Deepfake Dolandırıcılığına Karşı Şirket Koruma Rehberi

Bir sabah finans müdürünüzün telefonu çalıyor. Arayan, genel müdürün ta kendisi gibi: sesi aynı, konuşma tarzı aynı, görüntülü aramada yüzü bile aynı. "Acil ve gizli bir ödeme var, hemen şu hesaba gönderin" diyor. Birkaç yıl önce bu senaryo uzak bir ihtimaldi; bugün deepfake dolandırıcılığı adıyla anılan gerçek bir tehdit.
2026 itibarıyla deepfake — yapay zekâ ile bir kişinin yüzünü ve sesini taklit eden, gerçeğe çok yakın sahte içerik üretimi — siber dolandırıcılıkta kritik bir eşiğe ulaştı. Artık yalnızca önceden hazırlanmış sahte videolar değil, gerçek zamanlı deepfake görüşmeler de mümkün. Yani karşınızda canlı konuştuğunu sandığınız kişi, aslında bir taklit olabilir.
Bu yazıda paniğe kapılmadan ama konunun hak ettiği ciddiyetle, deepfake dolandırıcılığının nasıl işlediğini ve şirketinizi korumak için bugünden kurabileceğiniz basit protokolleri anlatıyoruz. İyi haber şu: en etkili önlemlerin çoğu pahalı teknoloji değil, disiplin gerektiriyor.

Deepfake tam olarak nedir?
En sade tanımıyla deepfake, yapay zekânın bir kişiye ait ses ve görüntü kayıtlarından öğrenerek o kişinin yüzünü ve sesini gerçeğe çok yakın biçimde taklit etmesidir. Ortaya çıkan video ya da ses kaydı, ilk bakışta — hatta bazen dikkatli bakışta bile — gerçeğinden ayırt edilemeyebilir.
Burada tehlikeli olan teknolojinin kendisi değil, kullanım amacı. Dolandırıcılar bu araçları klasik sosyal mühendislik yöntemleriyle birleştiriyor: insanları kandırmak için güvendikleri bir yüzü ve sesi kullanıyorlar. Ham madde ise çoğu zaman zaten ortada duruyor — röportajlar, tanıtım videoları, sosyal medya paylaşımları, hatta sesli mesajlar.
Tipik bir saldırı adım adım nasıl işler?
En yaygın senaryo şu: üst düzey bir yöneticinin sesi veya görüntüsü taklit edilerek finans ekibinden acil para transferi istenir. Akış genellikle dört adımda ilerler:
- Hazırlık: Dolandırıcı, hedef yöneticinin kamuya açık ses ve görüntü kayıtlarını toplar; şirketin kimlerle çalıştığını ve ödemeleri kimin yaptığını araştırır.
- Temas: Finans ekibinden bir çalışana telefon ya da görüntülü arama gelir. Karşıdaki ses ve yüz, tanıdık yöneticiye aittir — en azından öyle görünür.
- Baskı: Talep hep acildir: kaçırılmaması gereken bir fırsat, gizli bir anlaşma, "kimseye sormadan" yapılması gereken bir ödeme.
- Transfer: Çalışan, tanıdığı sese ve yüze güvenerek ödemeyi gerçekleştirir. Sahtekârlık fark edildiğinde çoğu zaman iş işten geçmiş olur.
Bu tür saldırılar şirketlere büyük parasal kayıplar yaşatabiliyor. Üstelik kaybedilen yalnızca para değil; ekibin kendine ve süreçlerine duyduğu güven de sarsılıyor.
"Biz küçüğüz, bizi hedef almazlar" yanılgısı
Deepfake dolandırıcılığı denince akla önce büyük holdingler geliyor. Oysa bu araçlar yaygınlaştıkça saldırganların hedef listesi de genişliyor ve KOBİ'ler için tablo üç nedenle daha kritik hale geliyor.
Birincisi, birçok KOBİ'de ödeme süreçleri yazılı kurallara değil, kişilere ve alışkanlıklara dayanır; "patron aradı, gönderdim" cümlesi aslında bir prosedür açığıdır. İkincisi, küçük ekiplerde çoğu zaman aynı kişi hem talimatı alır hem ödemeyi yapar; araya ikinci bir göz girmez. Üçüncüsü, aynı tutardaki bir kayıp küçük bir şirketi orantısız biçimde daha çok yaralar. Siber riskleri bir bütün olarak ele almak isterseniz, KOBİ'ler için veri güvenliği ve yedekleme rehberimiz iyi bir başlangıç noktası olacaktır.
Şüphe uyandırması gereken işaretler
Taklit ne kadar kusursuz olursa olsun, dolandırıcılığın kendisi neredeyse her zaman aynı davranış kalıplarını izler. Şu dört işaretten biri bile varsa durun:
- Acele baskısı: "Hemen şimdi", "beş dakika içinde", "banka kapanmadan" gibi ifadelerle düşünme süreniz elinizden alınmak istenir.
