyer sitelerinde olup olmadığını kontrol edin.

    6. Aşk Dolandırıcılığı (Romance Scam)

    Nasıl Çalışır?

    Dolandırıcılar, sosyal medya veya tanışma uygulamalarında sahte profiller oluşturarak duygusal bağ kurar. Genellikle yurt dışında yaşayan, eğitimli ve varlıklı bir kişi rolü oynarlar. Haftalarca hatta aylarca süren yoğun iletişimle güven ve duygusal bağımlılık oluşturduktan sonra “gümrükte kalan paket”, “acil sağlık sorunu”, “Türkiye’ye gelmek için bilet parası” gibi bahanelerle para talep ederler.

    Gerçek Hayattan Örnek

    Antalya’da yaşayan 45 yaşında bir kadın, sosyal medyada tanıştığı ve kendisini Almanya’da çalışan bir mühendis olarak tanıtan kişiyle altı ay boyunca her gün mesajlaştı. Dolandırıcı Türkiye’ye gelmek istediğini ancak gümrükte sorun yaşadığını söyleyerek farklı zamanlarda toplam 95.000 TL aldı. Görüntülü arama taleplerini her seferinde farklı bahanelerle reddetti.

    Nasıl Tanırsınız?

    • Hiç yüz yüze görüşmediğiniz birine asla para göndermeyin.
    • Profil fotoğrafını ters görsel arama ile kontrol edin.
    • Görüntülü aramadan sürekli kaçınan kişilere şüpheyle yaklaşın.
    • Duygusal baskı ile para talebi bir arada geliyorsa bu büyük bir uyarı işaretidir.

    7. Sahte Teknik Destek Aramaları

    Nasıl Çalışır?

    Dolandırıcılar, bankanızdan, operatörünüzden veya bir teknoloji şirketinden aradıklarını iddia eder. Bilgisayarınıza virüs bulaştığını, hesabınızın tehlikede olduğunu veya aboneliğinizle ilgili bir sorun olduğunu söylerler. Uzaktan erişim programı kurmanızı veya kişisel bilgilerinizi paylaşmanızı isterler. Bazı durumlarda arayan numara gerçek kurumun numarasıymış gibi görünecek şekilde manipüle edilir (caller ID spoofing).

    Gerçek Hayattan Örnek

    Trabzon’da yaşayan bir esnaf, bankasından aradığını söyleyen birinden telefon aldı. Hesabından şüpheli para çekme girişimi olduğu ve güvenlik güncellemesi yapılması gerektiği söylendi. Yönlendirmelerle telefonuna uzaktan erişim uygulaması kuran mağdur, mobil bankacılık uygulamasının açık olduğu sırada dolandırıcılar hesabından 63.000 TL aktardı.

    Nasıl Tanırsınız?

    • Bankalar ve resmi kurumlar sizi arayarak uzaktan erişim programı kurmanızı istemez.
    • Telefonda asla şifre, OTP kodu veya kart bilgisi paylaşmayın.
    • Şüpheli bir arama aldığınızda telefonu kapatın ve kurumun resmi numarasını kendiniz arayın.
    • Arayan numaranın gerçek görünmesi, arayanın gerçek olduğu anlamına gelmez.

    8. QR Kod Dolandırıcılığı (Quishing)

    Nasıl Çalışır?

    QR kod dolandırıcılığı, son yıllarda Türkiye’de hızla yayılan bir yöntemdir. Dolandırıcılar, restoranlardaki menü QR kodlarının üzerine kendi kodlarını yapıştırır, sahte park cezası bildirimleri gönderir veya sosyal medyada “QR kodu tara, hediye kazan” kampanyaları düzenler. QR kodu taradığınızda zararlı bir siteye yönlendirilir ve bilgileriniz çalınır.

    Gerçek Hayattan Örnek

    Eskişehir’de bir üniversite öğrencisi, kampüsteki duvara yapıştırılmış “Ücretsiz Wi-Fi için QR kodu tarayın” yazılı bir afişi taradı. Açılan sayfada telefon numarası ve e-posta adresi isteyen bir form doldurdu. Birkaç gün sonra e-posta hesabı ele geçirildi ve bu hesap üzerinden arkadaşlarına dolandırıcılık mesajları gönderildi.

