Telefonla Arayan Dolandırıcılar Kod İsterse Ne Yapılmalı?
Hat açılır, karşı taraf kendini tanıtır: bankanızın müşteri temsilcisi, e-posta servis sağlayıcısı, e-Devlet destek hattı. Ses tonu profesyonel, söylem endişe verici ama yapıcı — hesabınızda şüpheli bir giriş denemesi tespit ettiklerini, sorunu çözmek için birkaç dakikanıza ihtiyaçları olduğunu söylüyorlar. Aramayı beklemiyordunuz, ama anlattıkları senaryo gerçekmiş gibi hissettiriyor.
Bu noktada istenen şey çoğunlukla tek bir şeydir: az önce telefonunuza gelen doğrulama kodu. "Güvenliği doğrulamak için", "işlemi onaylamak için" ya da "kaydınızı koruma altına almak için" — gerekçe değişiyor, talep değişmiyor.
Bu isteğin arkasında kurumsal bir yapı değil, hesabınıza erişmek isteyen biri var. Aramanın nasıl çalıştığını, bu baskı altında karar almanın neden zorlaştığını ve ne yapılması gerektiğini anlamak, bu tür girişimleri tanımayı önemli ölçüde kolaylaştırıyor.
Arama, kurumsal güven atmosferini taklit ederek başlar
Telefon dolandırıcılığının etkili olmasının temel nedeni, aramanın başında güven ortamının hızla kurulmasıdır. Gerçek bir çağrı merkezini andıran unsurlar — kısa bekleme müziği, standart açılış cümlesi, kurumun tam adı, hatta bazen isminiz — bu aramalarda da kullanılıyor. Sesli menü sistemleri taklit ediliyor, bekleme süreleri simüle ediliyor, görüşmeyi yapan kişi kendini çalışan numarası gibi ayrıntılarla tanıtıyor.
Bu çerçeveyi kurmak teknolojik olarak karmaşık değil. Arayan numara, gerçek kurumun numarasına yakın ya da birebir aynı görünecek şekilde manipüle edilebiliyor. Buna numara sahtekârlığı deniyor; ekranınızda tanıdık bir numara görünce aramanın güvenilir olduğunu düşünmek doğal bir tepki, ama bu görüntü manipüle edilmiş olabilir. Numaranın gerçek göründüğü, aramanın güvenilir olduğu anlamına gelmiyor.
Doğrulama kodunun isteneceği an hemen gelmez. Önce senaryo oturtulur: hesabınızda anormal bir hareket var, sistemde bir sorun tespit edildi, kimliğinizi doğrulamazsanız hesabınız geçici olarak kısıtlanabilir. Bu çerçeve aynı anda iki şey yapıyor: sizi yardım almaya hazırlıyor ve bir an için panikle karar almaya itiyor. İkisi birlikte çalışınca dikkat aralığı daralıyor.
Aciliyet ve baskı karar verme sürecini kısaltıyor
Telefon görüşmesinde doğrudan bir zaman baskısı var: biri bekliyor, siz cevap vermeniz bekleniyor, konuşmayı sürdürmek için adım atmanız gerekiyor. Bu dinamik, e-posta ya da mesaj tabanlı girişimlerden farklı. Bir e-postayı bırakabilirsiniz, sitenin adresini kontrol edebilir, duraksayabilirsiniz. Telefonda ise anlık bir karar baskısı oluşuyor ve bu baskı, dikkatli değerlendirme için gereken süreci fiilen ortadan kaldırıyor.
Dolandırıcılar bu dinamiği bilerek kullanıyor. "Kodun geçerlilik süresi kısa, hemen paylaşmanız gerekiyor" ya da "işlem birkaç saniye içinde otomatik olarak ilerleyecek" gibi ifadeler aciliyeti yapay biçimde artırıyor. Bu baskı altında, alışkanlıkla güvendiğiniz sezgiler devreye giriyor: telefonu açtığınız için zaten bir etkileşime girdiniz, karşı taraf bilgilerinizi biliyor gibi görünüyor, durumu bir an önce çözmeyi istiyorsunuz.
Karar almayı zorlaştıran bir başka etken de tereddütü dile getirmeme eğilimi. Karşıdaki kişi güven verici davranıyorken şüphe duyduğunuzu söylemek garip hissettiriyor. Bu sosyal dinamik de sürecin hesaplanmış bir parçası. Profesyonel görünen birine "kodu vermeyeceğim" demek bir an için çok sert gelebilir — ama bu adım tam olarak doğru olan adım.
Hiçbir kurum telefonda doğrulama kodu talep etmiyor
Bu noktada istisnası olmayan bir kural var: bankalar, e-posta sağlayıcıları, sosyal medya platformları, e-Devlet sistemleri — hiçbiri sizi arayıp doğrulama kodu ya da tek kullanımlık şifre istemez. Bu kodlar yalnızca siz bir işlem başlattığınızda size gelir ve yalnızca siz girersiniz. Bir kurumun bu kodu sizden talep etmesi zaten anlamsız: eğer kurum hesabınıza erişebiliyorsa doğrulama koduna ihtiyacı yok; erişemiyorsa telefon araması bu sorunu çözmez.
