Siber GüvenlikYapay Zeka ile Ses Taklidi: Ailenizi Koruma Rehberi 2026
Yapay zeka ile ses klonlama dolandırıcıların bir numaralı silahı oldu. Sesinizin 3 saniyesiyle sizi nasıl kandırdıklarını ve ailenizi saniyeler içinde koruyan güvenli kelime protokolünü öğrenin.
Neler öğreneceksiniz?
- Bir dolandırıcının yakınınızın sesini herhangi bir halka açık videodan sadece üç saniyelik bir parçayla nasıl klonlayabildiğini anlayacaksınız
- Şirketlerin ve ailelerin sahte sesle milyonlarca dolar kaybettiği dört gerçek vakayı öğreneceksiniz
- Sesli dolandırıcılık saldırılarının yüzde 99'unu boşa çıkaran aile güvenli kelime protokolünü kuracaksınız
Şubat 2024'te, dev İngiliz mühendislik şirketi Arup'un Hong Kong ofisindeki bir finans çalışanı ekranının başına oturdu ve mali müdürü ile beş iş arkadaşını canlı bir video toplantıda gördü; ondan 25,6 milyon dolar transfer etmesini istiyorlardı. Yüzler tanıdıktı, sesler bildikti, üslup ikna ediciydi — ama her şey yapay zekayla sahteleştirilmişti. Dolandırıcılık tam bir hafta sonra anlaşıldı, para çoktan gitmişti.
Yapay zeka ile ses klonlama (AI Voice Cloning), gerçek bir kişinin sesini kısa ses örnekleri üzerinde eğitilmiş üretken modeller kullanarak birebir kopyalama teknolojisidir. ElevenLabs, Microsoft VALL-E ve OpenAI Voice Engine gibi modern araçlar, herhangi bir metni, herhangi bir duyguyla ve herhangi bir dilde söyleyebilen eşleşik bir kopya üretmek için yalnızca 3 saniye ses örneğine ihtiyaç duyuyor.
Hikaye Arup ile başlamadı. Beş yıl önce, bir İngiliz enerji şirketi belgelenmiş ilk yönetici ses taklidi vakasında 243.000 dolar kaybetmişti. Bugün binlerce dolara mal olan araç, ayda 5 dolara herhangi bir çocuğun erişimine açık durumda. Size bu saldırıların nasıl işlediğini anlatacağım, dört gerçek vakayı ele alacağım ve sonra size yapay zekaya karşı ayakta kalabilen tek savunmayı — güvenli kelime protokolünü — öğreteceğim.
Yapay zeka sesinizi üç saniyede nasıl klonluyor?
Modern ses klonlaması yalnızca üç adım gerektiriyor: dolandırıcı halka açık bir videodan (Instagram, TikTok, bir sesli mesaj veya tanımadığınız bir numaraya verdiğiniz "alo" cevabı bile) ses örneği topluyor, sonra bunu ElevenLabs veya VALL-E gibi bir modele besliyor, ardından istediği metni yazıyor ve model onu sizin sesiniz ve tonunuzla söylüyor. Tüm süreç iki dakikadan kısa sürüyor.
Modern modeller mekanik taklidin çok ötesine geçti. 2023'te Microsoft, yalnızca sesin tonunu değil, çevresindeki akustik ortamı da — odanın yankısını, nefes alış şeklini, hatta üzüntünün veya öfkenin melodisini bile — yakalayan VALL-E modelini duyurdu. Bir yıl sonra OpenAI, dilleri aşarak ses klonlayan Voice Engine'i tanıttı: Türkçe bir örnek kaydedebilirsiniz ve model aynı sesinizle akıcı İngilizce veya Fransızca konuşur.
Pindrop 2024 Ses Zekası Raporu'na göre, çağrı merkezlerine yönelik ses sahteciliği saldırıları yalnızca 2023 yılında %1300 arttı. Büyük bankalar, onlarca yıldır güvendikleri ses tabanlı kimlik doğrulamayı fiilen terk etmeye başladı — çünkü bu sistem artık gerçek müşteriyle onun dijital kopyası arasındaki farkı ayırt edemiyor.
