Ocak 2024. Hong Kong’da bir mühendislik şirketinin finans departmanında çalışan biri, İngiltere’deki CFO’dan bir e-posta aldı. “Gizli bir işlem yapılması gerekiyor.” Adam şüphelendi. Phishing olabilir diye düşündü. Doğru da düşünüyordu aslında, ama sonra olan şey onu ikna etti.

Bir video konferans daveti geldi. Adam toplantıya girdi. CFO oradaydı. Tanıdığı diğer üst düzey yöneticiler de oradaydı. Hepsi konuşuyordu, hepsi doğal görünüyordu. CFO işlemi onayladı, diğerleri de teyit etti. Adam 15 ayrı işlemle toplam 25 milyon doları 5 farklı banka hesabına gönderdi.

Bir hafta sonra merkez ofisle konuştuğunda anladı: o toplantıdaki hiç kimse gerçek değildi. CFO gerçek değildi. Yöneticiler gerçek değildi. Hepsi deepfake’ti. Toplantıdaki tek gerçek insan, parayı gönderen adamdı.

Şirket Arup’tu. 18.500 çalışanı ve 34 ofisi olan, dünya çapında projeler yürüten bir mühendislik devi. Ve 25 milyon doları deepfake’e kaptırdılar.

Üç Saniye Yeterli

Bu vakayı anlamak için deepfake teknolojisinin bugün nerede olduğunu bilmek gerekiyor.

Ses klonlama artık 3 saniyelik bir ses örneğiyle yapılabiliyor. Üç saniye. Bir konferans konuşmasından, bir YouTube videosundan, hatta bir sesli mesajdan alınan örnek yeterli. Daha kaliteli bir klon istiyorsanız 10-30 saniye lazım, o kadar.

Video tarafında biraz daha fazla malzeme gerekiyor ama o da o kadar zor değil. AI modelinin yüz hareketlerini farklı açılardan ve farklı ışık koşullarında görmesi lazım. Bir şirket yöneticisinin LinkedIn’deki konuşma videoları, basın açıklamaları, panel katılımları — bunlar fazlasıyla yeterli. Model bunları analiz edip senkronize dudak hareketleri, doğal yüz ifadeleri ve gerçekçi vücut dili oluşturabiliyor.

Arup vakasında muhtemelen olan şu: saldırganlar yöneticilerin kamuya açık videolarını indirdi, AI modellerini eğitti ve toplantı için önceden hazırlanmış video klipler üretti. Gerçek zamanlı sohbet yerine, önceden üretilmiş içerikleri toplantıda oynatmış olmaları kuvvetli ihtimal. 2024 başında gerçek zamanlı deepfake teknolojisi henüz o kadar gelişmiş değildi.

Ama 2026’da durum farklı. Artık gerçek zamanlı ses ve video klonlama mümkün. Dark web’de saniyeler içinde yüz ve ses kopyalayan uygulamalar satılıyor. INTERPOL’ün Mart 2026 raporunda bunu açıkça belirtiyor.

Bir Yıl Sonra Singapur

Mart 2025. Singapur’da çokuluslu bir şirketin finans direktörü, Zoom üzerinden üst yönetimle görüşmeye katıldı. CFO oradaydı. Diğer yöneticiler de oradaydı. Acil bir fon transferi talep edildi. 499.000 dolar. Finans direktörü onayladı.

Hiçbiri gerçek değildi. Yine.

Arup vakasından bir yıl sonra, neredeyse birebir aynı senaryo. Ama bir farkla: bu sefer saldırganlar daha akıllıydı. Finans profesyonellerinin artık deepfake tehdidinden haberdar olduğunu biliyorlardı. Bu yüzden video görüşmeyi kendileri teklif ettiler. “Teyit etmek isterseniz görüntülü konuşalım” dediler. Bu, sahte bir güven duygusu yarattı. Kurbana “ben doğruladım” hissi verdi.

Düşünün. Saldırganlar, kurbanın doğrulama refleksini kullanarak onu tuzağa düşürdü. Deepfake’i tespit aracı değil, ikna aracı olarak kullandılar.

Arup CIO’su Ne Diyor?

Arup’un CIO’su Rob Greig, Ocak 2026’da Davos’ta World Economic Forum’da bu vakayı anlattı. Açık konuştu, ki bu önemli çünkü çoğu şirket bu tür olayları gizler.

Greig’in söylediği şeylerden biri kafamda kaldı. Diyor ki: “Biz her gün saldırıya uğruyoruz. Siber saldırılar mermi olsaydı, hepimiz yerde sürünüyor olurduk çünkü pencereden saniyede binlerce mermi geliyor. Bazı saldırılar diğerlerinden daha başarılı oluyor. Önemli olan bu konuda açık ve şeffaf olmak.”

Greig’in vurguladığı bir diğer nokta da bu saldırının klasik bir siber saldırı olmadığı. Sistem kırılmadı. Firewall geçilmedi. Veritabanı çalınmadı. Saldırganlar psikoloji ve teknolojiyi birleştirdi. İnsan zafiyetini hedef aldı. Ve bu, teknik güvenlik çözümleriyle tamamen engellenebilecek bir şey değil.

CEO Fraud’un Evrimi

CEO fraud yeni bir şey değil. Business Email Compromise denen şema yıllardır var. CEO’nun veya CFO’nun e-postasını taklit edip acil para transferi talep etmek. FBI’ın rakamlarına göre BEC, dünyada en çok finansal kayba yol açan siber suç türlerinden biri.

