Fake Mail Saldırı Senaryosu Nedir?
Nisan 9, 2026
Siber tehditlandscape’inde en yıkıcı finansal kayıplara yol açan saldırı türlerinden biri, teknik bir zafiyetten değil, insan psikolojisinin ustaca manipülasyonundan besleniyor: CEO Fraud, diğer adıyla Business Email Compromise (BEC). Bu saldırılarda saldırganlar, kurumun üst düzey yöneticilerini taklit ederek çalışanlara sahte e-postalar gönderir; acil para transferi talepleri, hassas veri paylaşımı veya tedarikçi bilgisi güncellemesi gibi kritik aksiyonlar talep eder. Geleneksel phishing kampanyalarından çok daha hedefli, kişiselleştirilmiş ve ikna edici olan bu senaryolar, güvenlik duvarlarını aşmak için teknolojiyi değil, otorite algısını ve aciliyet duygusunu kullanır. Bu yazıda, CEO fraud saldırılarının nasıl kurgulandığını, en yaygın varyasyonlarını ve kurumların bu sofistike tehdide karşı nasıl proaktif savunma katmanları inşa edebileceğini profesyonel bir perspektifle ele alacağız.
CEO Fraud Nedir ve Neden Geleneksel Phishing'den Farklıdır?
CEO Fraud (Chief Executive Officer Fraud), saldırganların kurum yöneticilerinin kimliğini taklit ederek, genellikle finans, insan kaynakları veya satın alma departmanlarındaki çalışanlara yönelik gerçekleştirdiği hedefli sosyal mühendislik saldırısıdır. Geleneksel toplu phishing kampanyalarından ayrışmasının temel sebepleri şunlardır:
- Yüksek Derecede Kişiselleştirme (Spear Phishing): Saldırganlar, hedef yöneticinin imza bloğu, yazım tarzı, toplantı takvimi ve hatta dil tercihleri gibi detayları OSINT (Açık Kaynak İstihbaratı) ile araştırır. E-posta, “genel bir uyarı” değil, kişiye özel bir talimat gibi görünür.
- Otorite ve Aciliyet Psikolojisi: “Bu talebi gizli tutun”, “30 dakika içinde yapılmalı”, “Yönetim Kurulu onayı bekleniyor” gibi ifadeler, çalışanın prosedürleri sorgulama refleksini baskılar ve itaat kültürünü istismar eder.
- Teknik Olarak İnce Ayarlı Altyapı: Saldırganlar, benzer domainler (`sirket.com` yerine `sirket-destek.com`), spoofing teknikleri veya ele geçirilmiş yönetici hesapları üzerinden gönderim yaparak teknik kontrolleri atlatır. DMARC/SPF kayıtlarının zayıf yapılandırılması bu süreci kolaylaştırır.
- Düşük Hacim, Yüksek Etki: Binlerce kişiye gönderilen spam kampanyalarının aksine, CEO fraud genellikle 3-5 kişiye yönelik yürütülür. Bu durum, anomali tespit sistemlerinin radarına girmeyi zorlaştırır.
Bu yapısal farklılıklar, CEO fraud savunmasının yalnızca e-posta filtrelerine değil; çalışan farkındalığı, prosedür disiplini ve çok katmanlı doğrulama mekanizmalarına dayanması gerektiğini ortaya koyar.
En Yaygın CEO Fraud Senaryoları ve Saldırı Vektörleri
Siber güvenlik araştırmaları ve gerçek dünya olay analizleri, CEO fraud saldırılarında tekrar eden aşağıdaki senaryo kalıplarını ortaya koymaktadır:
- Acil Para Transferi Talebi (WireTransferFraud): Finans departmanına gönderilen e-postada, “gizli bir satın alma”, “acil tedarikçi ödemesi” veya “yurt dışı yatırım” gerekçesiyle hızlı havale talebi iletilir. Sahte fatura veya sözleşme ekleri, talebin inandırıcılığını artırır.
- Çalışan Verisi ve Maaş Bilgisi Sızıntısı (HRImpersonation):İnsan kaynakları personeline, “üst yönetim onaylı” sahte bir taleple çalışan maaş listeleri, kimlik fotokopileri veya banka hesap bilgileri istenir. Ele geçirilen veriler, kimlik hırsızlığı veya ikinci aşama saldırılarda kullanılır.
- Tedarikçi Bilgisi Güncelleme Dolandırıcılığı (VendorEmailC ompromise): Satın alma ekibine, “tedarikçi banka hesabımız değişti” başlıklı sahte bir bildirim gönderilir. Ödemeler, saldırganın kontrolündeki hesaplara yönlendirilir ve geri dönüşü genellikle imkansız olur.