İki aşamalı doğrulama bu senaryoyu düşününce daha net anlaşılıyor. Sisteme giriş deneyen kişi önce kullanıcı adı ve şifrenizi biliyor, ardından ikinci faktörü geçmek için telefonunuza gelen kodu istiyor. Bu kodun size gelmesi, o kişinin şifrenizi ele geçirdiği ama henüz içeri giremediği anlamına geliyor. Kodu paylaşırsanız bu son engel de ortadan kalkıyor ve giriş tamamlanıyor.
Dolandırıcının elindeki bilgi seti çoğunlukla şöyle oluşuyor: e-posta adresiniz, şifreniz ya da belirli bir platformdaki hesap bilgileriniz bir veri sızıntısından ya da önceki bir girişimden elde edilmiş. Bu bilgi iki aşamalı doğrulamayı geçmek için tek başına yeterli değil. Eksik olan tek parçayı almak için sizi arıyorlar.
Kodu paylaşmak hesaba doğrudan erişim kapısı açıyor
Doğrulama kodu paylaşıldığında ne olduğunu somutlaştırmak önemli. O kod, sisteme giriş denemesini gerçekleştiren kişi tarafından girilir ve hesabınız açılır. Buradan itibaren olan her şey — e-postanızdaki şifre sıfırlama bağlantılarına erişim, hesap bilgilerinin değiştirilmesi, diğer platformlara sıfırlama isteği gönderilmesi — saniyeler içinde gerçekleşebilir. Siz henüz telefonu kapatmamışken işlem çoktan tamamlanmış olabilir.
Bu süreç kimlik avı saldırılarının telefon üzerinden yürütülen bir versiyonu olarak düşünülebilir. Fark, sahte bir sayfaya bilgi girmek yerine sese yanıt vermenizde. Psikolojik mekanizma aynı; güven ortamı kurulur, aciliyet oluşturulur, bilgi elde edilir.
E-posta hesabına erişim özellikle kritik çünkü e-posta çoğu platformda kurtarma mekanizması olarak işliyor. Biri e-posta hesabınıza girdiğinde diğer platformlarınızda "şifremi unuttum" akışını başlatabilir ve siz fark etmeden birden fazla hesap ele geçirilebilir. Bu zincirin nasıl çalıştığını e-posta hesabı güvenliği yazısında ayrıntılı bulabilirsiniz. Kodu paylaştıktan sonra hesabınızın ele geçirildiğini fark ettiğinizde hâlâ giriş yapabiliyorsanız atılacak ilk adımlar için şifrem çalındıysa ne yapmalıyım yazısı yol gösterici bir başlangıç noktası.
Aramayı kesin, kurumu siz arayın
Bu tür bir aramayla karşılaştığınızda uygulanabilecek tek güvenilir yöntem şu: görüşmeyi sonlandırın ve kurumu resmi kanalından siz arayın. Bunun için kurumun web sitesindeki ya da kartın arkasındaki iletişim numarasını kullanın — aramanın içinden verilen hiçbir numarayı değil. Bu adım basit görünüyor ama bütün denklemi değiştiriyor: yönlendirme kontrolü artık sizde.
Gerçek bir temsilci, hesabınızda böyle bir uyarı olmadığını söyleyecektir. "Az önce aramıştık" diye bir kayıt bulamayacaktır. Gerçek kurumun temsilcisi aramayı kendiniz yapmanızdan memnun olacak, şüphelenmenizi doğru bulacaktır. Dolandırıcı ise tam tersi davranır: ısrar eder, zorlama yapar, bazen endişeli ya da kızgın bir tona geçer. Bu tepkinin kendisi de bilgi veriyor.
Aramayı kesmek sosyal açıdan garip hissettiriyor olabilir. "Resmi görünen birine kapıyı kapattım" düşüncesi o an için rahatsız edici. Pratikte ise bu tam olarak yapılması gereken şey. Meşru bir kurum, sizi koda zorlamaz; arama yapmadan önce düşünme fırsatı vermeyen her senaryo, bir şeylerin yanlış olduğunun işareti.
Telefon araması güven sinyali değil, bir iletişim kanalıdır. Bu kanalda kim olduğunu kanıtlamak neredeyse imkânsız çünkü ses tonu, numara görüntüsü ve senaryo taklit edilebilir. Doğrulama kodu talep eden her aramada, bu kodu elde etmeye çalışan biri olduğunu varsaymak hem mantıklı hem de sizi koruyan bir tutum.
Kurumlar bu bilgiyi zaten sizden öğrenmeden biliyor. Hesabınızda gerçekten kritik bir sorun varsa sizi telefona bağlayıp bir kod istemek yerine e-posta bildirimi, uygulama uyarısı ya da güvenli mesaj kanalı kullanırlar. Telefon araması üzerinden kod paylaşımına dayanan hiçbir işlem meşru bir kurumun standart prosedürünün parçası değil.