CEO Dolandırıcılığı (BEC) Nedir, Nasıl Önlenir?

Şirketinizin muhasebe departmanına, CEO'nuzdan geliyormuş gibi görünen bir e-posta düşüyor: "Acil bir ödeme yapılması gerekiyor, bankaya şu hesaba transfer et." Çalışan iyi niyetle talimatı yerine getiriyor — ve para bir daha geri gelmiyor. İşte bu senaryo, FBI'ın "Business E-mail Compromise" (BEC) yani İş E-posta Güvenliği İhlali adını verdiği ve son yıllarda dünya genelinde milyarlarca dolar kayba yol açan dolandırıcılık türünün tipik bir örneğidir.

TL;DR: BEC saldırıları, saldırganların bir şirketin üst yönetimini, tedarikçisini veya iş ortağını taklit ederek e-posta yoluyla sahte para transferi ya da veri paylaşımı talep ettiği sosyal mühendislik saldırılarıdır. SPF, DKIM ve DMARC protokollerini doğru yapılandırmak, çalışan eğitimi ve çok faktörlü doğrulama (MFA) bu tehdide karşı en kritik savunma katmanlarını oluşturur.

BEC Nedir?

BEC (Business E-mail Compromise), saldırganların bir şirket içinde güven duyulan bir kişinin — genellikle CEO, CFO veya finans müdürü gibi üst düzey yöneticinin — kimliğine bürünerek çalışanları, tedarikçileri veya iş ortaklarını kandırdığı sofistike bir dolandırıcılık türüdür. "CEO Dolandırıcılığı" olarak da bilinen bu yöntem, teknik açıdan karmaşık kötü amaçlı yazılımlar içermez; aksine, insan psikolojisini — aciliyet duygusu, otorite baskısı ve gizlilik talepleri — hedef alır.

Amerikan Federal Soruşturma Bürosu (FBI), İnternet Suçları Şikayet Merkezi'nin (IC3) yıllık raporlarında BEC'i sürekli olarak en yüksek mali kayba yol açan siber suç kategorilerinden biri olarak tanımlamaktadır. Saldırılar yalnızca büyük kurumları değil; KOBİ'leri, belediyeleri, üniversiteleri ve kar amacı gütmeyen kuruluşları da hedef almaktadır.

BEC Saldırılarının Türleri

BEC tek tip bir saldırı değil, birkaç farklı senaryoyu kapsayan bir şemsiye terimdir:

Senaryo	Taklit Edilen Taraf	Hedef	Talep
CEO Dolandırıcılığı	Üst düzey yönetici (CEO, CFO)	Finans / muhasebe çalışanı	Acil banka transferi
Tedarikçi Sahtekarlığı	Mevcut tedarikçi veya iş ortağı	Satın alma / muhasebe	Ödeme hesabı güncelleme
Veri Hırsızlığı (HR BEC)	Üst yönetici	İnsan kaynakları	Çalışan verisi / W-2 formu
Avukat Taklidi	Şirket avukatı / hukuk danışmanı	Finans yöneticisi	Gizli işlem için acil ödeme
Gayrimenkul Dolandırıcılığı	Emlak ofisi veya noter	Alıcı / kiracı	Kaparo veya kira ödemesi yönlendirme

Saldırı Nasıl Gerçekleşir?

BEC saldırıları genellikle uzun süreli bir keşif aşamasıyla başlar. Saldırganlar, hedef şirketin kurumsal web sitesini, LinkedIn profillerini ve sosyal medya hesaplarını tarayarak organizasyon yapısını, kilit çalışanları ve tedarikçileri tespit eder. Bu istihbarat toplama aşamasının ardından şu tekniklerden biri devreye girer:

Domain Spoofing (Alan Adı Sahteciliği): Gerçek alan adına çok benzeyen bir sahte domain kaydedilir (örneğin şirketin gerçek adresi ornek.com.tr iken saldırgan örnek.com.tr veya ornek-bilgi.com.tr kullanır). SPF, DKIM ve DMARC doğru yapılandırılmamışsa bu e-postalar gelen kutusuna düşebilir.
Display Name Spoofing (Görünen Ad Sahteciliği): E-posta adresi farklı bir domain üzerinden gönderilir; ancak "Kimden" alanında görünen isim, CEO'nun gerçek adıdır. Mobil istemciler çoğunlukla yalnızca görünen adı gösterdiğinden bu yöntem oldukça etkilidir.
Gerçek Hesap Ele Geçirme (ATO): Phishing veya credential stuffing yoluyla gerçek bir kurumsal e-posta hesabı ele geçirilir. Bu durum en tehlikeli BEC biçimidir çünkü e-postalar meşru bir hesaptan gelir.
Lookalike Domain: Unicode homoglyph saldırıları veya alt domain kötüye kullanımı ile görsel olarak özdeş görünen adresler oluşturulur.

