ADORASEC Insights

SMS Dolandırıcılığını Önlemede Eksik Katman

Eren Bahadir Pehlivan, ADORASEC Kurucusu

Haziran 2026

Dolandırıcılığı önleme, finansal hizmetler dünyasında en çok yatırım yapılan alanlardan biri haline geldi. Bankalar, ödeme kuruluşları, telekom şirketleri ve kamu kurumları; tespit algoritmaları, işlem izleme sistemleri, müşteri uyarıları, iki faktörlü doğrulama, dolandırıcılık filtreleri ve farkındalık kampanyaları için sürekli yatırım yapıyor.

Bu araçlar önemlidir.

Her gün zararı önlerler.

Ama buna rağmen dolandırıcılık hâlâ büyük, uyum sağlayabilen ve çok maliyetli bir sorun olmaya devam ediyor.

Amerika Birleşik Devletleri’nde tüketicilerin 2024 yılında bildirdiği dolandırıcılık kayıpları 12,5 milyar doların üzerine çıktı. FBI’ın Internet Crime Complaint Center raporuna göre aynı yıl internet suçlarından kaynaklanan kayıplar 16 milyar doları aştı. Avrupa Ekonomik Alanı’nda ise ödeme dolandırıcılığı tutarı 2023’te 3,5 milyar euro iken 2024’te 4,2 milyar euroya yükseldi.

Küresel tablo her ülkede aynı değil. Avustralya gibi bazı pazarlarda koordineli ulusal önlemler sonucunda dolandırıcılık kayıplarında anlamlı düşüşler görüldü. Bu önemli, çünkü doğru adımlarla ilerleme kaydedilebileceğini gösteriyor.

Ama daha geniş resim net: dolandırıcılık uyum sağlıyor. Suçlular kanal değiştiriyor, güvenilen kurumları taklit ediyor ve kurumsal iletişim ile kullanıcı güveni arasındaki boşluğu istismar ediyor.

Bu, kurumların hiçbir şey yapmadığı bir hikâye değil. Bu, kurumların yapısal bir problemi çoğu zaman aynı kırılgan iletişim kanallarının üzerine kurulu araçlarla çözmeye çalıştığı bir hikâye.

Kimsenin yeterince sorgulamadığı kanal

Telefonunuza bankanızdan, kargo şirketinizden, bir kamu kurumundan veya sağlık hizmeti sağlayıcısından gelmiş gibi görünen bir mesaj ulaştığında zor bir görevle karşı karşıya kalırsınız.

Gönderenin gerçekten o kurum olup olmadığına karar vermeniz gerekir.

Bu yük sadece sizin omuzlarınızda olmamalı.

Sorun kullanıcıların bilgisiz, dikkatsiz veya yeterince bilinçli olmaması değildir. Sorun, SMS’in kurumsal kimliği kanıtlamak için tasarlanmamış olmasıdır. Kullanıcının telefon ekranında görünen gönderici adı, tek başına güvenilir bir kimlik kanıtı değildir.

Bir mesaj bankadan, kamu kurumundan veya kargo şirketinden gelmiş gibi görünebilir. Gerçek olabilir. Sahte olabilir. Kullanıcıdan çoğu zaman baskı altında karar vermesi beklenir. Dolandırıcı ise özellikle aciliyet, korku ve kafa karışıklığı yaratır.

Dolandırıcıların istismar ettiği zayıflık tam olarak budur.

Bugünkü birçok dolandırıcılık önleme aracı bu ortamın içinde veya çevresinde çalışır. Dolandırıcılık filtreleri şüpheli mesajları tespit etmeye çalışır. Uyarılar kullanıcılara durup düşünmelerini söyler. Tespit sistemleri davranış örüntülerini izler. Farkındalık kampanyaları tüketicilere nelere dikkat etmeleri gerektiğini anlatır.

Bunların hepsi faydalıdır.

Ama daha derindeki soruyu tam olarak cevaplamaz:

Ya iletişim kanalının kendisi güven için tasarlanmamışsa?

Filtreler gerekli, ama yeterli değil

Dolandırıcılık filtreleri ve tespit sistemleri değerlidir. Maruziyeti azaltır ve zararı önler. Ciddi bir dolandırıcılık önleme stratejisinin bu araçları içermesi gerekir.

