Masqot Logo
Yapay Zeka Kimlik Taklidi Dolandırıcılığı: 3 Saniye Yetiyor
Siber Güvenlik

Yapay Zeka Kimlik Taklidi Dolandırıcılığı: 3 Saniye Yetiyor

Hüseyin Şimşek
Hüseyin ŞimşekAdmin
13 Temmuz 2026
8 dk okuma süresi
Yapay zeka kimlik taklidi dolandırıcılığı 2026'nın en hızlı büyüyen tehdidi. 3 saniyelik ses yetiyor. Türkiye'deki vakalar ve korunma yolları.

Kimlik Taklidi Dolandırıcılığı Nedir?

Kimlik taklidi dolandırıcılığı, saldırganın kurbanın tanıdığı veya itaat etmek zorunda hissettiği birinin yerine geçmesiyle işleyen bir sosyal mühendislik yöntemidir. Taklit edilen kişi bir banka çalışanı, bir kamu görevlisi, şirketin genel müdürü ya da kurbanın kendi çocuğu olabilir. Saldırının teknik bir güvenlik açığına ihtiyacı yoktur, çünkü hedeflenen şey sistem değil insandır.

Yapay zeka bu denklemi üç noktadan değiştirdi. Vectra AI'nin derlediği 2026 International AI Safety Report bulgularına göre bu dolandırıcılıkları besleyen araçlar ücretsiz, teknik bilgi gerektirmiyor ve anonim kullanılabiliyor. Maliyet, beceri ve hesap verebilirlik eşiklerinin aynı anda sıfırlanması, yapay zeka destekli dolandırıcılığın diğer tüm tehdit kategorilerinden hızlı büyümesinin nedeni olarak gösteriliyor.

Ham madde de bol. McAfee'nin araştırmasına göre 3 saniyelik temiz konuşma kaydı, yüzde 85 doğrulukta bir ses klonu için yeterli. Bir WhatsApp sesli mesajı, bir Instagram videosu ya da bir podcast konuğu kaydı bu eşiği rahatlıkla aşıyor. Ses klonlama teknolojisi bir dönem stüdyo işiyken, bugün ElevenLabs gibi ticari araçlar aracılığıyla tarayıcı üzerinden erişilebiliyor. Suç tarafında ise etik filtreleri kaldırılmış zararlı yapay zeka modelleri ikna edici oltalama metinlerini seri üretime dönüştürdü.

Ses klonlama saldırı zinciri şeması: sosyal medyadan toplanan kısa ses kaydı, yapay zeka modelinden geçerek sahte bir telefon aramasına dönüşüyor

2026'da Tablo Ne Kadar Kötü?

Tehdidin ölçeğini gösteren en güncel veriler 2026'nın ilk yarısında yayımlandı. Dünya Ekonomik Forumu'nun Global Cybersecurity Outlook 2026 raporunda üretken yapay zekanın, saldırganın inandırıcı saldırı kurabildiği hedef yelpazesini genişlettiği belirtildi. Rapora göre kurumların yüzde 73'ü siber destekli dolandırıcılıktan doğrudan etkilendi.

Kurumsal tarafta asıl çarpıcı olan, farkındalık ile hazırlık arasındaki uçurum. Keepnet'in derlediği Gartner anketine göre kurumların yüzde 62'si son 12 ayda bir deepfake saldırısına maruz kaldı. Aynı derlemede, güvenlik liderlerinin yalnızca yüzde 10'unun deepfake tanımayı bir öncelik olarak gördüğü aktarıldı. Sumsub'un 2025-2026 kimlik dolandırıcılığı raporunda ise deepfake denemelerinin yıllık bazda yüzde 94 arttığı bildirildi.

Tüketici tarafındaki en yüksek çözünürlüklü resim ABD'den geliyor. Federal Ticaret Komisyonu'nun 15 Haziran 2026'da yayımladığı veriye göre Amerikalılar 2025 boyunca kimlik taklidi dolandırıcılığına 3,5 milyar dolar kaptırdı. Bir milyondan fazla ihbar yapıldı, kayıplar 2020'ye kıyasla neredeyse üçe katlandı ve tüm dolandırıcılık türlerinin toplam bilançosu 16 milyar dolara ulaştı. Bu kaybın 2,1 milyar doları sosyal medya üzerinden başlayan temaslardan doğdu. Rakamlar 2025 takvim yılına ait, çünkü FTC verisini yılda bir kez açıklıyor; 2026'nın tam yıl bilançosu henüz yayımlanmadı.