E-posta Kimlik Doğrulama: SPF, DKIM ve DMARC

BEC saldırılarına karşı en temel teknik savunma, e-posta kimlik doğrulama protokollerinin doğru yapılandırılmasıdır. Bu üç protokol birbirini tamamlayacak şekilde tasarlanmıştır:

SPF (Sender Policy Framework — RFC 7208): Domain DNS kaydında hangi IP adreslerinin veya mail sunucularının o domain adına e-posta göndermeye yetkili olduğunu tanımlar. Yanlış yapılandırılmış veya eksik SPF kaydı, saldırganların domaininizi taklit etmesini kolaylaştırır.
DKIM (DomainKeys Identified Mail — RFC 6376): Gönderen mail sunucusu, e-postanın belirli başlıklarını ve gövdesini özel anahtarıyla imzalar. Alıcı sunucu, DNS'te yayımlanan ortak anahtar (public key) ile imzayı doğrular. Bu mekanizma, iletinin aktarım sırasında değiştirilmediğini kanıtlar.
DMARC (Domain-based Message Authentication, Reporting and Conformance — RFC 7489): SPF ve DKIM kontrollerinin sonucuna göre ne yapılacağını (none, quarantine, reject) ve raporların nereye gönderileceğini tanımlayan politika katmanıdır. p=reject politikası, domain sahteciliğine dayanan BEC e-postalarını alıcı sunucuda engeller.

Connect365 gibi kurumsal e-posta altyapıları, SPF, DKIM ve DMARC kayıtlarının otomatik olarak doğru yapılandırılmasına destek sunar. Ancak DMARC politikasını none'dan reject'e yükseltmeden önce DMARC raporlarını analiz etmek ve meşru gönderim kaynaklarının SPF/DKIM kapsamına alındığından emin olmak gerekir.

Türkiye'deki Yasal Çerçeve

BEC saldırıları Türkiye'de çeşitli yasal düzenlemeler kapsamında değerlendirilebilir:

5237 sayılı Türk Ceza Kanunu — Madde 158/1-f: Bilişim sistemlerinin kullanılması suretiyle işlenen dolandırıcılık, nitelikli dolandırıcılık kapsamında değerlendirilir ve ağırlaştırılmış hapis cezası öngörülür.
5237 sayılı TCK — Madde 243-245: Bilişim sistemine izinsiz erişim, sistemi engelleme veya bozma, banka kartı dolandırıcılığı gibi eylemleri ayrıca düzenler.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK): BEC saldırıları sonucu çalışan veya müşteri kişisel verilerinin ifşa edilmesi durumunda, veri sorumlusu şirketin Kişisel Verileri Koruma Kurulu'na bildirim yükümlülüğü doğar (Madde 12). Veri ihlali tespitinden itibaren 72 saat içinde Kurul'a bildirim yapılması esastır.
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun: Ticari elektronik ileti gönderimini düzenler; sahte ticari elektronik iletiler bu kanun kapsamında da değerlendirilebilir.
BTK Siber Olaylar Bildirimi: Kritik altyapı işletmecileri ve belirli sektörlerdeki kuruluşlar, Bilgi Teknolojileri ve İletişim Kurumu'na siber güvenlik olaylarını bildirmekle yükümlüdür.

Önleme Stratejileri

BEC'e karşı tek bir savunma yeterli değildir; katmanlı bir yaklaşım gerekir:

Teknik Kontroller: DMARC politikasını p=reject olarak yapılandırın. E-posta gateway'inizde harici kaynaklı e-postalara "[DIŞ]" gibi bir uyarı etiketi ekletin. Anti-spoofing ve anti-phishing filtrelerini etkinleştirin. Hesap ele geçirmeyi önlemek için tüm kurumsal hesaplarda çok faktörlü kimlik doğrulama (MFA) zorunlu kılın.
Süreç Kontrolleri: Belirli bir eşiğin üzerindeki (örneğin 10.000 TL) her banka transferini, alternatif bir kanal (telefon, yüz yüze onay) üzerinden ikinci bir yetkili kişinin onayına bağlayın. Tedarikçilerin banka hesap bilgileri değiştiğinde mutlaka bilinen bir telefon numarasıyla doğrulama yapın. Aciliyet ve gizlilik içeren taleplere karşı çalışanlara şüpheyle yaklaşmaları için yetki verin.
Eğitim ve Farkındalık: Düzenli simülasyon tabanlı phishing/BEC tatbikatları düzenleyin. Çalışanlara "aciliyeti" sorgulama ve doğrulama kültürü kazandırın. Sosyal mühendislik senaryolarını içeren interaktif eğitim modülleri kullanın.
İzleme ve Yanıt: DMARC aggregate ve forensic raporlarını düzenli olarak inceleyin. E-posta güvenlik çözümlerinin uyarılarını aktif olarak takip edin. Olay müdahale planınızda BEC senaryosunu ayrıca ele alın.

