Dolandırıcılık ve Hesap Gaspı: Acil Durum ve Tersine Doğrulama Planı

Bu doküman, sosyal mühendislik saldırılarına karşı anında tepki verebilmeniz için tasarlanmış bir kriz yönetim planıdır. Karşılaştığınız şüpheli bir durumda vakit kaybetmeden ilgili başlığı kontrol edin.

BÖLÜM 1: KIRMIZI ÇİZGİLER (ASLA YAPILMAMASI GEREKENLER)

Karşınızdaki kişi kendini kim (Polis, Savcı, Banka Müdürü, Müşteri Temsilcisi, Teknik Destek) olarak tanıtırsa tanıtsın, aşağıdaki taleplerden BİRİNİ BİLE istiyorsa %100 dolandırıcıdır. Görüşmeyi derhal sonlandırın.

1. ASLA Uzaktan Erişim İzni Vermeyin: "Telefonunuza/bilgisayarınıza teknik destek için bağlanmamız lazım", "Güvenlik güncellemesi yapacağız" diyerek AnyDesk, TeamViewer gibi uygulamaları kurmanızı veya cihazınıza uzaktan erişim izni vermenizi isteyenler kesinlikle dolandırıcıdır. Hiçbir yasal kurum cihazınızın ekranını görmek istemez.

2. ASLA Şifre ve Doğrulama Kodu Okumayın: Telefonunuza gelen SMS onay kodlarını (OTP/MFA), e-Devlet şifrenizi, kartınızın arkasındaki CVV kodunu veya mobil bankacılık şifrenizi kimseye telefonda söylemeyin veya tuşlamayın. Gerçek banka personeli sistemi görmek için sizin kodunuza ihtiyaç duymaz.

3. ASLA Gelen Authenticator Bildirimlerini Körü Körüne Onaylamayın: Siz bizzat bir sisteme giriş yapmaya çalışmıyorken, telefonunuzdaki Authenticator uygulamasına düşen bir "Girişi Onayla" (Approve) isteğini asla kabul etmeyin.

4. ASLA Para Transferi Yapmayın: "Hesabınız terör örgütünün eline geçti", "Paranızı devlet güvencesindeki şu hesaba aktarın" diyenler net dolandırıcıdır. Devlet veya banka kriz anında hesabı bizzat kendi sisteminden dondurur, parayı sizin taşımanızı ASLA istemez.

5. ASLA Dışarıdan Uygulama (APK) veya Dosya İndirmeyin: Size SMS veya WhatsApp ile gelen "Kargonuz ulaşılamadı", "Aidat iadeniz yattı", "Virüs tarayıcı indirin" şeklindeki linklere tıklayarak cihazınıza bir şey kurmayın. Bu yazılımlar arka planda ekranınızı kopyalar ve banka şifrelerinizi çalar.

6. ASLA Panikle Hareket Etmeyin: Dolandırıcıların en büyük silahı zaman baskısı ve korkudur (örneğin; "Hemen yapmazsanız paranız uçar", "Hakkınızda yakalama kararı çıkar"). İnsan doğası otoriteye saygı duymaya ve beladan kaçmaya meyillidir; bu durumu manipüle etmelerine izin vermeyin.

BÖLÜM 2: TERSİNE DOĞRULAMA VE KURUM-SPESİFİK TESTLER

Telefonun ucundaki kişinin veya gelen mesajın gerçek olup olmadığını anlamak için kurban pozisyonundan çıkıp, aktif bir sorgulayıcı olun ve şu adımları uygulayın:

* Adım 1: "Kapat ve Kendin Ara" Protokolü: Dolandırıcının en büyük kabusu telefonu kapatmanızdır. Karşı taraf baskı kurduğunda: "Bilgilendirme için teşekkürler. Güvenlik prosedürü gereği kapatıp bankamın/emniyetin resmi numarasını bizzat arayacağım" deyin. Dolandırıcı Reaksiyonu: Sinirlenir, telefonu kapatmamanız için baskı kurar, tehdit eder veya "Şu an hattan ayrılırsanız işlem iptal olur" der. Gerçek Kurum Reaksiyonu: Prosedüre uyduğunuz için durumu anlayışla karşılar ve onaylar.

* Adım 2: Ekranda Yazan Numaraya Asla Güvenmeyin (Spoofing): Telefon ekranınızda 444 25 25 (Akbank) veya 155 / 112 (Polis) yazıyor olması arayanın onlar olduğu anlamına gelmez. "Caller ID Spoofing" adı verilen yöntemle suçlular numaraları kopyalayabilir. Bu yüzden mutlaka arayanın kimliğinden şüphelenip numarayı telefonunuzun tuş takımından siz çevirin. Ayrıca Android cihazlarda Google'ın "Dolandırıcılık Tespiti" (Scam Detection) özelliğini açarak yapay zekanın şüpheli konuşmaları tespit etmesini sağlayabilirsiniz.

