Telefonda gelen bir arama - bilinmeyen numaralar ve ses dolandırıcılığı

Telefon çaldı. Ekranda "Bilinmeyen Numara" yazıyordu. Açtığınızda, hat çıtırtılı geliyordu — sanki uzaktan ya da kötü bir bağlantıdan. Ama sesini hemen tanıdınız.

"Anne… ben Ali. Kaza yaptım. Çok korkuyorum. Polisteyim. Sigortam yokmuş, eğer şimdi 50.000 lira yatırmazsak beni tutuklayacaklar. Lütfen kimseye söyleme, sadece sen yardım edebilirsin."

Sesi titriyordu. Nefes alışları kesik kesikti. Yıllardır biriktirdiğiniz oğlunuzun, eşinizin, kardeşinizin sesini her gün duyuyorsunuz — gözleriniz kapalı bile olsa tanırsınız. Şimdi aynı ses, ama panik içinde, sizi arıyor.

Banka uygulamanızı açtınız. Parmaklarınız titriyordu. 50.000 TL. Onayla.

Yarım saat sonra Ali eve geldi. Üniversiteden direkt gelmişti, hiçbir kaza olmamıştı. Telefonda konuşan o değildi.

Konuşan, onun klonlanmış sesiydi.

Yapay zeka ses dalga formu - ses sentezi
3 saniyelik bir ses örneği, modern yapay zekânın bir sesi tamamen klonlaması için yeterli

3 saniye yeterli

2024'e kadar bir kişinin sesini taklit etmek için saatlerce ses kaydı gerekiyordu, profesyonel stüdyo gerekiyordu, sonuç da çoğu zaman robot gibi çıkıyordu. Bugün durum çok farklı.

ElevenLabs, Microsoft VALL-E, OpenAI Voice Engine gibi araçlar — bazıları herkese açık, bazıları kapalı geliştiriliyor — 3 saniyelik temiz bir ses kaydından o kişinin sesini neredeyse mükemmel kopyalayabiliyor. Aksanı, vurgusu, nefes alışı, duygusal ton bile.

Peki bu 3 saniye nereden bulunuyor? Genellikle aşağıdaki kaynaklardan:

  • Sosyal medya videoları. TikTok'taki bir dans videosu, Instagram'daki bir hikâye, Facebook'taki bir doğum günü kutlaması — hepsi yeterli ham veri.
  • Sesli mesajlar. WhatsApp'ta gönderdiğiniz sesli mesajlar, eğer bir grup sızıntısı olursa veya cihaz hacklenirse, kötü niyetli ellere geçebilir.
  • Açık etkinlikler. YouTube'a yüklenmiş konferans konuşmaları, podcast röportajları, üniversite dersleri.
  • Telefon dolandırıcılıkları. "Alo, kiminle görüşüyorum?" diye başlayan, sonra hemen kapanan aramalar — sizin sesinizi kaydetmek için olabilir.

Yani hayatınızın herhangi bir yerinde sesinizden 3 saniyelik temiz bir kayıt varsa — büyük ihtimalle vardır — sizin sesiniz klonlanabilir.

Saldırının tipik senaryosu

Deepfake telefon dolandırıcılığı genellikle şu adımları takip eder:

1. Hedef seçimi. Saldırgan sosyal medyada bir aileyi inceler. Ebeveynlerin orta yaş üstü olduğu, çocukların yurt dışında veya başka şehirde okuduğu ailelerini tercih eder. Çünkü bu profilde "telefon en hızlı iletişim" hâlâ alışılmış.

2. Ses örneği toplama. Saldırgan, ses klonlanacak kişinin (genellikle genç birey) sosyal medyasına gider. Birkaç saniyelik ses örneği yeterli.

3. Senaryo hazırlığı. Acil bir durum kurgulanır: kaza, tutuklanma, hastane, hırsızlık. Para istemenin meşru görünmesi için yeterince stresli bir durum.

4. Arama. Saldırgan numarasını maskeleyerek (caller ID spoofing) veya bilinmeyen bir numaradan ailenin ebeveynini arar. Klonlanmış ses ile konuşur — genellikle ön yazılmış bir senaryoyu yapay zekâ ile gerçek zamanlı sentezleyerek.

5. Tetikleyici cümleler. Hep aynı kalıplar: "Telefonum kırıldı, başka numaradan arıyorum. Polise söyleme, hemen para gönder. Şu numaraya yatır. Acele et." Hedef paniğe sokulur, mantıklı düşünmesi engellenir.

6. Ödeme. Anlık para transferi, kripto cüzdan, hediye kartı, bazen elden teslim. Para gönderildiği anda iz silinir.

🛡 Aileniz İçin Bir Güvenlik Sözcüğü Oluşturun
  • Şu anda ailenizden biriyle oturup tek bir güvenlik kelimesi belirleyin. Sıradan değil, kimsenin tahmin edemeyeceği bir kelime: doğduğunuz köyün lakabı, çocukken kullandığınız bir oyuncağın adı, üçünüzün bildiği bir şaka.
  • Bu kelimeyi asla yazılı bir yere kaydetmeyin. Sadece kafanızda olsun.
  • Aileniz şüpheli bir arama aldığında, karşıdaki kişiye "güvenlik kelimemiz neydi?" diye sorabilir. Yapay zekâ bilemez.