Uzmanları endişelendiren soru teknik değil. Araç var ve erişilebilir. Asıl soru şu: şu anda internette sesinizin kaç saniyesi dolaşıyor? Eski bir Stories paylaşımı, WhatsApp grubundaki bir ses kaydı, geniş aile mesajındaki bir tebrik — hepsi dolandırıcı için ham madde. Sosyal ağlarda aktifseniz, sesiniz yıllardır klonlanmaya hazır durumda.
Dünyayı sarsan en büyük sesli dolandırıcılık vakaları hangileri?
Tehdidin gelişimini özetleyen dört vaka var: 2024'teki 25 milyon dolarlık Arup saldırısı, 2023'te Arizona'da Jennifer DeStefano'ya yapılan sahte kaçırma girişimi, 2020'deki 35 milyon dolarlık BAE banka soygunu ve 2024'te Senatör Ben Cardin'in taklit edilmesi. Her vaka, kurbanın mümkün olmadığını düşündüğü yeni bir güvenlik açığını ortaya çıkardı.
1. Arup vakası — tarihin en pahalı video görüşmesi (Şubat 2024)
Sidney Opera Binası'nın tasarım ödülü sahibi Arup mühendislik danışmanlık şirketi, Hong Kong'da daha önce görülmemiş bir yöntemle hedef alındı. Çalışan, şirketin mali müdürüyle "gizli" bir toplantıya davet eden bir e-posta aldı. Başta şüphelendi ama Microsoft Teams görüşmesine katıldığında gerçek yüzler gördü ve tanıdık sesler duydu. Ekrandakilerin hepsi önceden hazırlanmış deepfake içerikti — görüşmede kurbanın kendisinden başka hiçbir gerçek insan yoktu.
Hong Kong'daki beş hesaba toplam 200 milyon Hong Kong doları (~25,6 milyon ABD doları) değerinde 15 havale gerçekleştirildi. Dolandırıcılık, çalışanın doğrulamak için merkezle iletişime geçmesi sonucu ortaya çıktı. Kimlik avı kapıyı açtı, ama anlaşmayı tamamlayan yapay zekaydı.
2. Jennifer DeStefano'nun çağrısı — "Anne, yardım et" (Nisan 2023)
Amerikalı anne Jennifer DeStefano, Arizona'da bilinmeyen bir numaradan arandı. 15 yaşındaki kızının sesi çığlıklar ve ağlamalar arasında şöyle diyordu: "Anne, beni aldılar!". Sonra bir erkek sesi araya girdi ve bir milyon dolar fidye istedi, sonra 50 bine indirdi. Jennifer kızının sesi olduğundan kesinlikle emindi — o iç çekişler, o ağlayış, o sesleniş şekli hep kızınınkiydi. Şansına kocası birkaç dakika içinde kızlarına ulaşabildi ve onun evde güvende olduğunu öğrendi.
3. BAE banka soygunu — 35 milyon dolar (2020)
Teknoloji herkesin eline geçmeden önce, profesyonel dolandırıcılar bunu bir BAE bankasına karşı büyük bir saldırıda kullandı. Şube müdürü, büyük bir şirketin "CEO'sundan" bir çağrı aldı; acil bir satın alma anlaşması için havale istiyordu ve Martin Zelner adlı bir "avukattan" destekleyici e-postalar geliyordu. Ses o kadar inandırıcıydı ki müdür dünya çapında birden çok hesaba 35 milyon dolar göndermeyi kabul etti. Vaka daha sonra 2021'deki ABD federal soruşturmasıyla ortaya çıkarıldı.
4. Senatör Ben Cardin — siyasi deepfake (Eylül 2024)
Farklı türde bir olayda, ABD Senatörü Ben Cardin, eski Ukrayna Dışişleri Bakanı Dmytro Kuleba olduğunu sandığı kişiden görüntülü arama aldı. Sorulan sorular olağandışı biçimde siyasi ve hassastı, bu da şüphe uyandırdı. Sonradan görüşmenin tamamen bir deepfake olduğu ortaya çıktı — yapay bir yüz, klonlanmış bir ses ve nüfuz operasyonlarında kullanılmak üzere açıklama koparmayı amaçlayan bir senaryo. Vaka, ABD Senatosu'nun deepfake'in doğrudan bir güvenlik tehdidi haline geldiğini resmen kabul ettiği ilk olay oldu.