Eğilim çizgisi yukarı bakıyor. Deloitte'un projeksiyonuna göre ABD'de üretken yapay zeka kaynaklı dolandırıcılık kayıpları, 2023'teki 12,3 milyar dolar seviyesinden 2027'de 40 milyar dolara çıkabilir.

Yapay zeka dolandırıcılığı 2026 verileri: kurumların maruziyet oranı ile deepfake tehdidine hazırlık oranı arasındaki uçurumu gösteren halka grafikler

Sahte Yönetici Sesi Şirketleri Nasıl Vuruyor?

Kurumsal senaryonun şablonu bir vakada netleşti. Ocak 2024'te Hong Kong'daki bir mühendislik şirketinin finans çalışanı, bir video konferansa katıldı. Ekrandaki finans direktörü ve diğer tüm meslektaşları yapay zeka üretimiydi. Adaptive Security'nin aktardığına göre çalışan, 15 ayrı transferle toplam 25,6 milyon doları saldırganların hesaplarına gönderdi. İlk aşamada oltalama şüphesi duymuştu; canlı görüntü, senkron mimikler ve tanıdık sesler bu şüpheyi tamamen sildi.

Başarısız girişimler daha öğretici. Forbes'ta yayınlanan analize göre Temmuz 2024'te Ferrari'nin genel müdürünün sesi, aksanı dahil klonlanarak bir yöneticiye WhatsApp üzerinden ulaşıldı. Saldırı, hedeflenen yöneticinin yalnızca gerçek genel müdürün bilebileceği kişisel bir soru sormasıyla çöktü. Karşı taraf telefonu kapattı. Mayıs 2024'te WPP'ye yönelik benzer bir video toplantısı girişimi de yalnızca çalışanın şüphesiyle engellendi.

Ortak ders şu: saldırı ilk temasta değil, onay anında kazanıyor. Para, bir sistem ele geçirildiği için değil, bir insan yetkilendirme düğmesine bastığı için hareket ediyor. Verizon'un 2026 Veri İhlali Soruşturmaları Raporunda ihlallerin yüzde 62'sinin bir insan unsuru içermesi de aynı kırılganlığa işaret ediyor. Klasik oltalama eğitimleri yazım hatasını ve sahte alan adını yakalamayı öğretir; tanıdık bir sesin doğrulanması için hiçbir refleks kazandırmaz.

Sahte yönetici video konferansı: ekrandaki tüm katılımcıların yapay zeka üretimi olduğu ve tek gerçek kişinin karşısındaki çalışan olduğu kurumsal dolandırıcılık senaryosu

Türkiye'de Hangi Senaryolar Görülüyor?

Türkiye'de yaygınlaşan biçim, kurumsal transferden çok aile ve yatırım eksenli. Emniyet birimleri 2026'nın ilk yarısında bu yönde uyarı yaptı.

  • Aile acil durumu: Yeni Asır'da yayınlanan habere göre İzmir Siber Suçlarla Mücadele Şube Müdürlüğü yetkilileri, "kaza yaptım", "başım belada", "acil para gönder" senaryolarında ciddi artış bildirdi. Kurbanın çocuğunun ya da yakınının sesi klonlanıyor, panik anında ikinci bir doğrulama yapılmıyor.

  • Sahte yatırım reklamı: Tanınmış kişilerin görüntüsü ve sesi kullanılarak hazırlanan yüksek kazanç vaatli videolar dolaşıma sokuluyor. Sakarya'da yaşayan 56 yaşındaki İrfan Sezgin, bu yöntemle hazırlanmış sahte reklamlar üzerinden 2,5 milyon lira kaybetti.

  • Ünlü sesi taklidi: Şarkıcı Serdar Ortaç, kendi klonlanmış sesiyle aranarak hedef alındığını anlattı. Aynı teknik, hayran bağını istismar eden dolandırıcılıklarda da kullanılıyor.

