Siber dolandırıcılığın en eski ama hâlâ en etkili yöntemlerinden biri vishingtir. Phishing gibi sahte e-postalarla değil, doğrudan sesli iletişim yoluyla kandırma tekniğine dayanır. Adını “voice” (ses) ve “phishing” (oltalama) kelimelerinin birleşiminden alır.
Yani kısaca vishing, kullanıcıların kişisel veya finansal bilgilerini paylaşmasını sağlamak için yapılan sesli oltalama saldırısıdır.
Vishing Nedir?
Vishing, saldırganların genellikle telefon aramaları yoluyla kurbanı kandırmaya çalıştığı bir dolandırıcılık türüdür.
Saldırganlar, güvenilir bir kurum (örneğin banka, e-Devlet, kargo şirketi, sigorta firması) adına arama yapıyormuş gibi davranır.
Amaç, kullanıcının şu bilgileri paylaşmasını sağlamaktır:
- Kart numarası veya CVV kodu
- T.C. kimlik numarası
- SMS ile gelen doğrulama kodları
- Online bankacılık şifreleri
Bu bilgileri ele geçiren saldırgan, genellikle kısa süre içinde finansal hesaplara erişir veya kimlik hırsızlığı yapar.
Vishing Ne Demek?
“Voice Phishing” ifadesinin kısaltması olan vishing, Türkçede “sesli oltalama” anlamına gelir.
Phishing’in e-posta üzerinden yapılan versiyonu gibi, vishing de psikolojik manipülasyon ve aciliyet hissi yaratma tekniklerine dayanır.
Saldırganın hedefi genellikle şudur:
“Kullanıcıyı paniğe sürükle, güven kazan, bilgiyi al, hemen kullan.”
Bu saldırılar sadece bireylere değil, kurumsal çalışanlara ve müşteri temsilcilerine de yöneltilebilir.
Vishing Saldırısı Nasıl Yapılır?
Vishing saldırıları, genellikle sosyal mühendislik taktiklerinin sesli ortama taşınmış hâlidir. Saldırganlar genellikle üç aşamalı bir plan uygular:
| Aşama | Açıklama | Amaç |
| Hazırlık | Hedefin telefon numarası, müşteri bilgileri veya kurum bilgileri toplanır. | Güven oluşturacak zemin hazırlanır. |
| İkna | Saldırgan, gerçek bir kurum çalışanı gibi davranarak arama yapar. | Kullanıcının şifre, SMS kodu, kart bilgilerini paylaşmasını sağlamak. |
| Eylem | Alınan bilgiler anında kullanılarak hesaplara giriş yapılır. | Finansal kazanç veya kimlik hırsızlığı. |
Vishing Saldırılarında Kullanılan Yaygın Senaryolar
Saldırganlar, genellikle insanın “endişe ve yardım” duygularını hedef alır. Bu duyguyu tetiklemek için önce hedef hakkında bilgi toplarlar: sosyal medya profilleri, sızdırılmış veri tabanları, kamuya açık kayıtlar veya daha önceki müşteri etkileşimleri gibi kaynaklardan hızlıca ayrıntı edinirler.
Ardından sahte bir senaryo (pretext) oluşturup güven duygusu vermek üzere profesyonel bir üslup benimserler — örneğin banka görevlisi, kolluk mensubu veya kurumsal BT personeli taklidi.
Aramanın içeriğinde zaman baskısı, hesap güvenliği tehdidi veya yasal işlem tehdidi gibi unsurlar kullanılarak kurbanın refleksle hareket etmesi sağlanır. Teknoloji de bu sürece yardımcı olur: arayan numaranın gerçek bir kuruma ait gibi görünmesini sağlayan Caller ID spoofing, konuşma kayıtlarından üretilmiş ses taklidi (voice cloning) veya sosyal mühendislikle elde edilen kişisel detayların çağrı sırasında kullanılması inandırıcılığı artırır.
Saldırganlar ayrıca çok kanallı yaklaşımı tercih eder; örneğin önce e-posta veya SMS ile temas kurup güven inşa ettikten sonra telefonla arayarak bilgiyi talep eder. Tüm bu adımların amacı, kurbanı şüphe duymadan anlık olarak hassas bilgileri paylaşmaya yönlendirmektir.
- Banka görevlisi kılığına girme: “Hesabınızdan şüpheli işlem yapıldı, doğrulama için SMS kodunu paylaşır mısınız?”
- Kargo şirketi taklidi: “Teslimat adresinizde hata var, kart bilgilerinizle güncelleme yapmanız gerekiyor.”
- Polis veya savcı araması: “Adınıza dolandırıcılık kaydı açılmış, hesabınızı donduruyoruz.”
- Kurum içi çağrı: “BT departmanıyız, hesabınıza yetkisiz giriş olmuş.”
- Sigorta / sosyal yardım vaadi: “Devlet destekli ödemeden yararlanmak için IBAN bilgilerinizi girmelisiniz.”
Bu tür çağrılarda saldırgan, ses tonunu profesyonel tutarak güven oluşturur ve kurbanın refleksle hareket etmesini sağlar.
Vishing Saldırısının Belirtileri
Bir aramanın sahte olup olmadığını anlamak için şu göstergelere dikkat etmek gerekir:
- Arayan kişi kendini resmî kurum çalışanı olarak tanıtır ama kimlik doğrulaması yapmaz.
