Acil Ödeme Talebi Neden Alarm Zili Çalmalı?
Muhasebe departmanından Ayşe Hanım’ın e-posta kutusuna düşen mesaj şöyle: “Acil!15 dakika içinde bu hesaba85.000 TL aktarılmalı. CEO’dan gelen direktif, kimseyle paylaşma.” Tam da bu an, şirketinizi milyonlarca liraya mal olabilecek bir saldırının eşiğindesiniz.Şirket içinde “acil ödeme” talebini doğrulama prosedürü oluşturmak, bu tür CEO Fraud (Üst Yönetici Dolandırıcılığı) saldırılarına karşı en kritik savunma hattınız.
2024 yılı verilerine göre Business Email Compromise (BEC) saldırıları, kurumsal dolandırıcılık yöntemleri arasında birinci sırada yer almaya devam ediyor. AFP’nin 2025 raporuna göre şirketlerin %63’ü BEC’i en büyük ödeme dolandırıcılığı tehdidi olarak tanımlıyor. Peki bu saldırılara karşı nasıl bir prosedür oluşturmalısınız?
Hızlı Teşhis: Sahte Acil Ödeme Talebini Tanıma
Hızlı Teşhis: Belirti → Üst yöneticiden beklenmedik, acil ve gizli ödeme talebi | Muhtemel Neden → BEC/CEO Fraud saldırısı | İlk Deneme → Talep sahibini farklı bir iletişim kanalındandoğrula.
Sahte acil ödeme talepleri genellikle şu ortak özellikleri taşır:
- Aşırı aciliyet vurgusu: “Hemen”, “15 dakika içinde”, “bugün kapanmadan”
- Gizlilik talebi: “Kimseyle paylaşma”, “sadece seninle konuşuyorum”
- Hiyerarşi baskısı: CEO, CFO veya yönetim kurulu üyesi kimliğine bürünme
- Standart prosedürü atlama isteği: “Bu sefer onay almadan halledelim”
- Yeni veya farklı banka hesabı: Daha önce kullanılmamışIBAN bilgisi
Kilit Çıkarım: Meşru bir üst yönetici, asla bir çalışanından güvenlik prosedürlerini atlamasını istemez. Bu talep tek başına kırmızı bayrak sayılmalı.
Başlamadan Önce: Prosedür Altyapısı
Gerekenler
- Onaylı iletişim kanalları listesi (telefon, kurumsal e-posta, anlık mesajlaşma)
- Yetki matrisi (hangi tutarda kim onay verebilir)
- Acil durum iletişim zinciri şeması
- Doğrulama formu veya dijital onay sistemi
Ön Koşullar
- Üst yönetimin prosedürü onaylaması ve desteklemesi
- Tüm finans ekibinin eğitim almış olması
- Yedek doğrulama kişilerinin belirlenmesi
- Prosedürün yazılı ve erişilebilir olması
Adım Adım: Acil Ödeme Doğrulama Prosedürü
- Talebi kayıt altına al: E-posta, mesaj veya telefon kaydını sakla. Hiçbir şeyi silme. Ekran görüntüsü al ve zaman damgasını not et.
- İlk değerlendirmeyi yap: Yukarıdaki kırmızı bayrak listesini kontrol et. Tek bir uyarı işareti bile varsa, doğrulama sürecini başlat.
- Farklı kanaldan doğrulama başlat: Talep e-posta ile geldiyse, telefon ile doğrula. Telefon ile geldiyse, yüz yüze veya video konferans ile teyit al. Aynı kanalı kesinlikle kullanma.
- Kayıtlı numaradan ara: Gelen mesajdaki numarayı değil, şirket rehberindeki resmi numarayı kullan. Dolandırıcılar sahte geri dönüş numaraları verebilir.
- Kod kelime sistemi uygula: Önceden belirlenmiş, sadece yetkililerin bildiği birdoğrulama kelimesisor. Bu kelime periyodik olarak değiştirilmeli.
- İkinci onay mekanizmasını devreye sok: Belirli tutarın üzerindeki ödemelerde (örneğin 50.000 TL)iki farklı yöneticiden onay şartı koy.
- Bekleme süresi uygula: Acil görünen talepler için bile minimum 30 dakika – 2 saat bekleme süresi belirle. Gerçek acil durumlar bu süreyi tolere edebilir;dolandırıcılık girişimleri edemez.
- Sonucu belgele: Doğrulama sonucunu (olumlu veya olumsuz) yazılı olarak kaydet. Şüpheli durumları IT güvenlik ekibine bildir.
Pro İpucu: Doğrulama sürecinde “CEO beni azarlar mı?” endişesi yaşama. Prosedürü uygulayan çalışan korunmalı; bu kültürü üst yönetim açıkça desteklemeli.