  • Kurum taklidi: Banka görevlisi ya da kamu görevlisi kimliğine bürünen aramalarda, hesabın "korunması" gerekçesiyle para transferi isteniyor.

Tüketici Konfederasyonu Siber Güvenlik Komisyonu Başkanı Muharrem Baki, dolandırıcıların artık teknik açıkları değil doğrudan güven duygusunu hedeflediğini söylüyor. İzmir'deki yetkililerin verdiği tavsiye ise tek cümleye sığıyor: telefonla gelen para taleplerinde görüşme sonlandırılmalı ve ilgili kişi kayıtlı numarasından geri aranmalı.

Türkiye'de görülen yapay zeka dolandırıcılığı senaryoları: aile acil durumu araması, sahte yatırım reklamı, ünlü sesi taklidi ve banka görevlisi kimliğine bürünme

Klasik Oltalamadan Farkı Ne?

Eski oltalama, dikkatli bakan gözün yakalayabileceği kusurlar barındırıyordu: bozuk Türkçe, yanlış alan adı, kişiselleştirilmemiş hitap. Yapay zeka destekli kimlik taklidi bu kusurları ortadan kaldırıyor ve saldırıyı görsel şüphecilik alanından çıkarıp duygusal tepki alanına taşıyor.

Ölçüt

Klasik oltalama

Yapay zeka kimlik taklidi

Kanal

E-posta, SMS

Canlı ses, video görüşme, çoklu kanal

Hazırlık maliyeti

Düşük, kalitesi de düşük

Neredeyse sıfır, kalitesi yüksek

Gereken ham veri

E-posta adresi

3 saniyelik ses kaydı

Tespit ipucu

Yazım hatası, sahte alan adı

Belirgin ipucu yok

Hedeflenen refleks

Dikkatsizlik

Otoriteye itaat ve aciliyet

İşe yarayan savunma

Bağlantı kontrolü

Kanal dışı doğrulama

Fark, tablonun son satırında toplanıyor. Bir bağlantının üzerine gelip hedefini görmek mümkün; bir sesin üzerine gelip kaynağını görmek mümkün değil. Doğrulama, konuşmanın içinde değil dışında yapılmak zorunda.

Klasik oltalama ile yapay zeka kimlik taklidi karşılaştırması: sahte e-posta ipuçlarının yerini ipucu bırakmayan sentetik ses saldırılarının aldığı görsel şema

Kurumlar ve Bireyler Nasıl Korunabilir?

Tespit teknolojisi tek başına yetmiyor. Ses biyometrisi ve canlılık testleri gelişse de büyük transferler gerçekleşmeye devam etti, çünkü kırılan halka algı değil süreçti. Gartner, 2026 itibarıyla kurumların yüzde 30'unun tek başına kimlik doğrulama çözümlerini güvenilir saymayacağını öngörüyor.

İşe yarayan önlemler mimari olanlar:

  • Kanal dışı geri arama: Ses ya da video üzerinden gelen her ödeme, maaş bordrosu değişikliği ve parola sıfırlama talebi, daha önceden kayıtlı ikinci bir kanaldan teyit edilmeli. Talebin geldiği kanaldan yapılan doğrulama doğrulama sayılmaz.

  • Dört göz kuralı: Yüksek tutarlı transferler tek kişinin onayına bırakılmamalı. Sigorta tarafı da bu yöne bakıyor: birçok poliçede deepfake kaynaklı yönetici dolandırıcılığı, ancak olay anında geri arama protokolü belgelenmişse teminat kapsamına giriyor.

  • Aile içi doğrulama parolası: Yalnızca aile bireylerinin bildiği bir kelime belirlenmeli. Panik yaratan aramada bu kelime sorulmalı. Ferrari vakasını bitiren şey tam olarak bunun kurumsal karşılığıydı.

  • Ham madde kısıtlaması: Sosyal medyada uzun ve net ses kayıtları paylaşmak, klonlama için hazır veri seti üretmek anlamına geliyor.

  • Doğrulamanın normalleştirilmesi: Kaspersky'nin Türkçe kaynağında belirtildiği gibi geri aramak ya da başka birine danışmak kabalık değil, olağan bir refleks olmalı. Meşru kişiler bunu anlar, dolandırıcı ise engellemeye çalışır. Bu davranış aynı zamanda bir test işlevi görür.

