Back to Research
Threat Intelligence

Derin Sahtecilik (Deepfake) Suçları ve Vishing: AI Destekli Yeni Nesil Oltalama

Nadir Cağan YılmazJunior Pentester
April 14, 2026
4 min read

Derin Sahtecilik (Deepfake) Suçları ve Vishing: Sosyal Mühendisliğin Evrimi

Siber güvenlik endüstrisi uzun yıllar boyunca "insan" faktörünü güvenlik zincirinin en zayıf halkası olarak kabul etti. Geleneksel oltalama (Phishing) saldırıları sahte e-postalar veya SMS'ler üzerinden çalışanların şifrelerini çalmayı hedeflerdi. Ancak Üretken Yapay Zeka (GenAI) teknolojilerindeki devasa sıçrama, siber suçlulara kusursuz bir silah olan Deepfake Ses Klonlama (Voice Phishing / Vishing) teknolojisini hediye etti.

Artık saldırganların kötü bir Türkçe veya gramer hatasıyla dolu mesajlar atmasına gerek yok. C-Level (Üst düzey) yöneticinizin sesini birebir taklit ederek finansal felaketlere yol açan otonom ajanlarla karşı karşıyayız. AI destekli kimlik sahtekarlığı, kurumsal tehdit istihbaratı haritalarının bir numaralı gündemi haline gelmiştir.

1. Vishing ve Ses Klonlama (Voice Cloning) Nedir?

Vishing (Voice Phishing), mağdurun telefonla aranarak hassas bilgilerini vermeye veya para transferi yapmaya ikna edildiği sesli dolandırıcılık türüdür. Geleneksel Vishing insan korsanlar tarafından yapılırdı. Ancak günümüzde arayan kişi bir insan değil; şirketin CEO'sunun ses tonunu, vurgularını ve hatta nefes alışını bile kusursuzca taklit eden bir makine öğrenimi modelidir.

Sistem Nasıl Çalışır? Saldırganın tek ihtiyacı CEO'nun veya finans müdürünün internette bulunan (Örneğin YouTube'daki şirket röportajları, podcast'ler veya LinkedIn videoları) 3-4 saniyelik temiz bir ses kaydıdır. Bu kısa veri, bir GAN (Generative Adversarial Network) modelini veya ses sentezleme aracını (Örn: ElevenLabs altyapısı gibi sistemlerin hackerlarca manipüle edilmiş versiyonları) eğitmek için yeterlidir. Ardından saldırgan, modele bir metin yazar ve yapay zeka bu metni milisaniyeler içinde CEO'nun sesiyle okuyarak bir sesli görüşme veya telesekreter mesajı sentezler.

2. Derin Sahtecilik Suçları Neden Bu Kadar Başarılı?

Teknik güvenlik duvarlarının insan psikolojisi karşısında yetersiz kaldığı en net alan burasıdır. Başarının ardındaki asıl etken Otorite Baskısı (Authority Bias) ve Aciliyet Hissiyatıdır.

Modern Kurumsal Senaryo: Bir Cuma akşamı, şirketin muhasebe departmanındaki orta kademe bir çalışanın telefonu çalar. Arayan CEO'dur. Sesin tınısı, diksiyonu ve arka plandaki hafif havalimanı gürültüsü birebir gerçekçidir. Ceo Sesi: "Merve, Londra'dayım ve gizli bir satın alma anlaşmasını bitirmek üzereyim. Ancak 10 dakika içinde karşı tarafın offshore hesabına $250.000 kaparo geçmemiz lazım, yoksa anlaşma iptal olacak. İmzaları beklemeyin, derhal bu SWIFT adresine işlemi onaylayın!" Çalışan, otorite figürünün sesini duyduğunda prosedürleri sorgulamaz ve saniyeler içinde şirketin nakit rezervini hackerlara aktarır. Hong Kong ve Avrupa'da gerçekleşen gerçek siber soygunlarda, deepfake teknolojisi kullanılarak tek bir telefon görüşmesiyle milyonlarca dolar çalınmıştır.

A. Deepfake Video ile Katmerli Saldırılar

Sesin yetmediği durumlarda, Deepfake videolar devreye girer. Saldırganlar ele geçirilmiş bir Zoom veya Teams hesabı üzerinden görüntülü toplantıya girerek, şirketin bir yöneticisiymiş gibi görünür. Çok merkezli bir siber soygunda, finans departmanından bir yetkili Zoom toplantısına katıldığında ekranda yönetim kurulunun AI tarafından üretilmiş sahte yüzlerini ve seslerini görerek kandırılmıştır.

3. Kurumlar AI Tabanlı Vishing'e Karşı Nasıl Korunur?

Yapay zeka merkezli bu manipülasyonlara karşı yalnızca teknoloji odaklı değil, personel odaklı (Human Firewall) bir savunma stratejisi kurulmalıdır.

  1. Kelime-i Parola (Safe Word) Protokolü: Üst düzey yöneticiler ile operasyon veya finans ekibi arasında kurumsal bir "Acil Durum Parolası" belirlenmelidir. C-level bir kişiden normalin dışında bir yetki devri veya para transferi talep edildiğinde, personel bu kelimeyi sormalıdır.
  2. "Out-of-Band" Doğrulama: Sesli veya e-postayla gelen anlık ve acil talepler, her zaman farklı bir iletişim kanalı üzerinden doğrulanmalıdır. Telefonla talimat geliyorsa, çalışan işlem yapmadan önce WhatsApp veya şirket içi Slack üzerinden mesaj atıp işlemi bizzat Teyit etmelidir.
  3. Behavioral Analytics ve İşlem Limitleri: Tek bir personelin onay mekanizmasıyla kurum dışına (özellikle kripto para borsalarına veya Offshore bankalara) yüksek tutarlı çıkış yapılması engellenmeli; her kritik işlemde mutlaka "Multi-Signature" (Çoklu İmza/Onay) akışı kurumsal yazılıma kodlanmalıdır.
  4. Sürekli OSINT ve Tehdit Avcılığı (Threat Hunting): Eresus Security gibi kuruluşlar, yöneticilerinizin Dark Web üzerinde açık kaynaklı profillerinin veya ses kayıtlarının klonlama amacıyla toplanıp toplanmadığını düzenli olarak taramalıdır.

Sonuç

Deepfake teknolojisi siber suçları "şifre kırma" aşamasından "insan algısını bükme" aşamasına geçirmiştir. Kurumsal kimliğinizin veya çalışanlarınızın AI tarafından sentezlenen illüzyonlara kurban gitmemesi için siber farkındalık eğitimleri derhal yeni nesil yapay zeka tehditlerini kapsayacak şekilde güncellenmelidir.