Tanıdığınız Her Tanıdığınız Değildir: WhatsApp Profil Klonlama Dolandırıcılığı
Bir gün WhatsApp'ta bir mesaj alıyorsunuz. Gönderen tanıdığınız bir patron, ya da uzun zamandır beraber çalıştığınız bir yönetici. Profil resmi onun. Adı onun. Tonu da öyle aciliyetli ki, hemen cevap vermek geliyor içinizden.
Bir şey hariç: mesaj Türkçe değil, Rusça geldi. Veya çevirmen kokan, kelime tercihleri tuhaf bir Türkçe. Oysa o patron her zaman düzgün Türkçe yazardı. Ya da bambaşka bir dil kullanırdı.
İşte bu küçük tuhaflık, sizi büyük bir dolandırıcılıktan kurtarabilir.
Bu yazıda WhatsApp profil klonlama dolandırıcılığını, son aylarda iş ortamlarında patlama yapan bu tehdidi, kırmızı bayrakları ve özellikle Bişkek gibi çok dilli ortamlarda dil tuhaflığının nasıl bir kurtarıcı olduğunu sade bir dille anlatacağım.
Profil klonlama dolandırıcılığı nedir?
Saldırgan, tanıdığınız birinin (genellikle bir patron, yönetici veya iş arkadaşı) WhatsApp profil resmini ve adını kopyalar. Kendi telefon numarasını alır, profil bilgilerini bu kopyalanmış hâle getirir — ve sizi tanıdığınız o kişiymiş gibi arar.
Kurban telefon numarasını ezberlemediği için (ki çoğumuz ezberlemiyoruz), profil resmini ve adını görür. "Tabii ki o" der. Konuşmaya başlar. Saldırgan, ya para ister, ya hassas bilgi, ya da bir ödemenin yönlendirilmesini.
Bu dolandırıcılık CEO Fraud, executive impersonation veya Türkçesiyle "patron taklit dolandırıcılığı" olarak biliniyor. 2026'da Dünya Ekonomik Forumu (WEF) raporuna göre CEO'ların %73'ü, kendisinin veya bir tanıdığının siber dolandırıcılıktan etkilendiğini bildirdi. Fidye yazılımları artık kurumsal endişe listesinin başında değil — yapay zekâ destekli kimlik taklidi onun yerini aldı.
Saldırgan bu işi nasıl yapıyor?
Bu saldırının basitliği, aslında en korkutucu yanı. Hiçbir teknik beceriye gerek yok. Sadece sosyal mühendislik.
1. Hedef seçimi. Saldırgan, kamuya açık kaynaklardan bir patron veya yönetici belirler. LinkedIn, şirket web sitesi, hatta Instagram. İletişim bilgilerini topluyor — kimler onun emrinde çalışıyor, kimler onunla finansal işlem yapıyor.
2. Profil oluşturma. Patronun internette bulunan bir fotoğrafını indirir. Yeni bir telefon numarası alır (genelde bir prepaid hat veya yurt dışı numarası). Bu numaranın WhatsApp profilini hedefin fotoğrafı ve adıyla kurar.
3. İlk mesaj. Çalışanlara, iş arkadaşlarına veya müşterilere mesaj gönderir. "Merhaba, bu benim yeni numaram, eski telefonum çalındı/bozuldu" diyebilir. Veya direkt iş konusuna girer.
4. Aciliyet baskısı. "Toplantıdayım, arayamam." "Acil ödeme yapmam gerek." "Müşteri için hediye kartı al, sonra anlatacağım." Mesajın amacı sizi düşünmeye değil, hızla hareket etmeye yönlendirmek.
5. Para isteği veya bilgi. Banka havalesi, hediye kartı kodları, kredi kartı bilgisi, şirket sırları, şifre. Her şey olabilir.
Kırmızı bayraklar — özellikle bu birincisi hayat kurtarır
İşte fark edebileceğiniz işaretler.