- Gizlilik talebi: "Kimseye söyleme", "bu aramızda kalsın" denerek doğrulama yapmanız engellenmeye çalışılır.
- Alışılmadık kanal: Normalde e-postayla yazan yönetici aniden mesajlaşma uygulamasından görüntülü arıyorsa ya da hiç kullanmadığı bir numaradan ulaşıyorsa dikkat.
- Ödeme detayında değişiklik: Yeni bir hesap numarası, farklı bir banka, alışılmadık bir tutar ya da yeni bir alıcı — bunların her biri tek başına doğrulama gerektirir.
Dolandırıcının en güçlü silahı taklit teknolojisi değil, size düşünecek zaman bırakmamasıdır. Durup doğrulamanızı engellemeye çalışan her talep, tam da bu yüzden bir kez daha doğrulanmayı hak eder.
Beş adımlık şirket koruma protokolü
Önerilen korunma yöntemleri arasında çift faktörlü doğrulama, önceden kararlaştırılmış şirket içi güvenlik kelimesi ve geri arama protokolü, yapay zekâ destekli dolandırıcılık tespiti ve çalışan farkındalık eğitimi öne çıkıyor. Bunları uygulanabilir beş adıma çevirelim:
- Geri arama kuralı: Para transferi isteyen her arama, kanaldan bağımsız olarak sonlandırılır ve talep sahibine şirket rehberindeki bilinen numaradan geri dönülerek doğrulanır. Gelen aramadaki numara asla geri arama için kullanılmaz.
- Güvenlik kelimesi: Yönetim ve finans ekibi, yalnızca yüz yüze paylaşılan bir güvenlik kelimesi belirler. Acil ve sözlü ödeme taleplerinde bu kelime sorulur; taklit ses ne kadar gerçekçi olursa olsun bu bilgiye sahip değildir.
- Çift onay ve çift faktörlü doğrulama: Belirli bir tutarın üzerindeki her ödeme iki ayrı kişinin onayından geçer; bankacılık ve finans sistemlerinde çift faktörlü doğrulama açık tutulur.
- Ödeme değişikliklerinde bekleme süresi: Tedarikçi hesap numarası değişikliği gibi talepler, ne kadar acil görünürse görünsün, örneğin 24 saatlik bir doğrulama süresinden sonra işleme alınır.
- Düzenli tatbikat: Farkındalık eğitimi tek seferlik bir sunumda kalmasın; yılda birkaç kez kısa senaryo tatbikatlarıyla ekip "şüphelen, durdur, doğrula" refleksini kazansın.
Bu kuralların ortak özelliğine dikkat edin: hiçbiri deepfake'i tespit etmeye çalışmıyor. Hepsi, taklit ne kadar iyi olursa olsun sürecin kendisini güvenli hale getiriyor.
Şüpheli bir durumla karşılaşırsanız
Önce durun; hiçbir işlem yapmayın. Görüşmeyi nazikçe sonlandırın ve ilgili kişiye bilinen numarasından ulaşın. Durumu hemen yöneticinize ve varsa BT sorumlunuza bildirin. Arama saatini, kullanılan numarayı ve talep edilenleri not alın; bu bilgiler hem şirket içi inceleme hem de resmi başvuru için değerlidir. Ve en önemlisi: şüphelenip yanılmış olmak utanılacak bir şey değildir. "Yanlış alarm" verebilme kültürü, tek bir gerçek saldırıyı durdurduğu anda kendini fazlasıyla amorti eder.
Teknolojinin iyi tarafı: tespit araçları da gelişiyor
Tablo karanlık görünse de madalyonun öbür yüzü var: aynı yapay zekâ, savunma tarafında da çalışıyor. Yapay zekâ destekli dolandırıcılık tespiti, önerilen korunma yöntemleri arasında yerini çoktan aldı ve bu araçlar gelişmeye devam ediyor. Yapay zekânın işinize dokunan yapıcı yüzlerini KOBİ'ler için yapay zekâ kullanım alanları yazımızda ele almıştık.
Asıl mesele şu: teknoloji tek başına sizi korumaz; ama iyi kurgulanmış süreçlerle birleştiğinde güçlü bir kalkan oluşturur. Onay akışlarını dijitalleştirmek, ödeme süreçlerine çift kontrol eklemek ve bunları yazılıma dökmek tam da bizim alanımız — hizmetlerimize göz atabilir, benzer sorunları nasıl çözdüğümüzü projelerimizde görebilirsiniz. Şirketinize uygun bir koruma protokolünü birlikte kurgulamak isterseniz iletişim sayfası üzerinden bize ulaşın; karmaşaya birlikte ışık tutalım.
Bu konuda desteğe mi ihtiyacınız var?
Bize Ulaşın