Kurumsal tarafta yapay zeka güvenliği yalnızca modelin korunması değil, modelin taklit ettiği kimliğin korunması anlamına da geliyor. Düzenleme tarafında ise takvim işliyor: Avrupa Birliği Yapay Zeka Yasası'nın 50. maddesindeki şeffaflık yükümlülükleri Ağustos 2026'da yürürlüğe giriyor ve sentetik içeriğin etiketlenmesini zorunlu kılıyor. Türkiye'de de TBMM'ye sunulan Yapay Zeka Kanun Teklifi benzer bir etiketleme zorunluluğu ve içerik kaldırma süresi öngörüyor.

Kanal dışı doğrulama protokolü: gelen aramadaki para talebinin doğrudan onaylanmadığı, kayıtlı ikinci bir kanaldan teyit edilerek ilerlediği güvenli akış

Bireysel tarafta yapılacak liste kısa. Telefonda para isteyen kişiye hemen inanılmamalı, görüşme sonlandırılıp kişi kayıtlı numarasından geri aranmalı, aile içinde özel bir doğrulama sorusu belirlenmeli, banka bilgileri telefonda paylaşılmamalı ve uzaktan erişim talepleri reddedilmeli.

Topluluk Ne Düşünüyor?

Aile içi doğrulama parolası: yalnızca aile bireylerinin bildiği ortak bir kelimenin, sahte ses aramalarını kapıda durduran koruma halkası oluşturması

Güvenlik toplulukları çözümün nerede aranması gerektiği konusunda ikiye ayrılmış durumda.

Tespit teknolojisine güvenenler, sentetik ses ve görüntü tespitindeki doğruluk oranlarının hızla yükseldiğini, ses biyometrisi ve canlılık kontrollerinin bankacılık ve çağrı merkezi süreçlerine yerleştiğini savunuyor. Bu kesime göre etiketleme yükümlülükleri ve dijital filigran standartları yaygınlaştıkça sentetik içerik izlenebilir hale gelecek.

Karşı taraf ise laboratuvar başarısının sahaya taşınmadığını hatırlatıyor. Tespit araçlarının kontrollü testlerdeki başarısı gerçek koşullarda belirgin biçimde düşüyor ve saldırgan her yeni model sürümüyle bir adım öne geçiyor. Bu görüşe göre sorun algı değil mimari: bir sesin gerçek olup olmadığını anlamaya çalışmak yerine, sesin tek başına hiçbir şeyi yetkilendirememesi gerekiyor. Ferrari vakasını bitirenin bir tespit yazılımı değil, bir soru olması bu argümanı besliyor.

Sıkça Sorulan Sorular

Yapay zeka kimlik taklidi dolandırıcılığı nedir? Saldırganın yapay zeka ile üretilmiş ses veya görüntü kullanarak kurbanın tanıdığı birinin yerine geçmesidir. Amaç para transferi sağlatmak, kimlik bilgisi almak ya da normal güvenlik adımlarını atlatmaktır. Teknik bir açık kullanılmaz, kurbanın güveni ve aciliyet hissi kullanılır.

Bir sesi klonlamak için ne kadar kayıt gerekiyor? McAfee'nin araştırmasına göre 3 saniyelik temiz konuşma kaydı, yüzde 85 doğrulukta bir klon üretmeye yetiyor. Sosyal medyadaki bir video, bir sesli mesaj ya da bir podcast kaydı bu miktarı fazlasıyla sağlıyor. Ses örneğinin uzun olması gerekmiyor.

Sahte sesi kulaktan ayırt etmek mümkün mü? Güvenilir biçimde değil. Araştırmalar, insanların sentetik sesleri ancak yüzde 60 civarında doğrulukla ayırt edebildiğini gösteriyor; bu, yazı tura atmaktan çok az daha iyi bir oran. Kulakla tespit yerine kanal dışı doğrulamaya güvenilmeli.

