2024'ün başında Hong Kong'da bir finans çalışanı ekrana baktı. Karşısında CFO'su ve üst yönetim vardı; tanıdık yüzler, tanıdık sesler, tanıdık bir toplantı formatı. Görüşme boyunca hiçbir şey yanlış hissettirmedi. Konuşmalar mantıklıydı, talepler kurumsal bir aciliyetle geldi. Çalışan transferi yaptı: 25,6 milyon dolar.
Aramada kendisi dışında kimse gerçek değildi.
Bu vaka, deepfake teknolojisinin siber saldırılarda kullanımının teorik bir tartışmadan somut bir tehdide dönüştüğü kırılma noktalarından biri olarak kayıtlara geçti. Ancak 2026 itibarıyla tablo o günden bu yana çok daha karmaşık bir hal aldı.
Deepfake Nedir, Nereye Geldi?
Deepfake, yapay zeka modellerinin ses, görüntü veya video üzerinde gerçekçi sahteler üretmesine dayanan bir teknolojidir. Başlangıçta yüksek işlem gücü ve uzman bilgisi gerektiren bir alan olarak kaldı. 2025-2026 itibarıyla bu eşik dramatik biçimde düştü.
2025'te Deepfake-as-a-Service (DaaS) platformları yaygınlaştı. Ses ve video klonlama, görüntü üretimi ve persona simülasyonu sunan bu hazır araçlar, teknik bilgisi olmayan saldırganların bile inandırıcı deepfake saldırıları düzenlemesini mümkün kıldı.
Rakamlar bu dönüşümü somutlaştırıyor. Çevrimiçi dolaşımdaki deepfake dosyası sayısı 2023'te 500 binden 2025'te 8 milyonun üzerine çıktı. Yalnızca 2025'in ikinci çeyreğinde deepfake olaylarından kaynaklanan zarar 350 milyon dolara ulaştı.
Gerçek Vakalar
CEO Dolandırıcılığı: Video Konferans
Arup davası bu kategorinin en iyi belgelenmiş örneği olmayı sürdürüyor. Saldırının teknik başarısından daha önemli olan boyutu şu: kurgu, güveni devre dışı bırakmak için kurumsal bir format içine yerleştirildi. Şirket içi toplantı, tanıdık yüzler, mantıklı bir talebin aciliyeti . Bunların birleşimi, çalışanın şüphe geliştirme kapasitesini işlevsiz kıldı. Sosyal mühendislik perspektifinden bakıldığında deepfake burada yalnızca bir araç; asıl silah, kurgunun güveni nasıl sömürdüğü.
Ses Klonlama: Biyometrik Bypass
2025'te Hong Kong'da saldırganlar bir bankanın ses kimlik doğrulama sistemini deepfake ses teknolojisiyle bypass etti ve tespit edilmeden önce on milyonlarca dolarlık yetkisiz para çekimi gerçekleştirdi. Bu vaka kritik bir eşiğin aşıldığını gösteriyor, biyometrik güvenlik sistemleri artık deepfake karşısında mutlak bir güvence sunmuyor. "Sesin doğruysa kimliğin doğrudur" varsayımı geçerliliğini yitirdi.
Kurumsal Ölçek: DaaS ile Seri Saldırı
Singapur'da saldırganlar DaaS platformları aracılığıyla yöneticileri taklit ederek çalışanları milyonlarca dolarlık sahte hesaplara para transferi yapmaya yöneltti. Bu vaka DaaS'ın getirdiği asıl dönüşümü örnekliyor. Saldırılar artık tek bir hedefe yönelik değil, aynı altyapıyla farklı kurumları hedef alan seri operasyonlara dönüşüyor.
Teknik Evrim: OSINT'ten Saldırıya
2026'da deepfake destekli kimlik taklidinin tek bir e-posta, arama veya videoyla sınırlı kalmak yerine tüm saldırı zincirine yayıldığı görülüyor. Bu durum saldırıların izole edilmesini güçleştiriyor.