Bir BEC Saldırısıyla Karşılaştığınızda Ne Yapmalısınız?

Para transferi gerçekleştikten sonra harekete geçmek için çok geç olmayabilir. Saatler içinde alınan aksiyonlar paranın geri kazanılmasını mümkün kılabilir:

Derhal bankanıza ulaşın ve transferin durdurulmasını veya geri çekilmesini talep edin.
Türkiye için Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Dairesi'ne (EGM) ve Cumhuriyet Savcılığı'na suç duyurusunda bulunun.
BTK'nın siber olay bildirim mekanizmasını kullanın.
Kişisel veri ihlali söz konusuysa KVKK Madde 12 uyarınca 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapın.
Olayın teknik analizini yapın; saldırganın hangi hesabı ele geçirdiğini, hangi bilgilere eriştiğini ve ne kadar süredir içeride olduğunu belirleyin.
Etkilenen tüm paydaşlara (müşteriler, tedarikçiler) bilgi verin.

Sık Sorulan Sorular

BEC ile phishing (oltalama) arasındaki fark nedir?

Phishing genellikle geniş kitlelere gönderilen sahte bağlantılar veya ekler içeren e-postalarla kimlik bilgisi çalmayı hedefler. BEC ise belirli bir şirketi ve kişiyi hedef alan, çoğunlukla kötü amaçlı bağlantı veya ek içermeyen, sosyal mühendisliğe dayanan hedefe yönelik (spear) bir saldırıdır. Bu nedenle geleneksel antivirüs veya spam filtrelerinden daha kolay kaçabilir.

DMARC kaydım varsa BEC saldırısına uğrayamaz mıyım?

DMARC, domain spoofing'e dayanan BEC türlerini büyük ölçüde engeller. Ancak saldırganlar gerçek kurumsal hesabı ele geçirirse (Account Takeover) veya çok benzer bir lookalike domain kullanırsa DMARC tek başına yeterli değildir. Bu nedenle teknik, süreç ve insan katmanlarının bir arada uygulanması gerekir.

Küçük işletmeler de BEC hedefi olur mu?

Evet. Saldırganlar, büyük şirketlere kıyasla daha az güvenlik altyapısına sahip olduğunu düşündükleri KOBİ'leri bilinçli olarak hedef alabilir. Ayrıca büyük şirketlerin tedarik zincirinde yer alan küçük işletmeler, o büyük şirkete sızmak için bir köprü olarak kullanılabilir.

BEC e-postasını nasıl tanıyabilirim?

Tipik işaretler şunlardır: olağandışı aciliyet ve gizlilik vurgusu, CEO'nun normal iletişim kanalı yerine kişisel e-posta adresi kullanması, görünen ad ile gerçek e-posta adresinin uyuşmaması, banka hesap numarasının son dakika değiştirilmesi talebi ve "bu konuyu kimseyle paylaşma" gibi ifadeler.

Çalışanlarıma BEC farkındalığı için hangi eğitimi vermeliyim?

Simülasyon tabanlı BEC tatbikatları en etkili yöntemdir. Çalışanlara gerçekçi senaryolar üzerinden "e-postanın başlık bilgilerini kontrol etme", "alternatif kanaldan doğrulama" ve "aciliyet hissine kapılmadan önce durup düşünme" gibi davranışsal refleksler kazandırılmalıdır. Ayrıca e-posta istemcisinde "Yanıtla" tuşuna basmadan önce gerçek e-posta adresini kontrol etmek için görünen adın ötesine bakmaları öğretilmelidir.

Bir BEC saldırısında kaybettiğimiz parayı geri alabilir miyiz?

Banka transferleri genellikle hızlı gerçekleşir ve tersine çevrilmesi zordur. Ancak transfer birkaç saat içinde fark edilirse banka aracılığıyla "geri çekme talebi" (recall) gönderilebilir. Alıcı banka iş birliği yaparsa para geri alınabilir. Siber suç sigortası (Cyber Liability Insurance) bu tür kayıpları kısmen karşılayabilir. Türkiye'de EGM Siber Suçlarla Mücadele Dairesi'ne yapılan hızlı bildirim, uluslararası kanallar üzerinden alıcı hesabın dondurulmasını kolaylaştırabilir.

CEO e-postasına gelen cevabı kontrol etmek için ne yapmalıyım?