- Telefon numarası gizlidir veya kurumun resmî hattıyla uyuşmaz.
- Mesaj aciliyet içerir (“hemen işlem yapın”, “hesabınız bloke olacak”).
- Kişisel bilgi veya SMS kodu talep edilir.
- Arama sırasında arka planda ofis ortamı sesi taklit edilir.
Bu belirtiler, vishing’in en temel sinyalleridir.
Vishing ve Phishing Arasındaki Fark
Phishing ve vishing çoğu zaman karıştırılır, ancak aralarında temel farklar vardır.
| Kriter | Phishing | Vishing |
| İletişim Kanalı | E-posta, SMS veya web siteleri | Telefon aramaları (sesli) |
| Araç | Sahte bağlantılar veya formlar | Sesli iletişim, sahte kimlik beyanı |
| Amaç | Kimlik veya giriş bilgilerini toplamak | Gerçek zamanlı bilgi elde etmek |
| Hedef Kitlesi | Geniş kitleler | Belirli kişi veya kurumlar |
| Tespit Zorluğu | Orta | Daha yüksek (çünkü canlı iletişim) |
Bu fark, vishing’in neden hâlâ etkili olduğunu da açıklar: insanlar, gerçek bir ses duyduklarında “güven” eğilimi gösterirler.
Vishing Saldırılarından Korunma Yöntemleri
1. Asla kişisel bilgileri telefonda paylaşma.
Bankalar, devlet kurumları veya resmi şirketler hiçbir zaman telefonla şifre veya SMS kodu istemez.
2. Arayan numarayı mutlaka kontrol et.
Resmî kurum numaraları genellikle web sitelerinde açıkça listelenir.
3. Arayanın kimliğinden emin olamazsan, telefonu kapat ve kurumu sen ara.
Bu, saldırı zincirini hemen keser.
4. Banka ve ödeme sistemlerinde iki faktörlü doğrulama (2FA) kullan.
Böylece ele geçirilen bilgilerle giriş yapılsa bile işlem tamamlanamaz.
5. Çalışanlara düzenli farkındalık eğitimi ver.
Kurumsal ekipler, vishing aramalarını tanıyabilmek için pratik örneklerle eğitilmelidir.
Kurumsal Ölçekte Vishing Risk Yönetimi
Vishing saldırıları yalnızca bireyleri değil, kurumların müşteri temsilcilerini ve çalışanlarını da hedef alır.
Saldırganlar genellikle:
- Müşteri hizmetleri sistemlerine sızmak,
- Yetkilendirilmiş personelden bilgi almak,
- Kurumun itibarını zedelemek için sahte çağrılar yapmak amacıyla bu yöntemi kullanır.
Bu nedenle kurumsal düzeyde yapılması gerekenler:
- Çağrı merkezi personeline “kimlik doğrulama” protokolleri öğretmek,
- Vishing tespit sistemleriyle konuşma analizi yapmak,
- Risk bazlı fraud tespiti yazılımlarını aktif kullanmak.
Stranas’ın Fraud Risk Yönetimi çözümü, vishing gibi sosyal mühendislik tabanlı saldırıları, davranışsal analizle tespit eder.
Yapay zekâ destekli model, konuşma kalıplarını ve işlem hareketlerini inceleyerek şüpheli durumları anında işaretler.
Vishing Saldırılarını Önlemek İçin En İyi Uygulamalar
| Alan | Önerilen Uygulama | Amaç |
| Kişisel Güvenlik | Şifre ve doğrulama kodlarını asla paylaşmamak | Kimlik hırsızlığını önlemek |
| Kurumsal Eğitim | Çalışanlara vishing senaryoları üzerinden simülasyon eğitimi vermek | Farkındalık artırmak |
| Teknolojik Koruma | Çağrı analizi, ses tanıma, AI tabanlı risk sistemleri | Sahte çağrıları otomatik tespit etmek |
| Veri Doğrulama | Arama yapan kişinin kimliğini kurum içi CRM’den doğrulamak | Yetkisiz erişimi engellemek |
Vishing Hakkında Sıkça Sorulan Sorular
Vishing, telefon aramaları yoluyla kişisel veya finansal bilgilerin ele geçirilmesini amaçlayan sesli oltalama saldırısıdır.
Saldırgan, banka veya kamu kurumu çalışanı gibi davranarak arama yapar, güven kazanır ve kullanıcıdan hassas bilgi ister.
Hemen ilgili kurumla iletişime geçilmeli, kart veya hesap bilgileri değiştirilmeli, dolandırıcılık bildirimi yapılmalıdır.
Phishing e-posta veya web üzerinden, vishing ise sesli arama yoluyla gerçekleştirilir.
Stranas, Fraud Risk Yönetimi çözümüyle çağrı tabanlı dolandırıcılık girişimlerini yapay zekâ destekli analizle tespit eder ve otomatik önleme mekanizması sunar.
Vishing, dijital çağda eski ama hâlâ etkili bir tuzaktır. Sesin yarattığı güven duygusunu kullanan saldırganlar, en dikkatli kullanıcıyı bile yanıltabilir.
Bu nedenle, farkındalık ve teknolojik önlem bir arada kullanılmadıkça tam koruma sağlamak mümkün değildir.