* Adım 3: Kurum-Spesifik Doğrulama Taktikleri (Akbank ve Microsoft Örneği): * Akbank (Banka) Doğrulaması: Kendisini Akbank temsilcisi olarak tanıtan bir kişi, güvenlik veya iptal bahanesiyle SMS ile gelen bir linke tıklamanızı isterse veya şifrenizi telefonda tuşlamanızı/söylemenizi talep ederse derhal telefonu kapatın. Akbank'ın resmi uygulamasına sadece www.akbank.com yazarak girin ve şüpheli durumda cihazınızdan bizzat 444 25 25 numaralı Müşteri İletişim Merkezi'ni arayarak teyit alın.

* Microsoft (Teknik Destek) Doğrulaması: Microsoft, cihazınızda bir sorun olduğunu söylemek veya şifre/kripto para talep etmek için sizi durduk yere ASLA aramaz. (Buna Teknik Destek Dolandırıcılığı / Tech Support Scam denir). Eğer siz gerçekten bir destek talebi oluşturduğunuz için arandığınızı düşünüyorsanız arayan kişiden "Case ID" (Destek Talep Numarası) isteyin. Numarayı aldıktan sonra telefonu kapatın ve bu durumu doğrudan resmi Microsoft destek platformu üzerinden sorgulatın. Gerçek bir temsilci bu durumu olağan karşılayacaktır.

* Adım 4: Bilgi Asimetrisi (Tuzak Soru) Testi: Arayan kişinin elinde gerçekten kurum verileri mi var yoksa sahte bir senaryo mu okuyor, bunu test edin. Tuzak: Sizinle ilgili uydurma bir bilgi verin. Örneğin: "Evet o şüpheli işlemi biliyorum, o kartımı ben dün Ankara şubenize gidip bizzat kapattırmıştım, sisteminizde görünmüyor mu?" (Oysaki hiç şubeye gitmemişsinizdir). Teşhis: Eğer karşı taraf "Evet beyefendi/hanımefendi, şubedeki iptal işlemini görüyorum ama askıda kalmış" diyerek yalanınıza ayak uyduruyorsa, anında telefonu kapatın.

* Adım 5: Bağımsız Kanaldan Sağlama (Out-of-Band): Arayan kişi hesabınızda kriz olduğunu söylüyorsa, o hala telefondayken veya telefonu kapattıktan hemen sonra, başka bir cihazdan veya resmi mobil bankacılık/e-Devlet uygulamanızdan sisteme girin. Kriz durumu, icra veya şüpheli işlem resmi uygulamanın bildirimlerinde veya e-Devlet (turkiye.gov.tr) üzerinde görünmüyorsa, arayan kişi tamamen yalan söylüyordur.

BÖLÜM 3: YENİ NESİL TEHDİTLER: AUTHENTICATOR VE YAPAY ZEKA

1. Authenticator Uygulamaları ve Numara Eşleştirme (Number Matching)

SMS kodları, SIM kart kopyalama (SIM Swapping) taktiğiyle dolandırıcılar tarafından kolayca ele geçirilebilir. Bu yüzden Microsoft Authenticator veya Google Authenticator gibi uygulamalar SMS'ten çok daha güvenlidir. Ancak dolandırıcılar bu güvenliği aşmak için yeni taktikler geliştirmiştir:

* MFA Yorgunluğu (Push Fatigue) Saldırısı: Dolandırıcı, şifrenizi ele geçirdikten sonra telefonunuzdaki Authenticator uygulamasına art arda düzinelerce "Girişi Onayla" bildirimi gönderir. Amaçları sizi bıktırarak veya panikleterek yanlışlıkla "Kabul Et" tuşuna basmanızı sağlamaktır. Siz giriş yapmıyorken gelen hiçbir bildirimi onaylamayın.

* Numara Eşleştirme (Number Matching) Hayat Kurtarır: Körü körüne onayı engellemek için Authenticator uygulamaları artık "Numara Eşleştirme" zorunluluğu getirmektedir. Siz (veya dolandırıcı) hesaba girmeye çalıştığında, giriş yapılan bilgisayar ekranında 2 haneli bir sayı belirir. Sizin bu sayıyı telefonunuzdaki Authenticator uygulamasına manuel olarak yazmanız gerekir. Dolandırıcı uzaktaki kendi bilgisayar ekranındaki numarayı göremediği için işlemi tamamlayamaz. Eğer telefonunuza durduk yere "Ekranda gördüğünüz numarayı girin" diyen bir bildirim düşerse, bu hesabınıza saldırıldığının kesin kanıtıdır. Derhal reddedin (Deny) ve parolanızı değiştirin.