1. Dil tuhaflığı. Bu, özellikle Türkiye-Türk dünyası bağlamında en güçlü ipucudur. Türk bir patron size Rusça mesaj atıyorsa, veya kelime seçimleri çevirmen kokuyorsa, bir kelimenin yanlış kullanıldığını fark ediyorsanız — bu büyük olasılıkla başka bir ülkedeki bir saldırgandır ve makine çevirisi kullanıyor olabilir. Bişkek gibi çift dilli ortamlarda bu özellikle dikkat çekicidir; çünkü saldırgan hedefin diline yabancıdır, sadece profil bilgilerini taklit edebiliyor.
2. Yeni veya tanımadığınız bir numara. "Yeni telefonum, eski numaram bozuldu" cümlesi başlı başına bir uyarıdır. Gerçek bir patron size sadece WhatsApp üzerinden bunu bildirmek zorunda kalmaz; muhtemelen e-posta, ofis araması veya doğrudan görüşme ile bildirir.
3. Aciliyet ve gizlilik. "Bu konuyu kimseyle paylaşma, gizli bir iş." "Hemen yapman gerekiyor, gecikme." Gerçek profesyonel iletişim böyle değildir. Hızlı karar baskısı, sosyal mühendisliğin temel silahıdır.
4. Olağandışı istekler. Bir patron iş arkadaşından hediye kartı alması, kripto para göndermesi, kişisel hesabından havale yapması gibi istekler yapmaz. Bir CEO veya yönetici, kurumsal kanalları olduğu için bu kadar gayri resmi yöntemlere başvurmaz.
5. Sesli arama yapamama. "Toplantıdayım." "Sesim kısıldı." "Konferanstayım." Saldırgan sesini taklit edemediği için sürekli sesli aramadan kaçınır. Eğer ısrar ederseniz, bahane üretir.
6. Profil resmi var ama doğrulama yok. Mesajlaşma uygulamasında "iki çek" işaretinin olmaması, profil bilgisinin az olması, durum yazısının boş olması — hepsi yeni açılmış sahte bir hesabın işaretleri olabilir.
- Numara tanıdığınız patron/yöneticinin gerçek numarası mı? Rehbere bakın
- Kullandığı dil normal mi? Tuhaf çeviri kokusu var mı?
- Konu olağan dışı mı (para, hediye kartı, gizli iş)?
- Aciliyet baskısı var mı?
- Sesli görüşmeden kaçınıyor mu?
Bu beş soruya iki veya daha çok "evet" cevabı — kırmızı alarm.
Bişkek ve çok dilli ortamlar — neden ekstra avantajınız var?
Bişkek, İstanbul, Almatı, Kuzey Kıbrıs — bunlar gibi çok dilli iş ortamlarında çalışıyorsanız, aslında bu saldırıya karşı doğal bir koruma kalkanınız var. Saldırganlar genellikle uluslararası operasyon merkezlerinden çalışır ve hedefin günlük iletişim dilini bilmezler.
Türk bir iş insanı her zaman Türkçe yazar. Çift dilli ortamlarda bazen Rusça veya Kırgızca da yazabilir — ama aynı kişiyle olan önceki iletişim paterninize benzer şekilde. Eğer patron sizinle hep Türkçe yazıyordu ve birden Rusça veya bozuk bir dilde geldiyse, bu son derece güçlü bir uyarıdır.
Aynı şekilde, kullandığı deyimler, mizah anlayışı, hitap biçimi de bir paterndir. Saldırgan profil resmini kopyalayabilir, adını yazabilir — ama o kişinin iletişim DNA'sını kopyalayamaz.
Kendinizi nasıl korursunuz?
Pratik adımlar, basit ama hayat kurtarıcı.
1. İkinci kanal doğrulaması yapın. Para, hassas bilgi veya olağandışı bir talep söz konusu olduğunda, her zaman ikinci bir kanaldan doğrulayın. WhatsApp'ta gelen mesajı sesli arama ile, e-posta ile veya yüz yüze teyit edin. Saldırgan tek kanalı (WhatsApp) kontrol ediyor. İkinci kanala geçtiğiniz an, bağ kopar.