Sahte bir sesli görüşmeyi hangi işaretler ele verir?
Beş temel işaret var: düşünmeye zaman bırakmayan yapay aciliyet, beklenmedik bir aramada para veya yetki talebi, doğrulamayı engelleyen güçlü duygu (ağlama, korku, öfke), bilinmeyen veya gizli numara ve arayanın "oturduğumuz sokağın adı ne?" gibi doğrulama sorularını reddetmesi. Üç işaretin bir arada bulunması, çağrının dolandırıcılık olma ihtimalinin yüzde 95 olduğu anlamına gelir.
Altın kural: Karşı taraftaki duygusal yoğunluk silahtır, kanıt değil. Profesyonel dolandırıcı tamamen gerçekçi çığlıklar, ağlamalar ve iç çekişler üretmek için yapay zekayı kullanıyor. Ses ne kadar yalvarıcı veya panik dolu ise, "durup doğrulama" ihtiyacı o kadar güçlü olur — daha zayıf değil.
Dikkatli dinlerseniz fark edilebilen ince teknik işaretler de var. Klonlanmış ses çoğu zaman cümleler arasında doğal nefes alıp verme eksikliği gösterir — fazla akıcı duyulur. Bazı kelimelerde ton düz olabilir, arka plandaki sesler (sokak gürültüsü, oda yankısı) iddia edilen durumla uyumsuzdur. Ancak bu ipuçları modellerin her yeni sürümüyle kayboluyor, bu yüzden tek başına güvenilemez.
Bu saldırıların en tehlikeli yanı ses güvenini — biyolojik olarak köklenmiş bir duyguyu — istismar etmesi. İnsan beyni tanıdık sesleri çocukluktan beri güvenle ilişkilendirir, bu yüzden annenizin ya da oğlunuzun sesine mantık devreye girmeden önce otomatik olarak inanırsınız. Yapay zeka bu sinirsel kısayolu cerrah hassasiyetiyle hedef alıyor.
Ailenizi güvenli kelime protokolüyle nasıl korursunuz?
Güvenli kelime protokolü (Safe Word), aile üyeleri arasında önceden kararlaştırılan ve yalnızca gerçek acil durumlarda arayanın kimliğini doğrulamak için kullanılan bir kelime ya da ifade. Biri arayıp yakınınızın tehlikede olduğunu iddia ederse, güvenli kelimeyi isteyin. Bilmiyorsa — ses ne kadar ikna edici olursa olsun karşınızdaki kişi dolandırıcıdır.
Aile için etkili bir güvenli kelime nasıl oluşturulur:
Halka açık yaşamınızla hiçbir bağlantısı olmayan bir kelime veya ifade seçin — evcil hayvanınızın adı, sokak adınız veya doğum tarihi olmasın. Örnek: "mavi yakut" veya "dokuzuncu karpuz". Sözlü olarak anlaşın (WhatsApp'a yazmayın), çocuklara ve özellikle yaşlılara öğretin. Kural: Her para veya acil hareket talebi istisnasız bu kelimeden geçmelidir.
Bu protokolün güzel yanı ücretsiz ve mühendislik olarak yapay zekaya karşı dayanıklı olmasıdır. Model sesi klonlayabilir, ama hiç görmediği bir bilgiyi uyduramaz. Dolandırıcı ailenizin tüm halka açık paylaşımlarını toplasa bile, salonda yüz yüze anlaştığınız bir kelimeyi asla bulamaz.
Bu hafta deneyin: Ailenizle bir saat oturun ve iki kelime seçin — biri mali aciliyetler, diğeri "utanç verici bir durumdan kurtulmak" için. Anne babanıza her çağrının, "onların oğlu" ne kadar ağlasa da, güvenli kelime olmadan para isterse dolandırıcılık olduğunu anlatın. Bu tek konuşma binlerce liralık korumaya değer.
Şüpheli bir çağrıdan sonraki ilk dakikalarda ne yapmalısınız?