E-postanın başlık bilgilerini (e-posta istemcisinde "Tüm başlıkları göster" seçeneği) inceleyerek "Return-Path", "Received" ve "Reply-To" alanlarının beklenen domain ile uyuşup uyuşmadığını kontrol edin. Şüphe duyduğunuzda doğrulama için aynı e-posta zinciri yerine yeni bir e-posta veya telefon görüşmesi kullanın.

KVKK kapsamında BEC saldırısı sonrası hangi yükümlülüklerimiz var?

Eğer saldırı sonucunda kişisel veri (çalışan bilgileri, müşteri verileri vb.) ifşa olduysa, 6698 sayılı KVKK'nın 12. maddesi ve Kişisel Verileri Koruma Kurulu'nun 2019/10 sayılı Kişisel Veri İhlali Bildirimi Rehberi uyarınca ihlalden haberdar olunmasından itibaren en geç 72 saat içinde Kurul'a bildirim yapılması zorunludur. Ayrıca etkilenen veri sahiplerine de makul süre içinde bildirim yapılması gerekir.

E-posta güvenlik çözümleri BEC'e karşı yeterli midir?

E-posta güvenlik geçitleri (SEG) ve yapay zeka destekli anomali tespit sistemleri BEC riskini azaltabilir; ancak tek başına yeterli değildir. Özellikle gerçek hesap ele geçirme senaryolarında davranışsal analiz araçları (UEBA) devreye girmelidir. Teknik önlemler, süreç kontrolleri ve çalışan eğitiminin birlikte uygulandığı katmanlı bir güvenlik mimarisi en etkili yaklaşımdır.

BEC saldırısını kime bildirmeliyim?

Türkiye'de birden fazla kuruma bildirim yapılması önerilir: (1) Bankaya derhal ulaşarak transferin durdurulması talep edilmeli, (2) Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı'na (www.sibergüvenlik.gov.tr) veya en yakın Cumhuriyet Savcılığı'na suç duyurusunda bulunulmalı, (3) BTK'nın Siber Olayları Bildirimi mekanizması kullanılmalı, (4) Kişisel veri ihlali varsa KVKK Kurulu'na bildirim yapılmalıdır.

Kaynaklar ve İleri Okuma

FBI IC3 — Business E-mail Compromise Kamu Duyurusu — FBI İnternet Suçları Şikayet Merkezi'nin BEC tehdit tanımı, istatistikler ve korunma önerileri içeren resmi sayfası.
RFC 7489 — DMARC (Domain-based Message Authentication, Reporting, and Conformance) — DMARC protokolünün IETF tarafından yayımlanan resmi teknik spesifikasyonu.
KVKK — Kişisel Veri İhlali Bildirimi Rehberi — Kişisel Verileri Koruma Kurumu'nun veri ihlali durumunda bildirim yükümlülüklerini açıklayan resmi rehber sayfası.
RFC 7208 — SPF (Sender Policy Framework) — SPF protokolünün IETF tarafından yayımlanan güncel teknik standardı.
CISA — Business Email Compromise — ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın BEC tehditleri hakkında kapsamlı rehber ve kaynakları.
BTK — Siber Güvenlik Portalı — Bilgi Teknolojileri ve İletişim Kurumu'nun Türkiye'deki siber güvenlik mevzuatı, olay bildirimi ve rehberlerine erişim noktası.

CEO Dolandırıcılığı (BEC) Nedir, Nasıl Önlenir?

CEO Dolandırıcılığı (BEC) Nedir, Nasıl Önlenir?

BEC Nedir?

BEC Saldırılarının Türleri

Saldırı Nasıl Gerçekleşir?

E-posta Kimlik Doğrulama: SPF, DKIM ve DMARC

Türkiye'deki Yasal Çerçeve

Önleme Stratejileri

Bir BEC Saldırısıyla Karşılaştığınızda Ne Yapmalısınız?

Sık Sorulan Sorular

BEC ile phishing (oltalama) arasındaki fark nedir?

DMARC kaydım varsa BEC saldırısına uğrayamaz mıyım?

Küçük işletmeler de BEC hedefi olur mu?

BEC e-postasını nasıl tanıyabilirim?

Çalışanlarıma BEC farkındalığı için hangi eğitimi vermeliyim?

Bir BEC saldırısında kaybettiğimiz parayı geri alabilir miyiz?

CEO e-postasına gelen cevabı kontrol etmek için ne yapmalıyım?

KVKK kapsamında BEC saldırısı sonrası hangi yükümlülüklerimiz var?

E-posta güvenlik çözümleri BEC'e karşı yeterli midir?

BEC saldırısını kime bildirmeliyim?

Kaynaklar ve İleri Okuma

Kurumsal e-postaya ₺99'a geçin