Ama filtreleme hâlâ reaktif bir modeldir.

Bir filtre, bir şeyin şüpheli görünüp görünmediğini değerlendirmeye çalışır. Bilinen kalıplara, risk sinyallerine, dile, gönderici davranışına, bağlantılara, cihaz bilgisine veya kullanıcı bildirimlerine dayanır. Dolandırıcılar da buna uyum sağlar. Mesaj dilini değiştirir, altyapıyı döndürür, yeni kurumları taklit eder ve yeni sosyal mühendislik yöntemleri kullanır.

Çok iyi filtreler bile doğrulanamayan bir göndericiyi doğrulanmış bir göndericiye dönüştüremez.

Bu önemlidir, çünkü kurum taklidi dolandırıcılığı yalnızca mesaj içeriği problemi değildir. Aynı zamanda gönderici güveni problemidir.

Gerçek bir kurum ile bir dolandırıcı aynı mesajlaşma ortamında, benzer aciliyet, benzer marka dili ve benzer ifadelerle görünebiliyorsa, kullanıcı kanalın güvenilir biçimde desteklemediği bir güven kararını vermek zorunda kalır.

Eksik katman burada ortaya çıkar.

Sektörün daha doğrudan sorması gereken soru

Dolandırıcılığı önleme tartışmalarının büyük kısmı şu soruyu sorar:

SMS’i nasıl daha güvenli hale getiririz?

Bu önemli bir sorudur, ama yeterli olmayabilir.

İkinci bir soru daha gerekir:

Hangi kurumsal mesajlar doğrulanamayan kanallara dayanmayı bırakmalıdır?

Her mesaj için yeni bir altyapı gerekmez. SMS düşük riskli ve genel iletişim için hâlâ faydalıdır. Bir pazarlama duyurusu, rutin bir hatırlatma veya düşük sonuçlu bir hizmet mesajı aynı güvence seviyesine ihtiyaç duymayabilir.

Ama seçilmiş yüksek güven gerektiren mesajlar farklıdır.

Bir dolandırıcılık uyarısı, hesap kısıtlaması bildirimi, teslimat yönlendirme talebi, adres değişikliği onayı, ödeme riski uyarısı, kamu hizmeti talimatı veya sağlık randevusu işlemi taklit edildiğinde gerçek zarar doğurabilir.

Bu mesajların sadece ulaştırılmaya değil, daha fazlasına ihtiyacı vardır.

Gönderici sorumluluğuna, kullanıcı açıklığına ve kanıta ihtiyaçları vardır.

Mesele SMS’in tamamen ortadan kalkması değildir.

Mesele, kurumların doğrulanamayan bir gönderici adına, bilinmeyen bir bağlantıya veya stres altındaki bir kullanıcının yargısına dayanması gerekmeyen mesajlar için doğrulanmış bir alternatife sahip olup olmamasıdır.

Doğrulanmış bir kurumsal kanal ne sağlamalı?

Kurumsal güven için tasarlanmış bir iletişim kanalı, sıradan mesajlaşmadan farklı özelliklere sahip olmalıdır.

Doğrulanmış gönderici erişimi gerektirmelidir. Kurumlar, kanal üzerinden mesaj göndermeden önce kayıtlı ve onaylı olmalıdır.

Teslimatı kayıtlı kullanıcılarla sınırlamalıdır. Kanal, herhangi bir göndericinin kendisini kurum gibi gösterebildiği açık bir geçit olmamalıdır.

Denetim kaydı oluşturmalıdır. Kurumlar neyin gönderildiğini, ne zaman teslim edildiğini, okunup okunmadığını ve kullanıcının nasıl yanıt verdiğini gösterebilmelidir.

Kullanıcı açıklığını desteklemelidir. Kullanıcı için basit bir davranış kuralı oluşmalıdır: önemli kurumsal mesajlar doğrulanamayan SMS üzerinden hareket edilerek değil, doğrulanmış bir yerde kontrol edilerek değerlendirilmelidir.

Sınırlı operasyonel veri kullanmalıdır. Güvenilir bir iletişim katmanı banka kullanıcı adı, kart numarası, PIN, şifre veya işlem verisi istememelidir. Yalnızca yönlendirme, teslimat, yanıt takibi ve raporlama için gereken veriyi işlemelidir.

