İş E-postası Ele Geçirme (BEC): Sahte Ödeme Talimatına Karşı KOBİ Rehberi

Uzun süredir çalıştığınız tedarikçiden bir e-posta gelir. Dilekçe gibi düzgün yazılmış, logosu yerinde, imza bloğu tanıdık: “Bankamızı değiştirdik, bundan sonraki ödemeleri lütfen şu yeni IBAN’a yapın.” Muhasebe yeni hesabı sisteme girer, vade gelince ödeme çıkar. İki hafta sonra gerçek tedarikçi arar: “Faturamız hâlâ ödenmedi.” Para çoktan başka bir hesaba gitmiş, oradan da bölünüp çekilmiştir.

Bu, antivirüsün hiçbir zaman yakalayamayacağı bir saldırıdır. Çünkü ortada zararlı yazılım yok — sadece ikna edici bir e-posta var. Adı BEC: Business Email Compromise, yani iş e-postası ele geçirme.

Rakamlar neden bu kadar dikkat çekici?

FBI’ın 2025 İnternet Suçları Raporu’na göre BEC, geçen yıl yalnızca ABD’de 3,05 milyar dolar doğrulanmış zarara yol açtı ve yatırım dolandırıcılığından sonra en çok para kaybettiren ikinci siber suç türü oldu. Kayda geçen şikâyet sayısı 24.768; şikâyet başına ortalama kayıp ise 122 bin doların üzerinde. Daha çarpıcı olan ayrıntı: çalınan paranın yüzde 86’sı havale veya EFT yoluyla, yani şirketlerin gerçek finans akışının tam ortasından taşınıyor.

Bunlar ABD verileri ama mantık her ülkede aynı. Türkiye’de de USOM ve BTK her ay onlarca sahte sayfaya erişimi engelliyor, KPMG Türkiye “gönderimli ödeme dolandırıcılığını” finans sektörünün yeni tehdidi olarak işaret ediyor. Saldırı, banka altyapısını değil insanın güvenini hedef aldığı için ölçek küçüldükçe daha da etkili oluyor — büyük şirketin onay zinciri var, küçük işletmede ödemeyi çoğu zaman tek kişi yapıyor.

E-posta nasıl “ele geçiriliyor”?

İki yol var, ikisi de teknik dehadan çok sabır işi.

Birincisi gerçek ele geçirme. Saldırgan bir çalışanın parolasını phishing (oltalama) ile ya da başka bir sızıntıdan elde eder, kutuya sessizce girer, haftalarca yazışmaları okur. Kimin kime ne zaman ödeme yaptığını, hangi tedarikçiyle hangi tonda konuşulduğunu öğrenir. Sonra tam doğru anda, gerçek bir yazışma zincirinin içine girip IBAN değişikliği ister. Mesaj sahte değildir — gerçekten o kutudan çıkar.

İkincisi taklit. Saldırgan kutuya hiç girmez; sadece çok benzeyen bir adres açar. [email protected] yerine [email protected], ya da görünen adı “Genel Müdür” yapıp arkadaki adresi gizler. Telefonda doğrulama alışkanlığı olmayan bir ekipte bu kadarı yeterli.

En sık görülen dört senaryo

Senaryo	Nasıl işler	Hedef
Tedarikçi faturası	Gerçek faturaya “IBAN değişti” notu eklenir	Muhasebe / ödeme yetkilisi
Üst yönetici talimatı	”Genel müdür” acil, gizli bir transfer ister	Finans personeli
Bordro yönlendirme	Çalışan adına “maaş hesabımı değiştirin” maili	İK / bordro
Avukat / kapanış	Devir, tapu, kapanış öncesi acil ödeme baskısı	Yönetici / muhasebe

Hepsinin ortak paydası aciliyet ve gizlilik. “Bugün halledilmesi şart”, “şimdilik kimseyle paylaşma” cümleleri tesadüf değil; sizi doğrulama yapmadan tuşa basmaya itmek için oradalar.

