Bir telefonda duyduğunuz ses “tanıdık” gelebilir.
Üstelik sadece tanıdık değil; birebir aynı gibi de gelebilir.
Yeni dönem tam olarak bu: ses kopyalama (voice cloning) ile dolandırıcılık.
Dolandırıcılar; sosyal medya videolarından, sesli mesajlardan, kısa telefon kayıtlarından elde ettikleri örneklerle ikna edici ses taklitleri üretebiliyor. Bu yöntem, klasik “acil durum” ve “yetkili kişi” senaryolarını daha inandırıcı hâle getiriyor.
“Benim Sesimle Aradılar” Nasıl Mümkün Oluyor?
Ses kopyalama dolandırıcılığı genelde iki parçalı çalışır:
- Ses taklidi: Kısa bir örnek ses kaydıyla (sosyal medya, sesli mesaj, video vb.) ses benzetimi üretilir.
- Sosyal mühendislik: “Acil”, “gizli”, “hemen” gibi tetikleyicilerle düşünme payı kapatılır.
Önemli ayrım şudur: Burada saldırı “şifre kırmak” değil; sizi işlem yapmaya ikna etmektir. Bu yüzden en güçlü savunma, teknikten önce doğrulama disiplini olur.
Ses Kopyalama Dolandırıcılığında En Sık Senaryolar
- Aile acil durumu: “Kaza yaptım, karakoldayım, hemen para gönder.”
- Yönetici/iş yeri talimatı: “Acil ödeme, hemen havale, kimseye söyleme.”
- Kurumsal kimlik taklidi: “Banka/kurum güvenlik birimi” gibi davranıp “doğrulama” bahanesiyle veri veya para ister.
5 Doğrulama Kuralı (Bu Dönemin “Güvenlik Protokolü”)
1) Kapat – Geri Ara (Kayıtlı Numara Üzerinden)
Arayan numara tanıdık görünse bile, gelen arama üzerinden ilerleme.
Telefonu kapat ve kişiyi/kurumu rehberindeki kayıtlı numaradan geri ara. Bu tek hareket, ses taklidinin etkisini büyük ölçüde kırar.
2) “Güven Cümlesi / Kod Kelime” Kuralı
Aile içinde veya ekip içinde, sadece sizin bildiğiniz basit bir güven cümlesi belirleyin.
Örnek: “Çocukluğumuzun tatil şehri neydi?” gibi tek soruluk doğrulama.
Bu yöntem, ses “aynı” olsa bile senaryoyu bozar.
3) Para + Kod + Şifre: Asla Aynı Akışta Olmaz
Şu üçlü aynı konuşmada geçiyorsa otomatik risk kabul et:
- Para gönder / havale yap / kripto aktar
- Tek kullanımlık kod (OTP) / doğrulama kodu
- Şifre / kart bilgisi / uygulama içi onay
Bu kombinasyon, “acil durum” maskesiyle bile gelse güvenlik açısından kırmızı bayraktır.
4) İkinci Kanal Doğrulaması (Ses Tek Başına Kanıt Değil)
Ses tek başına artık kimlik kanıtı sayılmaz.
Mutlaka ikinci kanal iste:
- WhatsApp’tan önceden bilinen numaradan yazılı mesaj
- Kurumsal e-posta (kurum alan adıyla) + geri arama
- Mümkünse görüntülü arama (ama bunu da tek başına “kesin kanıt” sayma)
Bu kuralın mantığı basit: Tek kanalı taklit etmek kolaylaştıkça, güven çoklu kanala taşınır.
5) Zaman Kazan: “Hemen” Dendiği Anda 90 Saniye Kuralı
Ses kopyalama dolandırıcılığı, en çok acele üzerinden çalışır.
“Hemen” dendiği anda kendinize 90 saniye verin:
- Derin nefes
- Geri arama
- Kod kelime
- İkinci kanal
Bu kısa durak, duygusal dalgayı kırar ve “otomatik onay” refleksini durdurur.
Dolandırıcıların En Sevdiği Cümleler
- “Kimseye söyleme.”
- “Hemen yapmazsan daha kötü olur.”
- “Şu hesaba gönder, sonra açıklayacağız.”
- “Banka güvenlik için kodu söyle.”
Bu cümleler, ses ne kadar gerçekçi olursa olsun, genellikle senaryonun imzasıdır.
Kurumsal Taraf: Ekipler İçin Mini Politika
- Call-back kuralı: Üst yönetici “acil ödeme” dese bile, kayıtlı numaradan geri arama zorunlu.
- Çift onay: Tek kişinin onayıyla yüksek tutar çıkışı olmaz.
- Yazılı talimat: Sadece sesli talimatla finansal işlem yapılmaz.
Çünkü bu saldırı türü, “yetkili sesini” taklit ederek süreç atlatmaya çalışır.
Kısa Kontrol Listesi
- Telefonu kapat, kayıtlı numaradan geri ara.
- Kod kelimeyi sor.
- Para + OTP/şifre aynı konuşmada varsa dur.
- İkinci kanal doğrulaması iste.
- 90 saniye kuralı: aceleye teslim olma.
Bu dönemde güvenlik, “ses tanıma” ile değil doğrulama disiplini ile ayakta kalır.
Ses artık kimlik kanıtı değil; ikna aracıdır.
Sessiz güç, net etki: Ses ne kadar tanıdık gelirse gelsin, doğrulama adımını otomatikleştir.