Şirketler bu saldırılardan nasıl korunur? Yetkilendirme adımı mimari olarak korunmalı. Ses veya video üzerinden gelen ödeme talepleri kayıtlı ikinci bir kanaldan teyit edilmeli. Yüksek tutarlı transferlerde dört göz kuralı uygulanmalı. Finans ve insan kaynakları ekipleri sahte yönetici senaryolarıyla düzenli tatbikat yapmalı.

Dolandırıldıktan sonra ne yapılmalı? Para henüz başka hesaplara aktarılmadıysa geri alınma ihtimali bulunuyor, bu yüzden hız belirleyici. Önce banka aranarak işlem bildirilmeli, ardından savcılığa suç duyurusunda bulunulmalı. Arama kaydı, mesajlar ve transfer bilgileri delil olarak saklanmalı.

Sesin bir kimlik kanıtı olduğu dönem kapandı. Bundan sonrası, kurumların ve ailelerin doğrulamayı bir nezaket meselesi olmaktan çıkarıp bir kural haline getirip getiremeyeceğine bağlı. Ferrari'yi kurtaran şey pahalı bir tespit sistemi değil, doğru anda sorulmuş tek bir soruydu.

Kimlik Taklidi Dolandırıcılığı Nedir? Kimlik taklidi dolandırıcılığı, saldırganın kurbanın tanıdığı veya itaat etmek zorunda hissettiği birinin yerine geçmesiyle işleyen bir sosyal mühendislik yöntemidir. Taklit edilen kişi bir banka çalışanı, bir kamu görevlisi, şirketin genel müdürü ya da kurbanın kendi çocuğu olabilir. Saldırının teknik bir güvenlik açığına ihtiyacı yoktur, çünkü hedeflenen şey sistem değil insandır. Yapay zeka bu denklemi üç noktadan değiştirdi. Vectra AI'nin derlediği 2026 International AI Safety Report bulgularına göre bu dolandırıcılıkları besleyen araçlar ücretsiz, teknik bilgi gerektirmiyor ve anonim kullanılabiliyor. Maliyet, beceri ve hesap verebilirlik eşiklerinin aynı anda sıfırlanması, yapay zeka destekli dolandırıcılığın diğer tüm tehdit kategorilerinden hızlı büyümesinin nedeni olarak gösteriliyor. Ham madde de bol. McAfee'nin araştırmasına göre 3 saniyelik temiz konuşma kaydı, yüzde 85 doğrulukta bir ses klonu için yeterli. Bir WhatsApp sesli mesajı, bir Instagram videosu ya da bir podcast konuğu kaydı bu eşiği rahatlıkla aşıyor. Ses klonlama teknolojisi bir dönem stüdyo işiyken, bugün ElevenLabs gibi ticari araçlar aracılığıyla tarayıcı üzerinden erişilebiliyor. Suç tarafında ise etik filtreleri kaldırılmış zararlı yapay zeka modelleri ikna edici oltalama metinlerini seri üretime dönüştürdü. 2026'da Tablo Ne Kadar Kötü? Tehdidin ölçeğini gösteren en güncel veriler 2026'nın ilk yarısında yayımlandı. Dünya Ekonomik Forumu'nun Global Cybersecurity Outlook 2026 raporunda üretken yapay zekanın, saldırganın inandırıcı saldırı kurabildiği hedef yelpazesini genişlettiği belirtildi. Rapora göre kurumların yüzde 73'ü siber destekli dolandırıcılıktan doğrudan etkilendi. Kurumsal tarafta asıl çarpıcı olan, farkındalık ile hazırlık arasındaki uçurum. Keepnet'in derlediği Gartner anketine göre kurumların yüzde 62'si son 12 ayda bir deepfake saldırısına maruz kaldı. Aynı derlemede, güvenlik liderlerinin yalnızca yüzde 10'unun deepfake tanımayı bir öncelik olarak gördüğü aktarıldı. Sumsub'un 2025-2026 kimlik dolandırıcılığı raporunda ise deepfake denemelerinin yıllık bazda yüzde 94 arttığı bildirildi. Tüketici tarafındaki en yüksek çözünürlüklü resim ABD'den geliyor. Federal