- Hediye Kartı veya Ön Ödeme Talebi (GiftCardFraud): Yönetici taklidiyle, “müşteri ilişkileri” veya “ekip motivasyonu” gerekçesiyle iTunes, Google Play veya Amazon hediye kartı kodları istenir. Küçük tutarlı ama yüksek adetli bu talepler, fark edilmeden tekrarlanabilir.
- Yönetim Kurulu veya Hukuk Taklidi (Executive/LegalImpersonation):“Avukatımız acil görüşmek istiyor”, “Yönetim Kurulu gizli kararı” gibi senaryolarla çalışanlar, prosedür dışı aksiyon almaya veya hassas doküman paylaşmaya yönlendirilir.
CEO Fraud Savunma ve Test Süreçlerinin Kurumsal Katkıları
Proaktif CEO fraud testleri ve farkındalık çalışmaları, kurumlar açısından operasyonel ve stratejik düzeyde çok katmanlı değer yaratır:
- Finansal Kayıp ve İtibar Riskinin Proaktif Önlenmesi: BEC saldırıları, ortalama 125.000$’ın üzerinde finansal kayba yol açabiliyor. Senaryo bazlı testler, bu riski üretim ortamına ulaşmadan tespit ederek milyonluk zararı önler.
- Prosedür Disiplininin ve Raporlama Kültürünün Güçlenmesi: “Şüpheli talep mi aldınız? Dur, düşün, doğrula” prensibi, çalışan davranışlarına yerleşir. Acil durum onay süreçleri ve çoklu imza mekanizmaları sahada test edilerek olgunlaştırılır.
- Regülatör ve Denetim Uyumluluğunun Desteklenmesi: KVKK, SOX, PCI DSS ve ISO 27001 gibi standartlar, finansal onay süreçleri ve personel farkındalık eğitimlerinin etkinliğini ölçmeyi talep eder. Test raporları, bu gerekliliklerin nesnel kanıtı niteliğindedir.
- Olay Müdahale Süreçlerinin Gerçekçi Validasyonu: Sahte CEO fraud senaryoları, güvenlik ekibinin alarm tepki süresini, iletişim akışını ve kriz yönetimi yetkinliğini gerçekçi koşullarda ölçer.
CEO Fraud Risklerini Azaltmak İçin Savunma Stratejileri
Test bulgularını kalıcı güvenlik iyileştirmelerine dönüştürmek için aşağıdaki stratejik önlemler benimsenmelidir:
- Finansal Onay Süreçlerinde Çoklu Doğrulama: Para transferi, tedarikçi değişikliği veya hassas veri paylaşımı gibi kritik aksiyonlar, en az iki farklı kanal üzerinden (e-posta + telefon + onay platformu) doğrulanmalıdır. “Acil” talepler bile bu kuraldan muaf tutulmamalıdır.
- Yönetici İletişiminde Standart Protokoller: Üst yönetim, finansal veya hassas taleplerde her zaman şirket içi onay platformunu kullanmalı, e-posta ile doğrudan talimat vermemelidir. Bu kural, çalışan eğitimlerinde net şekilde vurgulanmalıdır.
- E-posta Güvenliği ve Kimlik Doğrulama Zorunluluğu: Tüm dış kaynaklı e-postalar için kimlik doğrulama (BIMI, MTA-STS) uygulanmalı, şüpheli gönderenler için otomatik uyarı banner’ları gösterilmelidir. Yönetici hesaplarında MFA zorunlu kılınmalı ve oturum izleme aktif edilmelidir.
- Güvenlik Kültürü ve Pozitif Pekiştirme: Phishing simülasyonunda “yakalanan” çalışanlar ayıplanmak yerine, “teşekkür ederiz, bu sayede sistemimizi güçlendirdik” mesajıyla motive edilmelidir. Korku değil, güven ve öğrenme kültürü inşa edilmelidir.
- Liderlik Desteği ve Örnek Davranış: CEO ve üst yönetimin güvenlik prosedürlerine uyumu, çalışanlar üzerinde en güçlü davranış modelidir. “Güvenlik herkesin sorumluluğu” mesajı, liderlik tarafından somut eylemlerle desteklenmelidir.
CEO fraud, siber güvenliğin en insani ve en maliyetli cephesidir. Teknik kontroller ne kadar güçlü olursa olsun, bir çalışanın otorite algısı, aciliyet refleksi veya yardımseverliği doğru kurgulanmış bir manipülasyonla istismar edilebilir. Yetkili CEO fraud simülasyonları, bu riski proaktif şekilde yönetmenin, güvenlik kültürünü ölçmenin ve savunma katmanlarını insan odaklı güçlendirmenin en etkili yoludur. Kurumlar, bu testleri “çalışanları tuzağa düşürmek” için değil, “birlikte daha dirençli olmak” için benimsediğinde, güvenlik bir engel değil; sürdürülebilir b aşarının temel taşı haline gelir. Unumayalım: En güçlü güvenlik duvarı, bilinçli, empowered ve prosedürlere sadık bir çalışma ekibidir.