Bunlar pazarlama iddiaları değildir.

Bunlar tasarım kararlarıdır.

Bu şekilde kurulan bir kanal tüm dolandırıcılığı ortadan kaldırmaz. Sorumlu hiçbir sistem böyle bir iddiada bulunmamalıdır. Ama doğrulanmış kanal içinde, suçluların katılımcı kurumları taklit etme fırsatını önemli ölçüde azaltabilir.

Bu farklı türde bir önlemedir.

Bu neden şimdi önemli?

Birleşik Krallık’ta politika ortamı bu yöne doğru ilerliyor.

Fraud Strategy 2026–2029, dolandırıcılığı kaynağında bozma, hesap verebilirliği güçlendirme ve suçluların istismar ettiği sistemsel zafiyetleri azaltma hedeflerine yeniden vurgu yapıyor. Ayrıca iletişim sektöründe anonimlik ve hesap verebilirlik konularının incelenmesi gerektiğine işaret ediyor.

Bu doğru tartışmadır.

Dolandırıcılar anonim veya zayıf hesap verebilir iletişim yollarından faydalanıyorsa, cevaplardan biri bu yolların içinde daha iyi tespit mekanizmaları kurmaktır.

Bir başka cevap ise güvenin en önemli olduğu iletişim kategorileri için doğrulanmış yollar oluşturmaktır.

Bu, yetkilendirilmiş ödeme dolandırıcılığına yönelik PSR reimbursement değişikliklerinden sonra özellikle önemlidir. Önleme, kanıt ve müşteri iletişim kayıtları artık yalnızca operasyonel araçlar değil; daha geniş hesap verebilirlik zemininin bir parçasıdır.

Kurumların yalnızca bir mesaj gönderdiklerini bilmeleri yetmez. Müşterinin o mesajı alıp almadığını, okuyup okumadığını ve yanıtlayıp yanıtlamadığını da bilmeleri gerekir.

SMS bu kanıtı sağlamak için tasarlanmamıştır.

Doğrulanmış bir kurumsal iletişim katmanı sağlayabilir.

Tespitin Ötesinde: Güven İçin Yeni Bir Standart

Dolandırıcılığı önleme daha az filtreye, daha az uyarıya veya daha az izlemeye ihtiyaç duymaz. Bunların hepsine ihtiyaç duyar.

Ama aynı zamanda güven için tasarlanmış bir iletişim katmanına da ihtiyaç duyar.

Kurumsal dolandırıcılığı önlemenin geleceği, yalnızca kullanıcılardan göndericiyi güvenilir biçimde doğrulamayan kanallar içinde sahte mesajları ayırt etmelerini istemeye dayanmamalıdır.

Seçilmiş yüksek güven gerektiren mesajlar için kurumlar şunu söyleyebilmelidir:

Bu mesaj sizden bir SMS gönderici adına güvenmenizi istemiyor.

Bu mesaj doğrulanmış bir kanalda mevcut.

Gönderen biliniyor.

Teslimat kayıt altında.

Yanıt denetlenebilir.

SMS dolandırıcılığını önlemede eksik katman budur.

ADORASEC, seçilmiş yüksek güven gerektiren mesajlarda doğrulanamayan SMS’e bağımlılığı azaltmak için doğrulanmış bir kurumdan kullanıcıya iletişim katmanı geliştiriyor. Sistem, doğrulanmış kurumsal bildirimleri, teslim edildi / okundu / yanıtlandı kanıtını ve kullanıcıya basit güven sinyalleri sunmayı hedefler.

Kurumsal görüşmeler, politika çalışmaları veya pilot değerlendirmeleri için: adorasec.com

Kaynaklar ve notlar

  1. Federal Trade Commission — 2024 tüketici dolandırıcılığı kayıpları
  2. FBI Internet Crime Complaint Center — 2024 Internet Crime Report
  3. European Banking Authority / European Central Bank — 2024 ödeme dolandırıcılığı verileri
  4. National Anti-Scam Centre / Scamwatch Australia — 2024 dolandırıcılık kaybı düşüşü
  5. UK Government — Fraud Strategy 2026 to 2029
  6. Payment Systems Regulator — APP scams reimbursement framework