Ama eskiden bu iş bir e-postayla sınırlıydı. İyi yazılmış bir sahte e-posta, ikna edici bir hikaye, aciliyet baskısı. Kurban şüphelenirse aramak isteyebilirdi ama arayacak numara genellikle saldırganın kontrolündeydi.

Deepfake bunu tamamen farklı bir seviyeye taşıdı. Artık sadece yazılı değil, sesli ve görüntülü doğrulama da sahte olabiliyor. Kurbanın elindeki son güvenlik ağı da ortadan kalktı. “Aramak istiyorum” diyorsun, saldırgan diyor ki “tabii, hadi video görüşme yapalım.” Ve karşında CFO’nun yüzünü ve sesini görüyorsun.

INTERPOL’ün Mart 2026’da yayınladığı Global Fraud Threat Assessment raporunda bu dönüşümü rakamlarla ortaya koyuyor. AI destekli dolandırıcılık operasyonları, klasik yöntemlere göre 4.5 kat daha fazla gelir üretiyor. Ve “Agentic AI” denen otonom sistemler artık tüm bir dolandırıcılık kampanyasını baştan sona planlayıp yürütebiliyor.

Neden Finans Departmanları Hedef?

Basit: para oradan çıkıyor.

IT departmanına saldırırsanız veri çalabilirsiniz, sistem bozabilirsiniz. Ama finans departmanına saldırırsanız direkt nakit alırsınız. Wire transfer yetkisi finans ekibinde. Ödeme onayı finans ekibinde. Ve bu işlemler günlük rutinin parçası olduğu için “acil bir transfer” talebi o kadar da anormal gelmiyor.

Arup vakasında kurban 15 ayrı işlem yaptı. 15. Tek seferde 25 milyon dolar değil, parça parça. Bu da saldırganların eşik değer bazlı alarm sistemlerini bildiğini gösteriyor. Tek büyük işlem alarm tetikler ama birçok küçük işlem radarın altında kalabilir.

Singapur vakasında ise tek bir 499.000 dolarlık transfer. Muhtemelen 500.000 doların altında tutulması bilinçli. Çoğu kurumda bu eşiğin üzeri ek onay gerektirir.

Türkiye İçin Ne İfade Ediyor?

Türk şirketleri bu tehdide hazır mı? Dürüst cevap: çoğu hazır değil.

BEC zaten Türkiye’de yaygın. Sahte e-postalarla yapılan CEO dolandırıcılığı vakaları basına çok yansımasa da sektör içinde biliniyor. Deepfake boyutu ise henüz Türkiye’de büyük bir vakayla gündeme gelmedi. Ama bu, olmadığı anlamına gelmiyor. Raporlanmadığı anlamına geliyor.

Türkçe deepfake teknolojisi henüz İngilizce kadar gelişmiş değil ama ses klonlama dil bağımsız çalışıyor. Yani bir Türk CEO’sunun sesini klonlamak için İngilizce konuşması gerekmiyor. Türkçe bir konferans kaydı veya televizyon röportajı yeterli.

Bankalar açısından kritik konu şu: müşteri doğrulama süreçlerinde video ve ses bazlı doğrulama kullanılıyorsa, bu kanalların deepfake’e karşı dayanıklılığı test edildi mi? Çoğu bankada cevap hayır.

Şirketler açısından ise temel soru daha basit: büyük tutarlı transfer taleplerinde sadece e-posta veya video onayı yeterli mi, yoksa bağımsız bir ikinci kanal üzerinden doğrulama zorunlu mu? Arup’ta bu ikinci kanal yoktu. Olsaydı, 25 milyon dolar kurtarılabilirdi.

Ne Yapılabilir?

Burada teknik çözümlerden önce süreç çözümleri geliyor.

Belirli bir tutarın üzerindeki transferler için, talebi yapan kişiyle farklı bir kanal üzerinden doğrulama zorunlu olmalı. CFO video görüşmede onay verdiyse, ayrıca telefon veya yüz yüze teyit alınmalı. Aynı kanal üzerinden doğrulama doğrulama değildir. Deepfake’i deepfake ile doğrularsanız, sadece sahteliği teyit etmiş olursunuz.

Şirket içi kod kelime sistemleri basit ama etkili. Önceden belirlenmiş bir kod kelime veya rakam, büyük işlemlerde sorulabilir. Deepfake saldırganı bu kodu bilemez.

Çalışan eğitimi kritik ama tek başına yeterli değil. Arup’taki adam şüphelenmişti. Phishing olabilir diye düşünmüştü. Ama video görüşme onu ikna etti. Eğitim “şüphelen” der ama süreç “doğrula” demezse, şüphe bir yere kadar korur.

Deepfake tespit teknolojileri gelişiyor ama saldırganlar da gelişiyor. Bu bir kedi-fare oyunu ve şu an fare önde.

Sonuç

Arup vakası 2024’te oldu ama 2026’da hâlâ en çok referans verilen deepfake dolandırıcılığı vakası. Çünkü her şeyi değiştirdi. Video görüşmenin güvenilir bir doğrulama kanalı olduğu varsayımını yıktı.

Singapur vakası bunun tekrarlanabilir olduğunu gösterdi. INTERPOL’ün 2026 raporu bunun endüstrileştiğini gösteriyor. Ve Arup CIO’sunun Davos’ta söylediği şey durumu özetliyor: bu bir teknoloji sorunu olduğu kadar bir insan sorunu.

25 milyon doları kaybeden kişi aptal değildi. Dikkatsiz değildi. Aksine, şüphelenmişti. Ama karşısında gördüğü yüzler ve duyduğu sesler o kadar gerçekti ki, şüphesi eridi.

Ve bu tam olarak saldırganların istediği şeydi.