Çağrıdan sonraki üç dakika içinde şu adımları sırayla uygulayın: Tartışmadan hemen telefonu kapatın, iddia edilen kişiye sizde kayıtlı numarasından (aradığı numaradan değil) doğrudan ulaşın, bankayı arayarak yapılan herhangi bir havaleyi dondurun, sonra yetkili güvenlik birimine bildirin. İlk dakikalardaki hız, paranın geri alınıp alınamayacağını belirler.
Adım 1 — Bağlantıyı kesin ve başka bir kanaldan arayın
Dolandırıcıyla "emin olmak için" konuşmaya devam etmeyin. Her ek saniye ona psikolojik baskı kurma fırsatı tanır. Kapatın, WhatsApp'ı açın veya doğrudan gerçek kişiyi arayın. Cevap vermezse başka bir yakınınızı deneyin. İddia edilen "kaçırma vakalarının" çoğu, sözde kurbana yapılan tek bir aramayla iki dakika içinde ortaya çıkar.
Adım 2 — Kimseyi aramadan önce bankaya bildirin
Herhangi bir miktar gönderdiyseniz, bankanın acil hattını arayın (internet üzerinden değil, kartınızın arkasındaki basılı numarayı kullanın). Transferin Recall (geri çağırma) edilmesini isteyin. Çoğu banka iç havaleleri 24 saat içinde, uluslararası havaleleri birkaç saat içinde iptal edebilir.
Adım 3 — Unutmadan önce çağrı detaylarını kaydedin
Numara, dakikası dakikasına zaman, söylenen tutarlar, duyduğunuz sesler, geçen isimler. Bu ayrıntılar soruşturma için kritiktir. Telefonunuz aramaları kaydediyorsa, kaydı hemen güvenli bir yere kopyalayın.
Adım 4 — Resmi makama bildirin
- Türkiye: Siber suçlar için USOM 112 veya Siber Suçlarla Mücadele 155, ayrıca KOM ve
usom.gov.tr - Suudi Arabistan: "Kollona Amn" uygulaması veya acil durumlar için 911, ardından Ulusal Siber Güvenlik Otoritesi
nca.gov.sa - BAE: Dubai Polisi uygulaması veya
aeCERT.ae - Mısır: İnternet suçlarıyla mücadele yardım hattı 108 veya EG-CERT
- Uluslararası: İnternet üzerinden uluslararası dolandırıcılık için IC3.gov
Dolandırıcılar sizi hedef almadan önce dijital ses ayak izinizi nasıl azaltırsınız?
Ses klonlama için mevcut ham maddeyi azaltmak üzere, hesabınızdaki kamuya açık sesli içeriği kısın, Instagram ve TikTok'ta gizlilik ayarlarını "sadece arkadaşlar" yapın, bilinmeyen numaralardan gelen aramalara "alo" diyerek cevap vermeyin, halka açık WhatsApp gruplarındaki eski ses kayıtlarını silin. Ses örnekleriniz azaldıkça dolandırıcının alanı daralır.
Örnek toplama aramalarına karşı basit bir hile: Dolandırıcılar bilinmeyen numaralardan arayarak "alo, evet, kim arıyor?" cevabınızı kaydeder. Sesli yanıt vermek yerine 3 saniye sessizce bekleyin — otomatik dolandırıcı sistem örnek alamadığı için kapanır. Gerçek arayan önce konuşur. Bu üç saniye sizi otomatik sesli kimlik avı aramalarının yüzde 80'inden korur.
En büyük mesele ailedeki yaşlılar. Seslere en çok onlar güvenir, yapay zekanın neler yapabileceğini en az onlar anlar. Anne babanızla ve büyükannenizle oturun, onlara tanınmış bir kişinin sesinden ElevenLabs örneği dinletin (YouTube'da ücretsiz mevcut). İkna edici bir sesin asla gerçek bir kimlik anlamına gelmediğini onlara somut biçimde gösterin. Bu görsel ders, bin tane yazılı uyarıdan daha etkili olur.
Teknik tarafta, banka hesaplarınızı anlık bildirimlerle izleyin, para bulunan her hesapta çok faktörlü kimlik doğrulamayı aktive edin ve belirli bir limitin üzerindeki havaleler için bankanızla ek bir PIN kullanın. Türkiye ve Körfez bankaları büyük havalelerden önce "gizli soruyla doğrulama" seçeneğini eklemeye başladı — bugün devreye alın.