2. Aile/iş güvenlik kelimesi belirleyin. Önemli işlerde çalıştığınız insanlarla — patron, ortak, eş, çocuklar — sadece sizin bildiğiniz bir kod kelime belirleyin. Olağandışı bir talep geldiğinde "Bu konuşmada güvenlik kelimemiz neydi?" diye sorun. Sahte kişi bilmez. Gerçek kişi anında söyler.
3. WhatsApp'ta iki adımlı doğrulamayı açın. Ayarlar → Hesap → İki Adımlı Doğrulama. Bu, sizin hesabınızın çalınmasını ve sonra başkalarının dolandırılmasına aracı yapılmasını engeller.
4. Numara değişikliği iddialarını sorgulayın. "Yeni numaram" diye gelen mesajları her zaman eski numaradan teyit edin veya kişiyi başka bir kanaldan arayın.
5. Şüpheli numaraları engelleyin ve şikâyet edin. WhatsApp'ın "Şikâyet Et ve Engelle" özelliğini kullanın. Bu hem sizi korur hem de WhatsApp'ın bu numarayı incelemesini sağlar.
6. Profil bilgilerinizi sınırlandırın. WhatsApp profil resmi, durum ve hakkında bilginizi sadece kişiler ile sınırlayın. Tanımadığınız insanlar profilinizi göremezse, sizinkini de kopyalayamaz. Ayarlar → Gizlilik → Profil fotoğrafı, Hakkımda, Durum → "Kişilerim" seçin.
- "Önce kısa bir doğrulama yapayım, sizi rehberdeki numaradan arıyorum"
- "Bu konuda güvenlik kelimemizi söyler misiniz?"
- "E-postam üzerinden yazılı onay rica edebilir miyim?"
Eğer karşı taraf bu yöntemlere itiraz ediyor, aciliyetle ısrar ediyorsa — kesinlikle sahtedir.
Çevrenizi de koruyun
Kendinizi korumak yeterli değil. Çoğu zaman saldırgan size değil, sizin tanıdığınız birine geliyor. Birkaç önemli adım:
- İş arkadaşlarınızı uyarın. Eğer bir patronun adıyla sahte mesaj geldiğini fark ettiyseniz, hemen iş yerinde duyurun. Diğer çalışanlar da hedef olabilir.
- Patronu/yöneticiyi bilgilendirin. Onun adına dolandırıcılık yapıldığını ona söyleyin. Genellikle bunun farkında bile değildir.
- Aile ve yakınlarınıza anlatın. Özellikle yaşlı anne-baba, çocuklar, az teknolojik aile üyeleri için bu uyarı kritiktir.
- Şirket içi bilinçlendirme. Eğer bir KOBİ veya kurum çalışanıysanız, bu konuyu insan kaynaklarıyla veya yönetimle paylaşın. Şirket genelinde bir farkındalık eğitimi düzenlenebilir.
Son söz: Tanıdığınız her tanıdığınız değildir
Dijital iletişimin getirdiği rahatlık bir bedelle geliyor: artık bir profil resmi ve isim, kimlik kanıtı değil. Sadece sosyal mühendislerin kullandığı bir maske.
Ama iyi haber şu: bu dolandırıcılığın başarısı, kurbanın acele etmesine, sorgulamamasına, çevreyle doğrulamamasına dayanır. Bir dakikalık duraklama, sahte mesajın başarısını sıfıra indirir.
Telefonunuzdan size yazan o "patron", o "iş arkadaşı", o "yakın tanıdık" — gerçekten o mu? Bir kez daha bakın. Dili normal mi? İsteği olağan mı? Aciliyet baskısı var mı?
Eğer bir tek şüphe kıvılcımı varsa — durun. Doğrulayın. Sonra hareket edin.
Dijital güven, bir tıkla değil, bir kontrol ile kazanılır.