    Nasıl Tanırsınız?

    • Kamuya açık alanlardaki QR kodlarının üzerine başka bir kod yapıştırılıp yapıştırılmadığını kontrol edin.
    • QR kodu taradıktan sonra açılan URL adresini dikkatlice inceleyin.
    • Bilinmeyen QR kodları taradıktan sonra kişisel bilgi girmeyin.
    • Telefonunuzun QR kod tarayıcısının bağlantıyı önizleme özelliğini kullanın.

    9. Sahte Kargo ve Teslimat Bildirimi

    Nasıl Çalışır?

    E-ticaretin yaygınlaşmasıyla birlikte dolandırıcılar, sahte kargo ve teslimat bildirimleri göndererek kurbanları tuzağa düşürür. “Kargonuz teslim edilemedi”, “Gümrük ücreti ödemeniz gerekiyor” veya “Adres bilgilerinizi güncelleyin” gibi mesajlarla sahte sitelere yönlendirirler. Bu sitelerde kart bilgilerinizi veya kişisel verilerinizi çalarlar.

    Gerçek Hayattan Örnek

    Gaziantep’te bir ev hanımı, telefonuna gelen SMS’te kargosunun gümrükte beklediği ve 89 TL ödenmesi gerektiği yazıyordu. Bağlantıya tıklayıp kart bilgilerini girdikten kısa süre sonra kartından 4.200 TL çekildiğini gördü. Oysa hiçbir kargo beklentisi yoktu; küçük tutarın güven oluşturması için seçildiğini sonradan anladı.

    Nasıl Tanırsınız?

    • Beklediğiniz bir kargonuz yoksa gelen bildirimleri dikkate almayın.
    • Kargo takibini her zaman doğrudan kargo şirketinin resmi sitesi veya uygulaması üzerinden yapın.
    • Kargo şirketleri gümrük ücreti için SMS ile bağlantı göndermez.
    • Mesajdaki kısa linklere tıklamak yerine kargo takip numaranızı resmi sitede sorgulayın.

    10. Kripto Para ve Yatırım Dolandırıcılığı

    Nasıl Çalışır?

    Kripto para piyasasının popülerliğini kullanan dolandırıcılar, sahte borsalar, “içeriden bilgi” vaatleri ve Ponzi şemaları ile milyonlarca liralık vurgun yapmaktadır. Kurbanlar, gerçek gibi görünen platformlarda işlem yaptıklarını düşünürken aslında paralarını doğrudan dolandırıcıların cüzdanlarına göndermektedir. Bazı vakalar organize suç örgütleri tarafından yönetilen büyük çaplı operasyonlardır.

    Gerçek Hayattan Örnek

    Türkiye’de büyük yankı uyandıran kripto para dolandırıcılığı vakalarında yüz binlerce kişi mağdur olmuştur. Kimi platformlar kullanıcılardan topladıkları milyarlarca liralık fonla yurt dışına kaçmış, kimi ise yüksek getiri vaatleriyle Ponzi şeması kurmuştur. Mağdurların büyük çoğunluğu birikimlerinin tamamını kaybetmiştir.

    Nasıl Tanırsınız?

    • SPK ve MASAK tarafından onaylanmamış platformlarda işlem yapmayın.
    • “Günlük yüzde 5 kazanç” gibi gerçekçi olmayan getiri vaatlerine inanmayın.
    • Paranızı çekemiyorsanız veya çekim için ek ücret isteniyorsa dolandırıcılık olasılığı çok yüksektir.
    • Yalnızca BTK tarafından lisanslı kripto para platformlarını tercih edin.
    • Yatırım kararlarınızı sosyal medya reklamlarına göre değil, bağımsız araştırmalara göre verin.