Siber tehdit istihbaratı (CTI) perspektifinden bakıldığında saldırı zinciri üç aşamada ilerliyor.
İlk aşama OSINT: hedefin LinkedIn profili, kamuya açık röportajlar, konferans kayıtları ve sosyal medya videoları sistematik biçimde taranıyor. Bu aşamada toplanan ses ve görüntü verisi, klonlama için ham malzeme işlevi görüyor. Hedef ne kadar görünürse (yönetici pozisyonları, kamuoyu figürleri, sık içerik üreten çalışanlar) saldırgan için o kadar zengin bir veri seti oluşuyor.
İkinci aşamada klonlama gerçekleşiyor: ElevenLabs gibi araçlarla ses profili, video modelleriyle görüntü yeniden üretiliyor. Kısa biçimli deepfake videolar (15-30 saniye) artık WhatsApp mesajlarına ya da Slack gibi iç iletişim uygulamalarına gömülü halde kullanılıyor. Bu format özellikle etkili çünkü kısa süre, alıcının şüphe geliştirmesine izin vermiyor.
Üçüncü aşamada pretext kurgulanıyor: acil finansal transfer talebi, kimlik doğrulama isteği ya da şirket içi toplantı formatına yerleştirilen direktifler. CTI açısından bu aşama oldukça kritik . Saldırganın ne kadar iyi OSINT yaptığı, pretextin ne kadar inandırıcı olduğunu doğrudan belirliyor.
Kurumsal Risk Profili
DaaS platformları, finans, sağlık ve devlet kurumlarındaki yüksek değerli personeli hedef alan yapay zeka destekli kampanyaların artmasına zemin hazırladı.
Kurumsal risk üç eksende yoğunlaşıyor: finansal kayıp (transfer dolandırıcılığı), veri ihlali (sahte kimlik doğrulama yoluyla sistem erişimi) ve itibar hasarı (kamuoyuna yönelik sahte içerik üretimi). 2025'te ABD'de yapay zeka destekli saldırıların önemli ölçüde katkıda bulunduğu finansal dolandırıcılık kayıpları 12,5 milyar dolara ulaştı.
Savunma: Ne İşe Yarıyor?
Geleneksel savunma mekanizmaları bu tehdit karşısında yetersiz kalıyor. Ses tanıma sistemleri klonlanmış sesler karşısında başarısız oldu. Görsel doğrulama yüksek kaliteli video deepfake'leri karşısında güvenilirliğini yitirdi.
İşe yarayan yaklaşımlar farklı bir mantığa dayanıyor. Bant dışı doğrulama (kritik finansal talepler için önceden belirlenmiş alternatif bir kanaldan onay alma) en etkili önlem olmayı sürdürüyor. Davranışsal anomali tespiti, iletişim kalıplarındaki sapmaları izleyerek anormal talepleri işaretliyor. Kurumsal farkındalık eğitimi ise çalışanların deepfake göstergelerini anormal gecikme, senkronizasyon bozukluğu, ışık tutarsızlığı açısından tanımasını hedefliyor.
2026 ve sonrasında deepfake destekli sosyal mühendisliğin kalitesinin sürekli artacağı değerlendiriliyor. Saldırılar artık toplu phishing ölçeğinde ancak hiper kişiselleştirilmiş kampanyalar biçiminde gerçekleşiyor.
Sonuç
Deepfake teknolojisi, sosyal mühendislik saldırılarının temel varsayımını tersine çevirdi: artık gözlerinize inandığınız şey gerçek olmayabilir. Bu değişim, güvenlik mimarisinin yalnızca teknik katmanda değil, insan katmanında da yeniden düşünülmesini gerektiriyor.
İnsan unsuru tüm ihlallerin yaklaşık yüzde 60'ında belirleyici rol oynamaya devam ediyor. Deepfake bu oranı daha da artırma potansiyeli taşıyor çünkü teknolojiyi değil, güveni hedef alıyor.
