WhatsApp'tan Gelen O Mesaj Gerçekten Bankanızdan mı?
Cumartesi öğleden sonra. Telefonunuza bir SMS düşer: "Bankanızdan: Hesabınızdan 8.450 TL transfer girişimi tespit edildi. İşlem değilse acilen iptal edin: bit.ly/banka-iptal"
Kalbiniz duracak gibi olur. Hesabınızda 8.450 TL var mı bile bilmiyorsunuz, ama transfer kelimesini görünce kan donar. Bağlantıya tıklarsınız. Bankanızın logosu, mavi tonları, "güvenli giriş" yazısı. Bilgilerinizi girersiniz; doğrulama kodu istenir, onu da girersiniz. Sayfa "işleminiz iptal edildi, bilgileriniz güncellenecek" der.
Yarın bankaya gittiğinizde hesabınızdan gerçekten para gitmiştir. Sadece sahte mesajdan değil, sahte bankadan da, sahte iptalden de değil — verdiğiniz koddan.
Türkiye'de yaygınlaşan dolandırıcılık türleri
Türkiye'de SMS ve WhatsApp dolandırıcılığı son üç yılda patlama yaptı. Karakollardaki dolandırıcılık şikayetlerinin önemli bir bölümü artık dijital. En yaygın türler:
Sahte banka mesajları: "Hesabınız donduruldu", "kart bilgileriniz güncellenmeli", "şüpheli transfer" temaları. Çoğu kez kısaltılmış URL (bit.ly, tinyurl) kullanılır çünkü asıl link banka adresine benzemez.
Kargo dolandırıcılığı: "Kargonuz teslim edilemedi, gümrük ücreti ödeyin", "adres doğrulayın". Özellikle yurt dışından bekleme döneminde çok etkili — beklediğiniz bir kargo varsa daha kolay yutuyoruz.
Apar topar para isteyen tanıdık: "Anne ben! Telefonum bozuldu, başka numaradan yazıyorum. Acil para lazım, faturayı kaçırıyorum." WhatsApp'ta gelen mesaj profil fotoğrafsızdır; dolandırıcı kısa süre içinde yanıt almaya çalışır.
"Hediye kazandınız" SMS'leri: Migros, A101, Türk Telekom adına gelen "1000 TL hediye çeki" mesajları. Tıklayınca kişisel bilgi formu doldurulur; veriler satılır.
Kripto/yatırım vaatleri: "Bu uygulamayla 2 haftada 30.000 TL kazandım, sen de denesene." Genelde tanıdık birinden geliyor gibi geliyor — ama o kişinin hesabı zaten ele geçirilmiş oluyor.
Mesajın sahte olduğunu nasıl anlarsınız?
Aciliyet vurgusu en büyük işaret. Gerçek bir banka size SMS ile "şimdi tıklayın" demez; gerçek bankalar genellikle SMS'lerde link bile göndermez. Mesajın "hemen", "acilen", "şimdi", "30 dakika içinde" gibi ifadelerle baskı kurması — bunlar düşünmeyi engellemek içindir.
Gönderici numarası da ipucu. Gerçek bankaların SMS'leri kısa kod (örn. 4400) veya banka adıyla görünür. Yabancı numara veya artık tanıdığınız bir kişiymiş gibi görünen rastgele bir cep numarası — kuşkulanın.
Bağlantı adresi. "garantibbva-guvenli.com", "isbank-online.net", "ziraat-iptal.tr" gibi adresler asıl banka adresleri değildir. Gerçek banka adresleri çok kısa ve direkt olur (garantibbva.com.tr, ziraatbank.com.tr). Marka adı + ek kelime kombinasyonları sahte olduğunu ele verir.
Yazım hataları ve garip Türkçe. Çoğu dolandırıcı yazılımı çeviri ile çalıştığı için cümleler tuhaf olur: "Hesabiniz donduruldu acil giriş yapinizı". Türkçe karakter eksikliği veya hatalı kullanım açık işaret.
Bankalar size hiçbir zaman SMS, e-posta veya WhatsApp üzerinden şifre, doğrulama kodu, kart numarası istemez. Hiçbir zaman.