Neden klasik güvenlik bunu durduramaz

Antivirüs dosya tarar, EDR davranış izler, güvenlik duvarı trafiği filtreler. BEC’te bunların hiçbiri devreye girmez çünkü teknik olarak “kötü” bir şey olmuyor — geçerli bir kutudan ya da geçerli görünen bir adresten, düzgün bir Türkçeyle gelen normal bir e-posta var. Saldırı yazılımı değil, süreci hedefliyor. Bu yüzden savunma da iki katmanlı olmak zorunda: hem teknik hem operasyonel.

Teknik tarafta öncelik e-posta kimlik doğrulaması. Alan adınızda SPF, DKIM ve DMARC kayıtları doğru kuruluysa, adınıza atılan taklit mailler büyük ölçüde elenir; DMARC’ı “reject” politikasına çekmek bunların alıcı kutusuna düşmesini engeller. Tüm kutularda çok faktörlü kimlik doğrulama (MFA) ise parola çalınsa bile saldırganın içeri girmesini zorlaştırır — ele geçirmelerin çoğu MFA’sız kutularda oluyor.

Asıl belirleyici olan ise süreç. Şu üç kural, en pahalı tek aracın yapamayacağını yapar:

1. İkili onay. Belirli bir tutarın üzerindeki her ödeme ve her IBAN değişikliği, iki ayrı kişinin onayı olmadan gerçekleşmez.
2. Bant dışı doğrulama. IBAN değişikliği talebi gelince, e-postaya cevap yazarak değil; rehberinizdeki bilinen numaradan arayarak teyit edin. Mailin içindeki numarayı asla aramayın.
3. Acele frenidir. “Acil ve gizli” kombinasyonu bir kırmızı bayraktır. Personel bu iki kelimeyi gördüğünde hızlanmamalı, yavaşlamalı.

Yaz aylarında risk neden artıyor

Saldırganlar takvimi takip eder. Onay verecek yöneticinin izinde olduğu, ekibin yarı kadroyla çalıştığı dönemler tam onların aradığı boşluk. “Patron tatilde, ulaşamıyorum ama bu transfer bugün çıkmalı” baskısı yaz aylarında çok daha inandırıcı geliyor. İzin sezonu başlamadan ödeme onay zincirini ve yerine bakacak kişileri netleştirmek, bu pencereyi büyük ölçüde kapatır.

Sık sorulan sorular

Küçük bir işletmeyiz, neden bizi hedeflesinler? Tam da küçük olduğunuz için. Büyük şirkette katmanlı onay var; sizde ödeme çoğu zaman tek imzayla çıkıyor. Saldırgan için düşük çaba, yüksek getiri.

Para gittikten sonra geri alınabilir mi? Bazen, ama yalnızca ilk saatler içinde fark edilirse. FBI verilerinde fonların önemli kısmı dakikalar içinde başka hesaplara dağıtılıyor. Fark eder etmez bankayı arayıp transferi durdurma talebi, sonra USOM’a ([email protected]) ve savcılığa bildirim ilk yapılması gerekenler.

MFA ve DMARC kurarsak yeterli mi? İkisi de riski ciddi düşürür ama taklit adresten gelen sahte talebe karşı tek başına yetmez. Teknik katman e-postanın kaynağını korur; ödeme onayındaki ikili kontrol ise insan hatasını yakalar. İkisi birlikte çalışmalı.

Çalışanları eğitmek işe yarıyor mu? Evet, ölçülebilir biçimde. Düzenli farkındalık eğitimi ve gerçekçi tatbikatlar, “IBAN değişti” mailini sorgulamadan uygulama refleksini kırar. Tek seferlik sunum değil, tekrarlayan bir program olduğunda etkili.

İşletmenizin e-posta kimlik doğrulamasını (SPF, DKIM, DMARC), MFA durumunu ve ödeme onay sürecini birlikte gözden geçirmek isterseniz bizimle iletişime geçin — mevcut yapınıza bakıp nereden başlanması gerektiğine dair net bir tablo çıkaralım.

Kaynaklar

• FBI — 2025 Internet Crime Report (IC3), BEC kayıp ve şikâyet verileri
• KPMG Türkiye — Gönderimli ödeme dolandırıcılığı analizi
• BTK / USOM — Zararlı bağlantı ihbar ve sahte site engelleme