B2B dolandırıcılıkların büyük kısmı teknik açıkla başlamaz.
Bir maille başlar.
Ve çoğu zaman şu cümleyle biter:
“Zaten her şey doğru görünüyordu.”
Sahte tedarikçi IBAN değişimi dolandırıcılığı, bugün kurumsal ödemelerde en yüksek tutarlı ve en geç fark edilen kayıp türlerinden biridir.
Çünkü saldırı;
– sisteme değil,
– sürece değil,
– doğrudan alışkanlıklara oynar.
Sahte Tedarikçi IBAN Değişimi Nedir?
Bu dolandırıcılık türünde saldırgan:
– gerçek bir tedarikçiyi taklit eder,
– gerçek bir fatura veya ödeme ilişkisini kullanır,
– sadece tek bir şeyi değiştirir:
IBAN bilgisini.
Ödeme süreci normal ilerler.
Onaylar alınır.
Fatura kesilir.
Para çıkar.
Ama yanlış hesaba gider.
Neden Bu Kadar Tehlikelidir?
Çünkü bu saldırı:
- küçük tutarla başlamaz,
- deneme yapmaz,
- acele ettirmez.
Aksine:
kurumsal düzenin içine sızar.
Genellikle:
- muhasebe–finans döngüsünü izler,
- ödeme zamanlarını bilir,
- mail dilini ve imza bloklarını taklit eder.
Bu yüzden kayıp fark edildiğinde, para çoktan sistemden çıkmıştır.
Saldırı Nasıl İşler? (Sessiz Akış)
Tipik senaryo şöyledir:
– Tedarikçiden geliyormuş gibi görünen bir e-posta gelir.
– “Banka değişikliği”, “hesap güncellemesi” veya “operasyonel zorunluluk” gerekçesi sunulur.
– IBAN değişikliği talep edilir.
– Muhasebe kaydı güncellenir.
– Ödeme rutin şekilde yapılır.
Hiçbir aşama olağan dışı görünmez.
İşte asıl risk de buradadır.
En Büyük Yanılgı
“Mail doğruysa, tedarikçi de doğrudur.”
Yanlış.
Bu saldırıda:
- mail adresi birebir kopyalanmış olabilir,
- alan adı çok benzer olabilir,
- hatta daha önceki yazışmalara yanıt verilmiş olabilir.
Güven, geçmişten devralınır.
Saldırı da tam bu güveni kullanır.
Sahte IBAN Dolandırıcılığına Karşı 2 Altın Kural
Kural 1: IBAN Değişikliği = Yeni Tedarikçi
Bir IBAN değiştiği anda şu varsayımı yap:
Bu artık yeni bir tedarikçidir.
Bu ne demektir?
- Yeni doğrulama süreci,
- yeni onay zinciri,
- tek seferlik istisna yok.
IBAN değişikliğini “küçük bir güncelleme” olarak görmek, en pahalı hatadır.
Pratik kontrol:
IBAN değiştiyse, ödeme otomatik durur.
Kural 2: Tek Kanal Asla Yeterli Değildir
IBAN değişikliği asla tek kanaldan doğrulanmaz.
Mail geldiyse:
- telefonla ara,
- eski numaradan ara,
- maildeki numarayı kullanma.
Telefon geldiyse:
- yazılı teyit iste,
- önceki sözleşmedeki kanalı kullan.
Kural basit:
Talep hangi kanaldan geldiyse, doğrulama başka kanaldan yapılır.
B2B Ödeme Güvenliği – Pratik Kontrol Listesi
Ödeme öncesi şu sorulara net cevap yoksa, dur:
– IBAN daha önce kullanılmış mı?
– Değişiklik talebi beklenen bir zamanlamada mı geldi?
– Talep farklı bir kanaldan doğrulandı mı?
– Onayı veren kişi IBAN değişikliğini gerçekten gördü mü?
– “Acil” veya “istisna” dili kullanıldı mı?
Bu sorulardan biri bile rahatsız ediciyse, ödeme yapılmaz.
Kurumlar İçin Kritik Not
Bu dolandırıcılık türü;
– banka hatası değildir,
– muhasebe hatası değildir.
Süreç tasarımı hatasıdır.
IBAN değişikliğini sistemsel bir eşik olarak tanımlamayan her yapı, aynı riski yeniden üretir.
Kurumsal ödemelerde en büyük kayıplar;
– karmaşık saldırılardan değil,
– “çok normal” görünen adımlardan çıkar.
Sahte tedarikçi IBAN dolandırıcılığı;
ne kadar az konuşulursa, o kadar çok zarar verir.
Sessiz güç, net etki:
IBAN değişikliği küçük bir detay değildir;
doğru yönetilmezse, en pahalı detaydır.
