CEO'nuz Gercekten O mu ?

Bir düşünün.

CEO’nuz sizi arıyor. Ses tonu tanıdık. Kelimeler yerli yerinde. Hatta video görüşmede yüzü bile var.

Acil bir ödeme talimatı veriyor.

Peki ya… Karşınızdaki gerçekten CEO’nuz değilse?

2026 itibarıyla bu senaryo bir distopya değil. Bu, gerçekleşmiş ve artan bir saldırı modeli. Deepfake teknolojileri, sosyal mühendisliği bambaşka bir seviyeye taşıdı: "Sosyal Mühendislik 2.0."

Sosyal Mühendisliğin Evrimi: E-postadan Gerçek

Zamanlı Deepfake’e

Klasik Sosyal Mühendislik Neydi?

Geçmişte saldırılar:

Sahte e-postalar (phishing), Basit telefon aramaları, Dil bilgisi hataları ve Şüpheli linkler üzerinden yürürdü. Dikkatli bir çalışan çoğu zaman saldırıyı fark edebilirdi.

Yeni Nesil Tehdit ise Deepfake Destekli Sosyal Mühendislik

Bugün ise tablo çok farklı:

• Gerçek ses klonları

• Gerçek zamanlı video deepfake’ler

• Kurumsal jargon bilgisi

• Takvim ve iç süreç farkındalığı

• Aciliyet ve otorite baskısı

Bu saldırılar artık: “Kandırmaya çalışmıyor.” Gerçekliği simüle ediyor.

Deepfake Teknolojisi Bu Noktaya Nasıl Geldi?

Ses Klonlama (Voice Cloning)

Sadece 30–60 saniyelik temiz ses kaydı

ile:

• Tonlama

• Aksan

• Duraksamalar

• Konuşma hızı

yüksek doğrulukla kopyalanabiliyor.

Kaynaklar nereden geliyor?

• YouTube videoları

• Podcast’ler

• Konferans kayıtları

• Sosyal medya paylaşımları

• İç toplantı kayıtları

Gerçek Zamanlı Video Deepfake’ler

Artık saldırganlar önceden hazırlanmış videolar değil, canlı görüşmelerde deepfake kullanıyor.

Bu ne demek?

• Yüz mimikleri senkron

• Dudak hareketleri uyumlu

• Göz kırpma, baş hareketleri doğal

Kurban için fark etmek neredeyse imkânsız.

Vishing 2.0: En Tehlikeli Senaryo

Vishing Nedir?

Vishing = Voice Phishing

Ama klasik vishing: Bilinmeyen numaralar, robotik sesler ve basit senaryolar üzerine kuruluydu.

Hedef ise genelde:

• Finans

• Muhasebe

• İK

• Hukuk

• Operasyon yöneticileri

Neden Bu Kadar Etkili?

Çünkü saldırı teknik, mantığa ya da şüpheye dayalı değil, psikolojik, otoriter ve alışkanlığa dayanır. Çünkü insan beyni “Tanıdığım birini görüyorum ve duyuyorum” varsayımını sorgulamakta zorlanır.

Kurumlar Neden Savunmasız?

“Gördüysem Gerçektir” Yanılgısı

Kurumsal süreçlerin çoğu hâlâ şunlara dayanır:

• Telefon onayı

• Video görüşme

• E-posta teyidi

Ama artık:

• Ses ≠ Kimlik

• Görüntü ≠ Kimlik

Tek Kişilik Onay Mekanizmaları

En büyük risk; TEK imza, TEK telefon ve TEK onaydır. Deepfake saldırıları tam olarak bunu hedef alır.

Çözüm: Deepfake Çağına Uygun Onay Mekanizmaları

Çok Kanallı Doğrulama (Out-of-Band Verification)

Kritik işlemler için aynı kanal tekrar kullanılmamalıdır.

Örneğin;

• Video görüşme → Güvenli mesajlaşma onayı

• Telefon → Kurumsal uygulama bildirimi

• E-posta → Donanım anahtarı

“Deepfake-Aware” Onay Süreçleri

• Bu talep olağan mı?

• Zaman baskısı var mı?

• Prosedür dışı mı?

• Alternatif doğrulama reddediliyor mu?

Bu sorular prosedürlere yazılmalı, kişisel inisiyatife bırakılmamalı.

Ayrıcalıklı Talepler için Zorunlu Çift Onay

Özellikle;

• Para transferleri için

• Hesap bilgisi değişiklikleri için

• Maaş / IBAN güncellemeleri için

• Hukuki belgeler için

“Tek kişi asla yeterli olmamalı.”

Deepfake Tespit Teknolojileri

AI Tabanlı Ses ve Görüntü Analizi

Modern sistemler:

• Mikro mimik tutarsızlıkları

• Ses frekans anomalileri

• Senkron kaymaları

• Yapay artefaktlar

tespit edebiliyor.

Ancak bu sistemler %100 değildir. Süreç + teknoloji birlikte çalışmalıdır.

Davranışsal Anomali Analizi

Deepfake kusursuz olabilir, ama davranış genelde değildir.

Örnekler:

• CEO’nun normalde istemediği talepler

• Alışılmadık saatler

• Farklı kelime seçimleri

• Aşırı aciliyet

Çalışanlar Ne Yapmalı? (Pratik Rehber)

Çalışanlara öğretilmesi gereken altın kurallar:

• “Acil” kelimesi = Dur ve doğrula

• Prosedür dışı her talep = İkinci kanal

• “Kimseye söyleme” = Kırmızı bayrak

• Görüntü veya ses = Kanıt değil

Bu eğitimler yılda bir değil, sürekli ve senaryolu olmalıdır.

C-Level ve Yönetim Kurulu Perspektifi

Deepfake saldırıları:

• Finansal kayıp

• Hukuki sorumluluk

• İtibar yıkımı

• İç güven krizleri

yaratır.

Yönetim Kurulu’nun sorması gereken soru: “Bugün CEO’muzun sesiyle gelen bir talebi nasıl ve kaç dakikada doğruluyoruz?”

Gelecek 12–24 Ay Bizi Ne Bekliyor?

• Deepfake + Agentic AI birleşimi

• Tam otomatik sosyal mühendislik ajanları

• Gerçek zamanlı çoklu hedef saldırıları

• Deepfake regülasyonları

• Kurumsal “Identity Assurance” kavramının yükselişi

Sonuç olarak Güven Artık Görmek Değil, Doğrulamaktır.

Deepfake çağında en tehlikeli varsayım “Bunu yapacak kadar ileri gitmezler.” idi. Gittiler. Ve daha da ileri gidecekler.

Kazanan kurumlar:

• Kimliği sesi ve görüntüden ayırabilenler

• Süreci kişiden bağımsızlaştıranlar

• İnsan faktörünü suçlamayan, güçlendirenler olacak

**Artık soru şu değil: “Bize deepfake saldırısı olur mu?” Soru şu:

“Olduğunda, biz bunu fark edebilir miyiz?”**