Gerçek dünyadan iki vaka

Hong Kong, Şubat 2024. Bir çokuluslu finans şirketinin Hong Kong'daki muhasebe yöneticisi, video konferansta CFO'su ve diğer üst düzey yöneticilerle toplantıya katıldı. Toplantıda görüştüğü herkes tanıdıktı — yüzleri, sesleri, hareketleri olağan. CFO acil bir transfer istedi. Yönetici onayladı. 25 milyon dolar aktarıldı.

Sonradan ortaya çıktı: toplantıdaki herkes deepfake'di. Yönetici, gerçek meslektaşlarıyla değil, yapay zekâ ile oluşturulmuş kopyalarıyla görüşmüştü. Video, ses, mimikler — hepsi sentezlenmişti.

Arizona, ABD, 2023. Bir anne, kızı Brianna'nın çığlık atan, ağlayan sesiyle aranmıştı. Karşıdaki adam, kızını kaçırdığını söylüyor, fidye istiyordu. Anne paniklemiş, polisi aramıştı. Brianna ise lisede sınava giriyordu, hiçbir şey olmamıştı. Ses kopyaydı.

Bunlar 2023-2024 vakaları. 2026'da teknoloji çok daha hassas, çok daha ucuz, çok daha erişilebilir.

Anne ve oğul telefonda görüşüyor - aile iletişimi
her panikli aramada bir saniye duraklayın; bu saniye, ailenizi koruyabilir

Kendinizi nasıl korursunuz?

Teknik çözüm yok. Antivirüs bunu engellemez, telefon operatörü filtreleyemez. Tek savunma sosyal disiplin:

Şüphe = duraklama refleksi. "Acil! Şimdi! Kimseye söyleme!" sözleri duyduğunuzda — kim aramış olursa olsun — durun. Gerçek aile fertleri bu cümle kalıplarını kullanmaz. Dolandırıcılar kullanır.

Geri arama. Hangi numaradan arandıysanız o numaraya cevap vermek yerine telefonu kapatın, kişinin bildiğiniz numarasını siz arayın. Eğer cevap verirse, gerçek konuşma yapın. Vermezse — endişelenin, ama panik yapmayın; eve, arkadaşa, başka aile ferdine sorun.

Güvenlik kelimesi. Yukarıda anlattığım gibi: aile içinde önceden belirlenmiş bir doğrulama kelimesi. Çok eski bir yöntem ama günümüzde altın değerinde.

Spesifik soru. "Geçen sene yazın hangi tatil yerine gittik?" "Köpeğimizin adı neydi?" Genel sorular değil, sadece o kişinin bilebileceği özel sorular. Yapay zekâ sosyal medyada görünen genel bilgileri biliyor ama özel anıları bilmiyor.

Para göndermeden önce mutlaka görüntülü ara. Sesli arama yetersiz — görüntülü konferansta canlı bir hareket isteyin: "burnuna dokun", "gülümse", "ayağa kalk". Gerçek zamanlı video deepfake hâlâ zor; canlı, beklenmedik bir hareket yapamazlar.

Sosyal medyada ses paylaşımı. Çocuklarınıza, gençlerinize öğretin: TikTok'ta, Instagram'da uzun konuşmalı videolar paylaşmak risk. Tamamen kesmek gerekmez ama bilinçli olmak gerekir.

🚨 Şüpheli Bir Arama Aldıysanız Hemen Yapacaklarınız
  • Hemen kapatın. Konuşmayı uzatmayın, mantık kurmaya çalışmayın. Dolandırıcı dilerse 30 saniye içinde sizi kandırabilir.
  • Bilinen numaradan geri arayın. Aradığı iddia ettiği kişinin telefonunu rehberinizden bulun, siz arayın.
  • Güvenlik kelimesini sorun. Önceden belirlediyseniz, anında çözer.
  • Polis (155) ve banka. Eğer para göndermişseniz hemen bankanızı arayın — bazı durumlarda transfer iptal edilebilir. Sonra 155'i arayın.
  • Tanıdıklarınızı uyarın. Saldırgan birinden geçmişse, ailenin diğer üyelerini de hedef alabilir.

Toplumsal bir yara

Deepfake aramaları sadece bireysel bir tehdit değil. Yaşlı anne-babalarımızı, teknoloji okuryazarlığı düşük tanıdıklarımızı doğrudan vuruyor. Birikim kaybediliyor, ev satılıyor, intiharlar bile yaşanıyor.

Sorumluluk bireyde tek başına değil. Devletin caller ID doğrulamasını zorunlu kılması, telekom operatörlerinin şüpheli aramaları filtrelemesi, sosyal medya platformlarının ses sentezi araçlarının kötüye kullanımını izlemesi gerekli. Ama bunlar yıllarca alabilir.

O zamana kadar bizler — anne-babamızı, kardeşlerimizi, çocuklarımızı koruyacak biziz. Bu yazıyı onlara gösterin. Beraber bir güvenlik kelimesi belirleyin. Hayat kurtarır.

> Mahmut Vural — siber güvenlik & teknoloji üzerine yazıyor.
> görüşler yazara aittir.