Finansal dolandırıcılıkta paradoks şu: Güvenlik katmanları artıyor, kayıplar azalmıyor.
Bu çelişki, “koruma yok” anlamına gelmiyor. Daha kritik bir anlama geliyor:
Koruma mekanizmaları doğru şeye bakıyor olabilir; ama asıl risk artık başka yerde büyüyor.
Son yıllarda raporlanan kayıpların artışı da bu dönüşümü işaret ediyor. Örneğin ABD’de tüketicilerin 2024’te dolandırıcılığa bağlı bildirdiği kayıpların 12,5 milyar doların üzerine çıktığı ve bir önceki yıla göre ciddi artış gösterdiği belirtiliyor. :contentReference[oaicite:0]{index=0}
1) Güvenlik “Kim”i Doğruluyor, Dolandırıcılık “Niyet”i Taklit Ediyor
Bankacılık güvenliği yıllarca kimlik doğrulama üzerine kuruldu. Kullanıcının kim olduğunu doğruladığınızda riskin büyük kısmını kontrol ettiğinizi varsaydınız.
Bugün saldırılar “kim”i aşmaya çalışmaktan çok, “niyet”i taklit ediyor.
Kullanıcı gerçekten giriş yapıyor, gerçekten onaylıyor, gerçekten para gönderiyor… Çünkü dolandırıcı, kullanıcının kararını ele geçiriyor.
Bu yüzden kayıpların önemli kısmı, sistemin “yetkili” kabul ettiği işlemlerden geliyor. Avrupa ödeme ekosisteminde yayınlanan raporlar da sosyal mühendisliğin giderek daha fazla “authorised push payment (APP)” dolandırıcılığına yol açtığını vurguluyor. :contentReference[oaicite:1]{index=1}
2) “Yetkisiz İşlem” Azalırken “Yetkili Görünen Kayıp” Artıyor
Birçok kurum güvenliği, kart kopyalama veya hesap ele geçirme gibi klasik yetkisiz senaryoları iyi yakalamaya başladı.
Ancak yeni dalgada kayıp, “kullanıcı kandırıldığı için” oluşuyor. Teknik olarak işlem sahte değil; karar sahte.
Bu ayrım kritik: Fraud motorları çoğu zaman anomalileri arar. Oysa sosyal mühendislikte işlem, anomali gibi görünmeyecek şekilde kurgulanır.
3) Kanal Parçalanması: SMS, WhatsApp, Arama, E-Posta ve Uygulama Aynı Senaryonun Parçaları
Korumalar genellikle tek kanalda çalışır: bankacılık uygulaması, çağrı merkezi, kart işlemleri gibi.
Dolandırıcı ise senaryoyu parçalara böler.
Bir mesajla tetikler, bir aramayla ikna eder, bir linkle yönlendirir, uygulama içinde “zaten siz onayladınız” gerçeğini üretir.
FTC’nin verileri, metin mesajlarıyla başlayan dolandırıcılıkların bildirim ve kayıp boyutunda ciddi yükseliş gösterdiğini de ortaya koyuyor. :contentReference[oaicite:2]{index=2}
Koruma mekanizması sadece uygulama içini izliyorsa, saldırının yarısı zaten “bankanın dışındaki sahnede” gerçekleşir.
4) Güvenlik Sinyalleri Yanlış Şeyi Ödüllendiriyor
Birçok güvenlik tasarımı şu sinyallere aşırı güvenir:
“Cihaz tanıdık”, “şifre doğru”, “OTP doğru”, “biyometri geçti”.
Bunların hepsi önemlidir. Ama hepsi aynı şeyi söyler: “Bu kişi büyük ihtimalle hesap sahibi.”
Hiçbiri şunu söylemez: “Bu işlem, bu kişi için mantıklı ve güvenli.”
Dolandırıcılık da tam bu boşluğa oynar: Kimliği değil, karar akışını ele geçirir.
5) Sürtünme Korkusu: Güvenlik, Deneyim Kaygısına Takılıyor
Birçok kurum, güvenliği artıran her adımın müşteri deneyimini bozacağından çekinir.
Bu yüzden önlemler genellikle “en az sürtünme” ile uygulanır.
Dolandırıcılar ise tam bunu bilir: Kullanıcıyı yormayan, hızlı görünen, doğal akışa benzeyen senaryolar üretir.
Kısacası güvenlik sürtünmeden kaçarken, saldırı “sürtünmesiz ikna” ile büyür.
6) Zekâ Savaşı Değil, Psikoloji Savaşı
Dolandırıcılık, teknik bir yarış olmaktan çıktı; davranışsal bir yarış haline geldi.
Dün hedef sistemdi, bugün hedef insan.
World Economic Forum’un 2025 görünüm raporu, phishing ve sosyal mühendislik olaylarında artış yaşayan kurum oranının yüksek olduğuna dikkat çekiyor. :contentReference[oaicite:3]{index=3}
Bu şunu anlatır: Kurumlar güvenliği “siber” bir problem gibi çözerken, saldırganlar bunu “ikna” problemi gibi çözüyor.
Koruma Mekanizmalarının Kaçırdığı Asıl Nokta: Niyet Doğrulaması
Bugünün en büyük açığı, kimlik doğrulamasında değil; niyet doğrulamasında.
İşlem yapılmadan hemen önce sistemin şu soruya güçlü bir cevap üretmesi gerekir:
“Bu işlem gerçekten kullanıcı tarafından, kullanıcı yararına mı yapılıyor; yoksa kullanıcı yönlendiriliyor mu?”
Çoğu sistem bu soruyu doğrudan sormaz. Dolaylı sinyallerle tahmin etmeye çalışır. Dolandırıcılık da bu tahmini yanıltacak şekilde kurgulanır.
Ne Yapılmalı? Dengeyi Değiştiren Yaklaşım
Bu yazının amacı “daha fazla güvenlik adımı ekleyin” demek değil.
Asıl öneri, güvenliğin odağını kaydırmaktır: Kimlik doğrulamadan niyet doğrulamaya.
Bu dönüşüm pratikte şunları gerektirir:
Kurum tarafında işlem öncesi risk iletişimini bir “uyarı metni” olmaktan çıkarıp, kullanıcıyı gerçekten durduran ve doğrulatan akıllı kontrol noktalarına dönüştürmek.
Tek kanal yerine, saldırının tüm kanallarını kapsayan iz ve korelasyon yaklaşımı kurmak. Çünkü senaryo parçalıysa, savunma da parçalı kalmamalı.
“Hızlı onay” akışlarını, yüksek riskli transferlerde daha anlamlı ikinci doğrulama adımlarıyla güçlendirmek. Burada amaç daha çok şifre istemek değil; daha iyi soru sormak.
Kullanıcı tarafında ise en güçlü savunma, “bana bir şey olmaz” varsayımını bırakmaktır. Banka veya kurum adı, artık otomatik güven işareti değildir.
Finansal kayıplar artarken koruma mekanizmaları çoğu zaman şunu kaçırıyor: Dolandırıcılık artık sistemi değil, kararı hedefliyor.
Bu yüzden yeni dönemde güvenlik, kimliği doğrulamakla bitmez. Asıl fark, niyeti doğrulayabilen sistemlerde oluşur.
Sessiz güç, net etki tam da burada başlar:
İşlemi güvenli kılmak değil, kararın güvenli olduğundan emin olmak.
