Nisan 2026’da MIT Technology Review bir araştırma yayınladı. Telegram’da 22 açık kanal ve grup tespit edildi. Hepsi aynı şeyi satıyordu: KYC biyometrik doğrulamasını atlatma araçları. Sanal kamera yazılımları, çalıntı biyometrik şablonlar, deepfake video oluşturucular ve Android hooking framework exploit’leri.

Hedefler arasında Binance, BBVA ve Revolut vardı. Kanallar Çince, Vietnamca ve İngilizce olarak faaliyet gösteriyordu. Bazıları aynı satıcı kimlikleri tarafından çapraz tanıtılıyordu.

Bu artık münferit bir tehdit değil. Sumsub’un 2026 verilerine göre deepfake, küresel fraud vakalarının yüzde 11’ini oluşturuyor. 2024’te bu oran yüzde 7’ydi. iProov sanal kamera saldırılarında yüzde 2.665 artış tespit etti. Veriff’in 2026 Kimlik Dolandırıcılığı Raporu deepfake fraud’da yüzde 300 artış belgeledi.

Ve FATF Aralık 2025’te yayınladığı Horizon Scan raporunda deepfake’i resmi olarak AML kontrollerini, müşteri durum tespiti sistemlerini ve dijital kimlik doğrulamayı atlatan bir araç olarak tanımladı. Denetçilerin deepfake kontrollerini standart AML incelemeleri kapsamında değerlendireceğini açıkça belirtti.

Bu yazı iki soruya cevap veriyor: deepfake KYC’yi nasıl atlatıyor ve buna karşı ne yapılabilir?

Beş Saldırı Yöntemi

KYC biyometrik doğrulamasını atlatmak için kullanılan deepfake saldırıları beş ana kategoride toplanıyor.

Birincisi: yüz değiştirme bindirmesi (face swap overlay). Saldırgan gerçek zamanlı video görüşme sırasında kendi yüzünün üzerine başka bir kişinin yüzünü bindiriyor. DeepFaceLive gibi açık kaynak araçlar bunu saniyeler içinde yapabiliyor. KYC sistemi kamerada “canlı” bir yüz görüyor ama o yüz gerçek değil.

İkincisi: sanal kamera enjeksiyonu (virtual camera injection). En tehlikeli ve en hızlı büyüyen saldırı türü. Saldırgan fiziksel kamerayı devre dışı bırakıp sanal bir kamera yazılımı üzerinden önceden hazırlanmış veya AI ile üretilmiş videoyu doğrulama sistemine enjekte ediyor. Sistem gerçek kameradan canlı görüntü aldığını sanıyor ama aslında sahte bir video akışı alıyor. iProov’un yüzde 2.665’lik artış tespit ettiği kategori bu.

Üçüncüsü: önceden kaydedilmiş video tekrarı (replay attack). Çalıntı veya sızdırılmış biyometrik veriler (selfie videoları, kimlik taramaları) kullanılarak doğrulama ekranında yeniden oynatılıyor. Telegram’daki 22 kanaldan bazıları “biyometrik paketler” satıyordu: selfie videosu, kimlik belgesi taraması, adres belgesi ve telefon numarası bir arada.

Dördüncüsü: 3D maske ve derinlik saldırısı. Fiziksel 3D baskı maskeleri veya silikon protezlerle canlılık testlerinin atlatılması. Daha eski bir yöntem ama hâlâ bazı sistemlerde etkili.

Beşincisi: belge sahteciliği. AI ile üretilmiş sahte kimlik belgeleri, pasaportlar, ehliyetler. OnlyFake vakasını hatırlayın: 15 dolara 50 ABD eyaletinin ehliyeti üretiliyordu. OCR (optik karakter tanıma) sistemleri bu sahte belgeleri gerçek olarak okuyabiliyor.

Neden Canlılık Testi Yeterli Değil?

Çoğu KYC sistemi “liveness detection” (canlılık testi) kullanıyor. “Başınızı sola çevirin”, “gözlerinizi kırpın” gibi komutlarla karşınızdaki kişinin gerçek ve canlı olduğunu doğrulamaya çalışıyor.

Ama canlılık testi iki kritik saldırı türüne karşı savunmasız.