Doğrulama kodu = banka anahtarınız
SMS ile gelen 6 haneli doğrulama kodu (OTP) günümüzdeki en kritik güvenlik unsuru. Bu kodu telefonda, mesajda, hatta yüz yüze bile kimseye söylememek temel kural. Bankanın kendisi bile sizden bunu istemez — çünkü banka bu kodu zaten gönderen taraftır.
Dolandırıcılar genelde şu numarayı çevirir: "Bankadan arıyoruz, hesabınızda bir sorun var, doğrulama yapacağım, telefonunuza bir kod gelecek, bana okur musunuz?" O kodu okuduğunuz anda, başka bir cihazdan kendi adınıza yapılan işlemi onaylamış oluyorsunuz. Çoğu zaman para transferi.
Yeni bir versiyon daha tehlikeli: "banka müfettişi" araması. Birisi sizi arar, "hesabınız hacklendi, biz polisle iş birliği halindeyiz, bu işlemde bize yardım edeceksiniz" der. Kandırma uzun sürer, bazen 2-3 saat. Sonunda sizden parayı "güvenli hesap"a göndermenizi ister. Polis hiçbir zaman böyle çalışmaz.
Tıkladıysanız ne yapmalı?
Panik etmeyin ama hızlı hareket edin. İlk üç saat altın saatlerdir.
Bilgilerinizi girip enter'a bastıysanız:
İlk olarak bankanızın gerçek müşteri hizmetlerini arayın (kartınızın arkasındaki numaradan, mesajdaki numaradan değil). Hesap erişimini bloklatın. Internet bankacılığı şifrenizi değiştirin. Mümkünse banka şubesine gidin.
Sadece tıklamış ama bilgi girmemiş iseniz: telefonunuza zararlı yazılım yüklenmiş olma ihtimaline karşı tarayıcınızı kapatın, gerekirse cihazı yeniden başlatın. Banka uygulamanızı kontrol edin; şüpheli bir hareket var mı bakın.
Mutlaka şikayet edin. Hem KOM (Karadağ Operasyon Merkezi - Cybercrime) hem 155'e bildirim yapabilirsiniz. Çoğu insan utancından şikayet etmiyor; bu, dolandırıcıların işine yarıyor.
- Hiçbir SMS bağlantısına tıklamayın. Banka gerçekten size yazdıysa uygulamayı açın, mesajı orada da bulursunuz.
- Doğrulama kodlarını hiç kimseye vermeyin — banka çalışanı, polis, yakın arkadaş bile.
- Kısaltılmış URL'lere (bit.ly, tinyurl) asla tıklamayın; banka kısaltılmış link kullanmaz.
- Bilinmeyen bir numaradan "anne ben, telefonum bozuk" mesajı geldiyse başka bir kanaldan o kişiyi arayın — gerçek mi diye doğrulayın.
- Yatırım/kazanç vaadi içeren mesajları düşünmeden silin. Gerçek olanı yoktur.
- Telefonunuzda biyometrik kilit (parmak izi, yüz) aktif olsun; çalınma durumunda erişim zorlaşır.
- Banka uygulamanızda işlem bildirimlerini açın; her hareketin SMS/push bildirimi gelsin.
- Yaşlı yakınlarınıza bu konuyu düzenli olarak hatırlatın; en savunmasız grup onlar.
Dolandırıcılar artık çok organize. Çağrı merkezleri gibi çalışıyorlar; senaryoları var, eğitilmiş adamları var, hatta sahte sertifikaları var. Eskiden "kimse buna kanmaz" denilen tuzaklara bugün eğitimli, dikkatli insanlar bile düşüyor. Çünkü saldırı an meselesi; doğru anda, doğru duygusal durumda yakalandığınızda en zekiniz bile tıklayabiliyor.
Tek savunma teknoloji değil, bir alışkanlık: hiçbir mesajdaki linke tıklamadan önce iki saniye durup düşünmek. "Banka gerçekten böyle bir şey yapar mı?" Cevap %99 hayır olur. Bu iki saniye, sahte güvenli sayfaya girip kendi anahtarınızı dolandırıcıya teslim etmenizle, telefonu kapatıp güvende kalmanız arasındaki farktır.