Ticaret Komisyonu'nun 15 Haziran 2026'da yayımladığı veriye göre Amerikalılar 2025 boyunca kimlik taklidi dolandırıcılığına 3,5 milyar dolar kaptırdı. Bir milyondan fazla ihbar yapıldı, kayıplar 2020'ye kıyasla neredeyse üçe katlandı ve tüm dolandırıcılık türlerinin toplam bilançosu 16 milyar dolara ulaştı. Bu kaybın 2,1 milyar doları sosyal medya üzerinden başlayan temaslardan doğdu. Rakamlar 2025 takvim yılına ait, çünkü FTC verisini yılda bir kez açıklıyor; 2026'nın tam yıl bilançosu henüz yayımlanmadı. Eğilim çizgisi yukarı bakıyor. Deloitte'un projeksiyonuna göre ABD'de üretken yapay zeka kaynaklı dolandırıcılık kayıpları, 2023'teki 12,3 milyar dolar seviyesinden 2027'de 40 milyar dolara çıkabilir. Sahte Yönetici Sesi Şirketleri Nasıl Vuruyor? Kurumsal senaryonun şablonu bir vakada netleşti. Ocak 2024'te Hong Kong'daki bir mühendislik şirketinin finans çalışanı, bir video konferansa katıldı. Ekrandaki finans direktörü ve diğer tüm meslektaşları yapay zeka üretimiydi. Adaptive Security'nin aktardığına göre çalışan, 15 ayrı transferle toplam 25,6 milyon doları saldırganların hesaplarına gönderdi. İlk aşamada oltalama şüphesi duymuştu; canlı görüntü, senkron mimikler ve tanıdık sesler bu şüpheyi tamamen sildi. Başarısız girişimler daha öğretici. Forbes'ta yayınlanan analize göre Temmuz 2024'te Ferrari'nin genel müdürünün sesi, aksanı dahil klonlanarak bir yöneticiye WhatsApp üzerinden ulaşıldı. Saldırı, hedeflenen yöneticinin yalnızca gerçek genel müdürün bilebileceği kişisel bir soru sormasıyla çöktü. Karşı taraf telefonu kapattı. Mayıs 2024'te WPP'ye yönelik benzer bir video toplantısı girişimi de yalnızca çalışanın şüphesiyle engellendi. Ortak ders şu: saldırı ilk temasta değil, onay anında kazanıyor. Para, bir sistem ele geçirildiği için değil, bir insan yetkilendirme düğmesine bastığı için hareket ediyor. Verizon'un 2026 Veri İhlali Soruşturmaları Raporunda ihlallerin yüzde 62'sinin bir insan unsuru içermesi de aynı kırılganlığa işaret ediyor. Klasik oltalama eğitimleri yazım hatasını ve sahte alan adını yakalamayı öğretir; tanıdık bir sesin doğrulanması için hiçbir refleks kazandırmaz. Türkiye'de Hangi Senaryolar Görülüyor? Türkiye'de yaygınlaşan biçim, kurumsal transferden çok aile ve yatırım eksenli. Emniyet birimleri 2026'nın ilk yarısında bu yönde uyarı yaptı. Aile acil durumu: Yeni Asır'da yayınlanan habere göre İzmir Siber Suçlarla Mücadele Şube Müdürlüğü yetkilileri, "kaza yaptım", "başım belada", "acil para gönder" senaryolarında ciddi artış bildirdi. Kurbanın çocuğunun ya da yakınının sesi klonlanıyor, panik anında ikinci bir doğrulama yapılmıyor. Sahte yatırım reklamı: Tanınmış kişilerin görüntüsü ve sesi kullanılarak hazırlanan yüksek kazanç vaatli videolar dolaşıma sokuluyor. Sakarya'da yaşayan 56

Etiketler:Yapay Zeka Kimlik Taklidi DolandırıcılığıYapay Zeka DolandırıcılığıŞirketler İçin Sahte Ses DolandırıcılığıKimlik Taklidi Dolandırıcılığı Nasıl AnlaşılırSahte Yönetici Sesi Dolandırıcılığı
Hüseyin Şimşek
Hüseyin ŞimşekAdmin
@huseyincsec

Yorumlar (0)

Yorum yapmak için giriş yapmalısınız.

Giriş Yap
Henüz yorum yapılmamış. İlk yorumu siz yapın!