    Genel Korunma Önerileri

    Online dolandırıcılık yöntemlerinden korunmak için aşağıdaki önlemleri alabilirsiniz:

    • İki faktörlü kimlik doğrulama (2FA) kullanın — banka, e-posta ve sosyal medya hesaplarınızda mutlaka etkinleştirin.
    • Güçlü ve benzersiz şifreler oluşturun; her hesap için farklı şifre belirleyin ve bir şifre yöneticisi kullanın.
    • Sanal kart kullanarak online alışveriş yapın; böylece ana kartınızın bilgileri korunur.
    • Bilinmeyen bağlantılara tıklamayın — SMS, e-posta veya sosyal medyadan gelen şüpheli linkleri açmayın.
    • Kişisel bilgilerinizi paylaşmayın — TC kimlik numaranızı, banka bilgilerinizi veya şifrelerinizi telefon veya mesaj yoluyla kimseyle paylaşmayın.
    • Yazılımlarınızı güncel tutun — işletim sistemi, tarayıcı ve uygulamalarınızı düzenli olarak güncelleyin.
    • Güvenilir antivirüs yazılımı kullanarak cihazlarınızı koruyun.
    • Sosyal medyada kişisel bilgilerinizi mümkün olduğunca az paylaşın.
    • Acil ve baskıcı talepler karşısında soğukkanlılığınızı koruyun; dolandırıcılar panik yaratarak mantıklı düşünmenizi engellemeye çalışır.

    Dolandırıcılığa Uğrarsanız Ne Yapmalısınız?

    Eğer bir online dolandırıcılık mağduru olduysanız veya şüpheleniyorsanız, vakit kaybetmeden şu adımları izleyin:

    • Bankanızı hemen arayın: Kartınızı ve hesabınızı geçici olarak bloke ettirin. Yetkisiz işlemler için itiraz süreci başlatın.
    • EGM Siber Suçlarla Mücadele: www.egm.gov.tr üzerinden veya 155 polis imdat hattını arayarak şikâyette bulunun. Siber suç ihbarlarınızı online ihbar yoluyla da yapabilirsiniz.
    • BTK İnternet Başvuru Merkezi: ihbarweb.org.tr adresinden dolandırıcılık sitelerini ve içeriklerini bildirebilirsiniz.
    • MASAK Bildirimi: Şüpheli finansal işlemler için Mali Suçları Araştırma Kurulu’na (MASAK) bildirimde bulunabilirsiniz.
    • Cumhuriyet Başsavcılığı: En yakın adliyeye giderek resmi şikâyet dilekçesi verin; bu, hukuki sürecin başlaması için zorunludur.
    • e-Devlet üzerinden şikâyet: e-Devlet portalı üzerinden CİMER’e veya ilgili kurumlara başvuru yapabilirsiniz.
    • Şifrelerinizi değiştirin: Ele geçirilmiş olabilecek tüm hesaplarınızın şifrelerini hemen değiştirin.

    Tüm iletişim kayıtlarını, ekran görüntülerini, banka dekontlarını ve mesajları delil olarak saklayın. Hukuki süreçte bu belgeler büyük önem taşımaktadır.

    Ticaret Bakanlığı ve Resmi Kurum Uyarıları

    Ticaret Bakanlığı, özellikle e-ticaret alanında tüketicileri korumak amacıyla düzenli uyarılar yayınlamaktadır. Bakanlığın önerileri şunlardır:

    • Online alışverişlerinizi yalnızca ETBİS’e (Elektronik Ticaret Bilgi Sistemi) kayıtlı sitelerden yapın.
    • Satıcının mersis numarası ve KEP adresi bilgilerini kontrol edin.
    • Ödeme sayfasında SSL sertifikası bulunduğundan emin olun.
    • Kapıda ödeme veya sanal kart seçeneğini tercih edin.
    • Şüpheli siteler için Ticaret Bakanlığı ALO 175 hattını arayarak bilgi alın.

    BTK da düzenli olarak zararlı içerik barındıran web sitelerini engellemekte ve vatandaşları bilgilendirmektedir. BDDK ise bankacılık dolandırıcılıklarına karşı farkındalık kampanyaları yürütmektedir.

    Unutmayın: online dolandırıcılık yöntemleri sürekli evrim geçirmektedir. Kendinizi ve yakınlarınızı korumanın en etkili yolu, güncel tehditleri takip etmek ve dijital okuryazarlığınızı artırmaktır. Şüpheli bir durumla karşılaştığınızda sakin kalın, acele etmeyin ve mutlaka resmi kanallardan doğrulama yapın.