Şimdi Harekete Geçin
Sevdiklerinizi sadece on dakikada koruyun: Annenizi, babanızı, kardeşlerinizi arayın, bir aile güvenli kelimesi üzerinde anlaşın ve onu hafızanıza yazın (kağıda değil). Sonra Instagram ve TikTok hesabınıza girin ve eski tüm paylaşımları "sadece arkadaşlar"a çevirin. Sadece bu iki adım, şu anda Türk ve Arap ailelerini hedef alan çoğu dolandırıcının yolunu keser.
Sesli dolandırıcılık kaybolmayacak. Araçlar ay be ay ucuzlaşıyor, modeller sürüm be sürüm daha hassaslaşıyor ve dolandırıcılar koruma sistemlerinden daha hızlı öğreniyor. Ama bu zincirdeki tek zayıf halka teknoloji değil — hattın öbür ucundaki insanlar. Yapay zeka sesinizi taklit edebilir, ama salonda anlaştığınız gizli bir kelimeyi bilemez.
Bu hafta inisiyatif alın. Ailenizle tek bir konuşma, gizlilik ayarlarında basit bir değişiklik ve kendinizle şu anlaşma: sesli gelen her para talebi doğrulamadan geçer — bu üç adım, para verdiğiniz hiçbir yazılımdan daha çok korur sizi. Öğrenmeyi asla durdurmayan bir yapay zekanın karşısında, ortak insan zekâmız son savunmamız olarak kalıyor.
Dolandırıcıların başka kanallardan nasıl sızdığını daha derinlemesine anlamak için, tehdit ekosisteminin tamamını anlatan yapay zeka destekli siber saldırılar rehberimizi okuyun.
؟Bir dolandırıcıya telefonda 'evet' dediysem ne yapmalıyım?
Tek başına "evet" kelimesi dolandırıcıya paranızı çekmek için yasal yetki vermez, ama ileride kullanılabilecek bir ses örneğidir. Hemen kapatın, aynı aramayı yanıtlamayın, banka hesaplarınızı 48 saat boyunca izleyin ve kendiniz başlatmadığınız hiçbir işlemi onaylamayın. Sonradan banka sizi ararsa, kartınızın üzerindeki resmi numarayı tekrar arayarak doğrulayın.
؟Yapay zeka kısa bir TikTok videosundan sesimi klonlayabilir mi?
Evet, hem de ürkütücü bir kolaylıkla. 2025 modelleri temiz bir sesten yalnızca 3 saniyeye ikna edici bir kopya üretmek için ihtiyaç duyuyor. 15 saniyelik bir TikTok klibi kullanıma uygun 3-5 örnek içerir. Hesabınız herkese açıksa, sesiniz pratikte herkesin erişimindedir. Çözüm: Hesabı gizliye alın ya da ses yerine altyazılı sessiz içerik üretin.
؟Sesli deepfake ile görüntülü deepfake arasındaki fark nedir?
Sesli deepfake yalnızca ton ve aksanı kısa örneklerle klonlar ve dolandırıcılık aramalarında yaygındır. Görüntülü deepfake kurbanın yüzünü başka bir bedene yerleştirir; daha uzun örnekler ve yüksek işlem gücü ister. Sesli olan günlük hayatta daha tehlikeli çünkü ucuz ve hızlı, görüntülü ise Arup saldırısı gibi büyük operasyonlarda kullanılıyor. İkisi de aynı insani güveni hedef alır.
؟Bankalar sahte sesi tespit edebilir mi?
Bazıları evet, ama yavaşça. Pindrop ve ses güvenliği şirketleri 2024 raporlarına göre yüzde 99 doğrulukla sahteciliği tespit eden sistemler geliştirdi, ama Türkiye ve Körfez bankalarında uygulaması sınırlı. Türkiye, Suudi Arabistan ve BAE'nin büyük bankaları sesli kimlik doğrulamayı tek delil olarak kullanmayı fiilen bıraktı ve büyük havaleler için OTP'yi ikinci bir parolayla birleştirmeye başladı. Sadece bankanın tespitine güvenmeyin.