Enjeksiyon saldırıları: sanal kamera yazılımı kamerayı tamamen devre dışı bırakıyor. Sistem kameradan görüntü aldığını sanıyor ama aslında yazılımdan video alıyor. Canlılık testinin sorduğu her komutu (“başınızı çevirin”) önceden hazırlanmış video karşılıyor.

Yüksek kaliteli yüz değiştirme: modern face swap araçları gerçek zamanlı olarak çalışıyor ve canlılık testinin aradığı mikro hareketleri (göz kırpma, kaş hareketi, bakış yönü) taklit edebiliyor.

Dünya Ekonomik Forumu’nun Ocak 2026’da yayınlanan Cybercrime Atlas araştırması 17 farklı yüz değiştirme aracını ve 8 kamera enjeksiyon aracını test etti. Sonuç: çoğu araç standart biyometrik doğrulama kontrollerini geçebildi.

Gartner’ın Şubat 2026 öngörüsü çarpıcı: 2026 sonuna kadar kurumların yüzde 30’u yalnızca biyometrik çözümlerin yetersiz olduğunu kabul edecek.

Beş Katmanlı Savunma Modeli

Tek bir kontrol yeterli değil. Deepfake’e karşı etkili savunma çok katmanlı olmak zorunda.

Birinci katman: pasif canlılık testi. Kullanıcıdan herhangi bir eylem istemeden, video akışındaki doğal yüz hareketlerini, doku kalıplarını ve ışık yansımalarını analiz ediyor. Sahte videolardaki mikro düzensizlikleri (piksel tutarsızlıkları, gölge hataları, çerçeveler arası atlamalar) tespit ediyor.

İkinci katman: enjeksiyon tespit sistemi. Kamera sinyalinin kaynağını doğruluyor. Sinyal gerçek fiziksel kameradan mı geliyor yoksa sanal bir yazılımdan mı enjekte ediliyor? Bu katman sanal kamera saldırılarını engelliyor.

Üçüncü katman: FFT (Hızlı Fourier Dönüşümü) analizi. Görüntünün frekans alanını inceliyor. AI tarafından üretilen yüzler, gerçek yüzlerden farklı frekans kalıpları gösteriyor. İnsan gözü bu farkı göremiyor ama FFT analizi görebiliyor.

Dördüncü katman: zamansal (temporal) analiz. Tek bir kare değil, birden fazla kareyi ardışık olarak analiz ediyor. Doğal olmayan hareketler, çerçeveler arası tutarsızlıklar, yüz ifadesi geçişlerindeki hatalar. Tek kare analizi yetersiz çünkü deepfake tek bir karede mükemmel görünebilir ama kare dizisinde tutarsızlıklar ortaya çıkar.

Beşinci katman: belge doğrulama forensiği. Kimlik belgesinin fiziksel özelliklerini (hologram, mikro baskı, UV özellikler) dijital ortamda doğrulayan sistemler. AI ile üretilmiş belgelerin piksel düzeyindeki tutarsızlıklarını tarayan algoritmalar.

Bu beş katmanın hepsini birlikte kullanmak, tek başına hiçbirinin sağlayamayacağı bir koruma seviyesi oluşturuyor.

Asimetri Sorunu

Bu konunun en rahatsız edici gerçeği asimetri. Facia’nın araştırmasına göre bir dolandırıcı iki gün içinde yeni bir sentetik yüz üretme yöntemi geliştirebiliyor. Bir KYC sağlayıcısının tespit modelini güncellemesi çok daha uzun sürüyor.

Bu gecikme süresi boyunca sahte hesaplar açılıyor. Para aklanıyor. Kimlikler çalınıyor. Ve sistem güncellendiğinde saldırgan zaten bir sonraki yönteme geçmiş oluyor.

iProov’un önerdiği bir yaklaşım bu asimetriyi daraltmaya çalışıyor: her oturum için farklılaşan aktif zorluklar. Rastgele kafa hareketleri, ekran renk flaşları (Flashmark teknolojisi) ve oturum bazında değişen ardışık komutlar. Önceden hazırlanmış deepfake videolar bu rastgele komutları karşılayamıyor çünkü her oturum farklı.