Yetki Matrisi: Kim Neyi Onaylayabilir?
| Ödeme Tutarı | Birincil Onay | İkincil Onay | Doğrulama Yöntemi |
|---|---|---|---|
| 0- 25.000 TL | Muhasebe Müdürü | Gerekli değil | E-posta + Telefon |
| 25.001 – 100.000 TL | Finans Direktörü | Muhasebe Müdürü | Telefon + Kod kelime |
| 100.001 – 500.000 TL | CFO | CEO veya Yönetim Kurulu Üyesi | Yüz yüze veya video + Kod kelime |
| 500.000 TL üzeri | CEO | Yönetim Kurulu Onayı | Fiziksel toplantı + İmza |
Risk Seviyesi: Yüksek |Uygulama Süresi: 1-2 hafta | Maliyet: Düşük (prosedür ve eğitim maliyeti)
Yaygın Hatalar: Bunları Sakın Yapma
- Aynı e-posta zincirine yanıt verme: Dolandırıcı e-postayı kontrol ediyorsa, yanıtını da görür.
- Gelen mesajdaki telefon numarasını arama: Bu numara dolandırıcıya ait olabilir.
- “Acil” kelimesine refleks tepki verme: Aciliyet, sosyal mühendisliğin en güçlü silahı.
- Prosedürü “bu sefer” atlama: İstisnalar, güvenlik açıkları yaratır.
- Şüpheyi gizleme: “Yanlış alarm çıkarsa ayıp olur” düşüncesi tehlikeli. Bildirmek her zaman doğru.
Mini Senaryo: Şu Durumda Ne Yaparsın?
Senaryo: Cuma günü saat 17:45. CEO’dan geldiği iddia edilen bir WhatsApp mesajı: “Kritik bir satın alma için 175.000 TL’yi şu hesaba aktar. Pazartesi’ye kadar bekleyemez. Finans müdürüne söyleme, sürpriz bir proje.”
Doğru Yaklaşım:
- Mesajı ekran görüntüsü ile kaydet.
- Şirket rehberindeki CEO numarasını ara (mesajdaki numarayı değil).
- Ulaşamazsan, CFO veya yedek yetkiliyi ara.
- Kimseye ulaşamazsan, ödemeyi Pazartesi’ye ertele ve durumu IT güvenliğe bildir.
- “Sürpriz proje” ve “kimseye söyleme” ifadeleri kırmızı bayrak; gerçek bir CEO bu şekilde talimat vermez.
Profesyonel Destek: Ne Zaman Uzman Çağırmalı?
Aşağıdaki durumlarda derhal siber güvenlik uzmanı veya hukuk danışmanı devreye girmeli:
- Gerçekten para transferi yapıldıysa (ilk 24 saat kritik, banka ile hemen iletişime geç)
- E-posta hesabının ele geçirildiğinden şüpheleniliyorsa
- Birden fazla çalışana benzer mesajlar geldiyse
- Müşteri veya tedarikçi bilgilerinin sızdırılmış olabileceği düşünülüyorsa
Doğru Bilinen Yanlışlar
- “Sadece büyük şirketler hedef alınır”: Yanlış. KOBİ’ler daha az güvenlik önlemi nedeniyle sıklıkla hedef oluyor.
- “E-posta adresi doğruysa güvenlidir”: Yanlış. E-posta hesapları hacklenebilir veya adresler taklit edilebilir (spoofing).
- “CEO’yu sorgulamak saygısızlık”: Yanlış. Prosedüruygulamak profesyonellik göstergesi; gerçek liderler bunu takdir eder.
Sıkça Sorulan Sorular
Acil ödeme doğrulama prosedürü ne kadar süredeuygulanabilir?
Temel prosedür 1-2 hafta içinde hayata geçirilebilir. Ancak çalışan eğitimleri ve kültürel adaptasyon 1-3 ay sürebilir. Önemli olan başlamak ve sürekli iyileştirmek.
Kod kelime sistemi nasıl çalışır?
Üst yönetim ve finans ekibi arasında paylaşılan, üçüncü kişilerin bilmediği bir kelime belirlenir. Telefon doğrulamasında bu kelime sorulur. Kelime aylık veya üç aylık periyotlarla değiştirilmeli.
Yanlış alarm durumunda ne olur?
Yanlış alarm, başarılı bir dolandırıcılıktan çokdaha iyidir. Prosedürü uygulayan çalışan asla cezalandırılmamalı. Aksine, dikkatli davranışödüllendirilmeli.
Tedarikçilerden gelen ödeme talebi değişiklikleri de bu prosedüre dahil mi?
Evet. IBAN değişikliği veya yeni hesap bildirimi içeren tüm talepler, tedarikçinin bilinen iletişim kanallarındandoğrulanmalı.
Sonuç
Acil ödeme dolandırıcılığı, teknik bir hack değil; insan psikolojisini hedef alan sosyal mühendislik saldırısıdır. Bu nedenle en gelişmiş güvenlik yazılımları bile tek başına koruma sağlayamaz. Kurumsal düzeyde birdoğrulama prosedürü oluşturmak, çalışanları eğitmek ve “sorgulama kültürü” inşa etmek şart.
Unutmayın: Gerçek bir acil durum, 30 dakikalık doğrulama süresini tolere edebilir. Ama sahte bir acil durum, şirketinize yüz binlerce liraya mal olabilir. Prosedürünüzü bugünoluşturun, yarın test edin ve düzenli olarak güncelleyin.