؟Siber güvenlikte 'sentetik medya' terimi ne anlama geliyor?
Sentetik medya (Synthetic Media), gerçek bir kimliği taklit etmek için yapay zekayla üretilen tüm içerikleri — ses, görsel, video, metin — kapsayan bir terim. Siber güvenlikte 2022'den bu yana en hızlı büyüyen saldırı vektörü, özellikle sosyal mühendislik saldırılarında. Buna karşı savunma insani önlemler (güvenli kelime, çok kanallı doğrulama) gerektirir çünkü teknik sistemler tek başına yetersiz kalıyor.
؟Yaşlı anne babama sahte aramalara karşı dikkatli olmayı nasıl öğretirim?
Somut bir örnekle başlayın: YouTube'da bir ses klonlama klibi izletin, sonra para isteyen herhangi bir aramanın — hatta sizin sesinizle gelse bile — aile güvenli kelimesinden geçmesi gerektiğini anlatın. Şu kural üzerinde anlaşın: "Beni kayıtlı numaramdan aramadan hiçbir havale yok". Kuralı büyük harflerle yazıp telefonun yanına asın. Bir ay boyunca haftalık tekrar alışkanlığı yerleştirir.
؟Sesli deepfake tespit uygulamaları güvenilir mi?
Güvenilirlikleri değişken. Pindrop Pulse ve Reality Defender gibi uygulamalar kurumlar için yüksek doğrulukla çalışıyor ama bireysel kullanıcı için erişilebilir değil. Google mağazasındaki ücretsiz uygulamalar tutarsız sonuçlar veriyor ve çoğu yalnızca reklam. Pratik kural: tek bir teknik araca bel bağlamayın. Aile güvenli kelimesi ve ikinci kanaldan doğrulama, şu an mevcut herhangi bir ses tespit uygulamasından daha güçlü.
؟Yapay zekayla yapılmış ünlü sesli dolandırıcılık örnekleri neler?
En öne çıkan dördü: 2024'te Hong Kong'daki Arup dolandırıcılığı grup deepfake videosuyla 25 milyon dolar, 2023'te Jennifer DeStefano'nun klonlanmış kızının sesiyle kaçırma girişimi, 2020'de BAE banka soygunu sahte CEO aramasıyla 35 milyon dolar, 2019'da İngiliz enerji şirketi dolandırıcılığı 243.000 dolar (belgelenmiş ilk vaka). Ortak nokta: Tek bir kurban, tek bir ikna edici ses ve belirleyici dakikalar.
Kaynaklar ve Referanslar
- CNN — Finans çalışanı sahte CFO ile deepfake görüntülü görüşme sonrası 25 milyon dolar ödedi
- CBS News — Dolandırıcılar sevdiklerinizin sesini taklit etmek için yapay zeka kullanıyor
- FBI İnternet Suçları Şikayet Merkezi (IC3) 2024 Yıllık Raporu
- Pindrop 2024 Ses Zekası ve Güvenlik Raporu
- Forbes — Bir Ses Deepfake'i CEO'yu 243.000 Dolar Dolandırmak İçin Kullanıldı
İlgili Makaleler
Hackerlar Yapay Zekayı Siber Saldırılarda Nasıl Kullanıyor?
Hackerların oltalama, deepfake ve parola kırmada yapay zekayı nasıl kullandığını öğrenin — kendinizi korumanın 5 pratik yolunu keşfedin.
Kimlik Avı (Phishing) Nedir? 7 Belirti + 2026 Korunma Rehberi
Kimlik avı (oltalama) nedir, nasıl anlaşılır? 7 belirti + 8 saldırı türü ile 2026 korunma rehberi. Hesaplarınızı dakikalar içinde ücretsiz güvene alın.
WhatsApp'ın Hacklendi mi? 5 Tehlikeli İşaret ve Hemen Korunma İçin 7 Adım
WhatsApp'ının hacklendiğini gösteren 5 tehlikeli işareti ve hesabını hemen güvence altına alan 7 adımı öğren. Oltalama ve casus yazılımlara karşı kalıcı koruma planı — adımları şimdi uygula