2. Ses Klonlama (Al Voice Cloning) Dolandırıcılığı

Sizi arayan kişi çocuğunuz, eşiniz veya patronunuz olabilir. Sesi BİREBİR aynıdır ama ağlayarak kaza yaptığını, acil paraya sıkıştığını veya gizli bir hesaba kripto göndermenizi ister. Yapay zeka ile 3 saniyelik bir sesten bile ses klonlanabilmektedir.

* Ne Yapmalısınız? Paniğe kapılmayın. Durumu kontrol etmek için hemen onu kendi numarasından ve normal GSM hattından geri arayın.

* Güvenlik Kelimesi (Codeword) Belirleyin: Ailenizle sadece sizin bildiğiniz bir şifreli kelime veya soru belirleyin. Para istendiğinde "Güvenlik kelimemiz neydi?" diye sorun. Yapay zeka bunu bilemez.

3. WhatsApp "Arkadaşım Para İstiyor" Tuzağı

WhatsApp'tan veya sosyal medyadan yakın bir arkadaşınızdan/akrabanızdan "Çok acil paraya sıkıştım, şu hesaba 5 bin TL atsana" veya "Banka uygulamasında hata alıyorum, şu linke tıklayıp benim yerime onaylar mısın?" gibi mesajlar gelebilir.

* Teşhis: Arkadaşınızın hesabı çalınmış veya profil fotoğrafı kopyalanmış olabilir. Yazım hatalarına, aniden "siz" diye hitap etmesine veya farklı bir üslup kullanmasına dikkat edin.

* Ne Yapmalısınız? Mesaja cevap vermeyin, linklere tıklamayın. O kişiyi anında normal telefon hattından (WhatsApp araması olmadan) arayarak sesini duyun ve durumu bizzat sorun. Eğer hesabı çalındıysa ilgili kişiyi WhatsApp üzerinden şikayet edin ve engelleyin.

BÖLÜM 4: PSİKOLOJİK TETİKLENMEYİ FARK EDİN

Dolandırıcılar şu psikolojik teknikleri kullanarak analitik düşünmenizi engeller. Görüşme sırasında bu hislerden birini yaşarsanız TEHLİKEDESİNİZ demektir:

* Otorite Korkusu: Kendisini devlet veya banka otoritesi olarak konumlandırıp sizi suçlamak.

* Konuyu Değiştirme: Siz mantıklı bir soru sorduğunuzda (Örn: "Sicil numaranız nedir?"), soruyu cevaplamadan hemen sizin başınızın dertte olduğunu söyleyerek konuyu değiştirmek.

* Belirsizlik: Sürekli karmaşık teknik terimler, yasal jargonlar ve hayali kurumsal departman isimleri kullanmak.

* Ödül/Fırsat Hissi: Size beklenmedik bir aidat iadesi, ödül, kredi fırsatı veya hediye çeki sunarak açgözlülük hissini tetiklemek. ("Gerçek olamayacak kadar iyiyse, büyük ihtimalle gerçek değildir")

Alıntılanan çalışmalar

1. Dolandırıcılık | Akbank, https://www.akbank.com/bankamiz/guvenlik/dolandiricilik

2. Uzaktan Erişim Dolandırıcılıklarını Nasıl Önleyebilirsiniz - AnyDesk, https://anydesk.com/tr/abuse-prevention

3. Telefon Dolandırıcılığı Nasıl Anlaşılır? | İş Bankası Blog, https://www.isbank.com.tr/blog/telefon-dolandiriciligi-nasil-anlasilir

4. Güvenliğiniz İçin... - e-Devlet Kapısı, https://www.turkiye.gov.tr/bilgilendirme?konu=guvenlik

5. Voice Cloning Al Scams Are on the Rise - BECU, https://www.becu.org/blog/voice-cloning-ai-scams-are-on-the-rise

6. The Rise of the Al-Cloned Voice Scam - American Bar Association, https://www.americanbar.org/groups/senior_lawyers/resources/voice-of-experience/2025-september/ai-cloned-voice-scam/

7. Ses Klonlama Dolandırıcılığına Karşı Nasıl Güvende Kalınır? - MediaTrend, https://mediatrend.mediamarkt.com.tr/ses-klonlama-dolandiriciligina-karsi-nasil-guvende-kalinir/

8. Vishing nedir? Tanım, yöntemler ve en iyi önleme uygulamaları - MasterBase, https://masterbase.com/tr/vishing-nedi%CC%87r-tanimi-onleme-yontemleri%CC%87-ve-en-i%CC%87yi%CC%87-uygulamalar/masterbase/