Telegram’daki Pazar

MIT Technology Review’ın belgelediği 22 Telegram kanalı üç kategoride ürün satıyordu.

Birincisi: sanal kamera yazılımları. Telefonun kamera beslemesini ele geçiren ve önceden kaydedilmiş veya AI ile üretilmiş videoyu enjekte eden yazılımlar. “Başınızı çevirin” gibi canlılık komutlarını atlatan hazır videolar dahil.

İkincisi: çalıntı biyometrik paketler. Selfie videosu, kimlik belgesi taraması, adres belgesi ve telefon numarası bir arada satılıyor. Fiyatlar 50 ila 500 dolar arasında değişiyor.

Üçüncüsü: Android hooking framework exploit’leri. Telefonun işletim sistemi düzeyinde müdahale ederek doğrulama uygulamasının kamera erişimini manipüle eden araçlar.

Kanallar dil bazında ayrışıyordu. Mandarin Çince kanallar kripto borsası hedefli. Vietnamca kanallar Güneydoğu Asya bankacılık hedefli. İngilizce kanallar küresel yeniden satış odaklı.

Türkiye Bağlamı

Türk bankaları ve fintech şirketleri KYC süreçlerinde giderek daha fazla biyometrik doğrulama kullanıyor. Mobil bankacılık uygulamalarında yüz tanıma ile giriş, yeni hesap açılışlarında video KYC, uzaktan kimlik doğrulama. BDDK’nın uzaktan müşteri edinimi düzenlemesi bu trendi hızlandırdı.

Ama Türkiye’deki KYC sistemlerinin deepfake’e karşı ne kadar dayanıklı olduğu kamuoyuyla paylaşılmıyor. Telegram’daki 22 kanaldan herhangi birinin Türk bankalarını hedef alıp almadığı bilinmiyor ama Türkçe dil desteği LLM’ler için artık sorun olmadığına göre Türkiye’nin hedef listesinde olmaması için bir neden yok.

FATF’ın deepfake’i AML incelemeleri kapsamına aldığı dikkate alınırsa, Türk bankalarının denetim programlarına deepfake tespit kontrolleri eklemesi gerekiyor. MASAK ve BDDK denetçilerinin biyometrik doğrulama süreçlerinin deepfake dayanıklılığını sorgulaması beklenmeli.

Pratik öneriler: sanal kamera enjeksiyon tespiti zorunlu hale gelmeli. Tek katmanlı canlılık testi yeterli değil, çok katmanlı savunma modeline geçilmeli. Ve en önemlisi: KYC sağlayıcı sözleşmelerinde deepfake tespit SLA’ları (hizmet seviyesi anlaşmaları) tanımlanmalı. “Güncel tehditlere karşı ne kadar sürede güncelleme yapıyorsunuz?” sorusunun cevabı sözleşmede yazmalı.

Sonuç

KYC biyometrik doğrulaması bankacılığın dijital dönüşümünün temel taşlarından biri oldu. Ama bu temel taş çatlıyor.

Deepfake artık küresel fraud’un yüzde 11’i. Sanal kamera saldırıları yüzde 2.665 arttı. Telegram’da 22 kanal açıkça KYC atlatma araçları satıyor. Dünya Ekonomik Forumu’nun testinde 17 yüz değiştirme aracının çoğu standart kontrollerden geçti.

Ve asimetri büyüyor. Saldırgan 2 günde yeni yöntem geliştiriyor. Savunmacı 2 ayda güncelleme yapıyor.

FATF bu tehdidi resmi olarak tanıdı. AB AI Yasası biyometrik doğrulama sistemlerini yüksek riskli olarak sınıflandırdı. Gartner kurumların yüzde 30’unun yalnızca biyometrik çözümlerin yetersiz olduğunu kabul edeceğini öngörüyor.

Cevap tek katmanlı değil, beş katmanlı. Pasif canlılık, enjeksiyon tespiti, frekans analizi, zamansal analiz ve belge forensiği. Ve bu katmanların sürekli güncellenmesi.

Çünkü deepfake durmuyor. Ve KYC duvarını aşmak artık 50 dolarlık bir Telegram alışverişi kadar kolay.