Tehdit görünümü: deepfake ile kimlik taklidi neden büyüyor?
Görüntü ve ses yüz kopyalama, video-konferans ve telefon üzerinden “tanınan kişi”yi taklit ederek para transferi/hesap ele geçirmeye (BEC 2.0) evrildi. Hong Kong’da 2024’te bir şirket çalışanı, üst yöneticilerin video konferans deepfake’iyle 15 işlemde yaklaşık 25 milyon ABD doları gönderdi; olay sonradan Financial Times ve Guardian tarafından da doğrulandı. Bu tür vakalar, klasik BEC’e kıyasla “görsel-işitsel güven”i de istismar ediyor.
Vaka örnekleri: ses ve video klonlama ile dolandırıcılık
2019’da bir enerji şirketi yöneticisinden ses deepfake ile 243.000$ havale alındı; bu, kurumsal ölçekte bilinen ilk ses klonlama vakalarındandı. 2025’te benzer ses taklidi uyarıları siber güvenlik bültenlerinde tekrarlandı. Vakalar, insanın “tanıdık ses/çehre”ye aşırı güvenmesi nedeniyle ikinci bir doğrulama hattı kurulmadığında büyüyor.
Saldırı teknikleri: sunum saldırıları, enjeksiyon ve “replay”
Biyometrik sistemler sunum saldırılarına (presentation attacks) maruz kalabilir: ekran-üstü video oynatma (replay), yüz maskeleri, ses sentezi veya gerçek zamanlı yüz değişimi. NIST’in FRVT/PAD çerçevesi, ISO/IEC 30107 standardına dayanarak bu saldırıları ölçer; pasif/aktif liveness ve atak tespitinin ayrı ayrı test edilmesini önerir. Kurumsal KYC tarafında ise “SDK/akışa enjekte edilen sentetik medya”yı durdurmak için enjeksiyon tespiti (ör. kamera beslemesinin gerçek donanımdan gelip gelmediğinin anlaşılması) şarttır.
Savunma katmanları (pratik çerçeve)
1) Liveness (PAD) ve enjeksiyon tespiti
Aktif liveness (ışık/baş hareketi/komutlu ani değişimler) ile pasif liveness (tek karede sahte iz tespiti) birlikte kullanılmalı; video-KYC akışına cihaz bütünlüğü ve kamera kaynak doğrulaması (driver, emülatör, sanal kamera tespiti) eklenmelidir. NIST FRVT/PAD sonuçları ve endüstri testleri, tek başına liveness yerine çoklu sinyal yaklaşımının daha dayanıklı olduğunu gösteriyor.
2) İçerik kökeni ve bütünlüğü: C2PA / Content Credentials
C2PA (Adobe-Microsoft-BBC koalisyonu), görseller ve videolara içerik kimliği (kaynak, üretim aracı, düzenleme zinciri) ekleyerek “nereden geldi, üzerinde ne değişti?” sorusuna makine-okunur yanıt üretir. Yayıncılar bu şemayı benimsediğinde, kurumsal tarafta şüpheli videolar kaynak metadataları üzerinden elenir.
3) Kimliği paroladan ayırmak: FIDO2 / WebAuthn
Videoda “CFO gibi görünen” biri transfer istese bile, işletme içi kritik işlemler parola+SMS yerine FIDO2/WebAuthn ile onaylatılmalı. Bu standart, kimlik bağlı kriptografik anahtarlar ve origin bağlamı sayesinde phishing-dirençli onay verir; “görüntüde ikna oldum” hatasını teknik olarak bloke eder.
4) KYC-AML hattında derinleşme
Dünya Ekonomik Forumu’nun 2026 yayını ve sektör raporları, sağlayıcıların gelişmiş liveness + enjeksiyon tespiti + sentetik medya adli bilimi + gerçek-zamanlı anomali izleme kombinasyonuna yatırım yapmasını öneriyor; “deepfake denemesi 2024’te her 5 dakikada bir” seviyesindeydi.
Operasyon kılavuzu: video toplantı, çağrı ve KYC akışları
Video-konferans ve ödeme talimatı: İmzalı talimat zorunluluğu, kurumsal güvenli onay (WebAuthn) ve “ses/görüntü doğrulandı” yerine “işlem kriptografik olarak onaylandı” prensibi. Yüksek montanlı transferlerde iki farklı kanal (toplantı + mobil onay) ve bekleme süresi uygulanmalı. Hong Kong vakası bu temel kontrollerle önlenebilirdi.
Çağrı merkezi ve üst yönetici araması: Tanınan ses için bile gizli kelime, çağrı geri araması ve kurum içi rehberden bağımsız doğrulama rutini. Ses klonlamalarında arka plan gürültüsü, nefes/patlayıcı sessiz harfler ve gecikme olağandışı olabilir—ancak insan gözü-kulağı tek başına güvence değildir.
KYC/video-KYC: Kimlik fotoğrafı yerine canlı çekim, MRZ/QR doğrulama, arka plan parazit kontrolü, cihaz güvenliği ve çıktı hash’leme. Sık tekrarlanan hareket testleri (challenge-response) ve occlusion (yüzün kısmen kapanması) altında liveness yeniden denenmeli. Endüstri vakaları, yapay kimlik belgeleri oranındaki artışı bildiriyor.
Hukuk ve kolluk perspektifi
Europol’un “Facing Reality?” raporu, deepfake’in CEO dolandırıcılığı, delil manipülasyonu ve algı operasyonlarındaki rolünü vurgular; kolluk için kayıt zinciri, kaynak doğrulama ve hızlı muhafaza tedbirleri hayati. Şirket içinde olay günlüğü, toplantı kayıtlarının hash’lenmesi ve sistem log’larının korunması, soruşturma-yargılama aşamasında ispatı güçlendirir.
SSS
En çok görülen deepfake dolandırıcılık türü nedir?
Video-konferansta üst yöneticiyi/tedarikçiyi taklit ederek acil para transferi istendiği BEC 2.0 vakaları öne çıkıyor. Hong Kong’taki 25 M$ örneği, çok şahıslı video deepfake kullanımını gösterdi.
“Ses güzel ama içim rahat etmedi” hissi yeterli mi?
Hayır. 2019’daki ses deepfake vakası dâhil örnekler, yalnız sezgiye güvenmenin riskli olduğunu gösteriyor; ikinci kanal (geri arama, FIDO2 onayı) şart.
Liveness (PAD) tek başına yeterli mi?
Değil. NIST FRVT/PAD yaklaşımı, enjeksiyon tespiti ve çoklu sinyal (kamera kaynağı, cihaz bütünlüğü, ağ anomalisi) ile birlikte kullanılmasını önerir.
Görüntülerin güvenilirliğini nasıl test ederim?
C2PA Content Credentials kabulü yaygınlaştıkça, içeriğin kaynağı ve düzenleme geçmişi doğrulanabilir olacak; şüpheli içerikte eksik/uyumsuz izler alarmdır.
Kurumsal onay akışında en kritik değişiklik?
Parola/SMS yerine FIDO2/WebAuthn temelli, phishing-dirençli işlem onayı. Video/telefon “ikna”sı işlem anahtarını üretemez.
