Türkiye Biyometrik Doğrulamayı Zorunlu Kılıyor; Saldırganlar Çoktan Bu Katmanı Zaten Aşmadı mı?
Geçtiğimiz günlerde Türkiye’de para transferlerinde biyometrik doğrulama zorunluluğunun geleceğine dair haberler finans ekosisteminde geniş yer buldu.
Kullanıcı doğrulamasını güçlendirmek ve özellikle yüksek tutarlı işlemleri güvence altına almak açısından bu adım elbette önemli; ancak tartışmanın konuşulmayan bir boyutu var: Küresel sahnede teknolojik olarak geride kalmış bir modelin peşinden gidiliyor.. Dünya artık sadece “yüz tarama” veya “parmak izi doğrulama” gibi fiziksel biyometriyi yeterli görmüyor; çünkü deepfake’ler, ses klonlama ve cihaz ele geçirme (warm device takeover) gibi yeni saldırı teknikleri bu yöntemleri tek katmanlı uygulandığında kolaylıkla aşabiliyor. İlginç olan, 2005’lerde akademik literatürde tartışılmaya başlayan davranışsal biyometri —yani kullanıcının cihazı tutuş şekli, menü geçiş ritmi, dokunma paterni gibi davranış bazlı imzalar— bugün yeniden merkezde ve modern güvenlik mimarisinin esas bileşeni haline gelmiş durumda. Kısacası Türkiye’de gündeme gelen düzenleme, niyeti doğru olsa da artık saldırı vektörlerinin çok gerisinde duran bir güvenlik paradigmasını temel alıyor.
Dünyadaki Trend Ne, Kanun Neden Yetersiz Kalacak?
2024–25 raporlarına göre kimlik dolandırıcılığı artık büyük ölçüde “fraud-as-a-service” platformları üzerinden, sentetik kimlik, deepfake ve otomasyona dayalı kit’lerle geldiği belirtiliyor. Entrust’un 2025 Identity Fraud Report’u FaaS, sentetik kimlik ve deepfake tabanlı saldırıların ana akım hale geldiğini açıkça söylüyor. https://www.entrust.com/sites/default/files/documentation/reports/2025-identity-fraud-report.pdf
Thompson Reuter’a göre hazır panel + çalıntı kimlik paketi + phishing kitleri darkweb’de SaaS ürün gibi hazır şekilde satılabiliyor. https://www.thomsonreuters.com/en-us/posts/corporates/faas-new-fraudsters/
Diğer yandan LLM destekli sosyal mühendislik yani deepfake, AI scam önemli bir fraud türü haline geldi. Europol operasyonunda 80+ ülkeden 40 bin aktif sim ve 50 milyon fake hesapla phishing, smishing yapılmaya hazır bir sistem tespit edilmişti https://www.itpro.com/security/cyber-crime/europol-takes-down-sim-farm-network-scammed-thousands
Tüm bunlar bize şunu söylüyor: fraud artık bir zeki hacker işi olmaktan çıktı, LLM destekli iyi yazılmış metin/görseller, sim farmlar, bot ağları, çok sayıda ama küçük ve akıllı denemelerle soygunlar ortada.
Sentetik kimlik ise konunun başka bir boyutu. Gerçek bir kimlik verisinin sahte detaylarla birleşip sözde kişiler yaratması hadisesi yaygınlaşıyor. https://www.eccu.edu/blog/the-rise-of-synthetic-identity-fraud-how-cybercriminals-exploit-ai
Hazır paket olarak bu sentetik kimlikler satılıyor. Bunlar KYC’yi geçmek için AI ile optimize edilmiş kimlikler.
Tüm bunlar yüzünden klasik “kural tabanlı / cihaz + IP + coğrafya” skorlama tek başına işe yaramadığı yeni bir dönemdeyiz. Buna karşı tuş vuruş ritmi, mouse hareketi, imleç hızlanma/yavaşlama, dokunmatik jestler, ekrandaki alanlar arası geçiş süreleri, cihazı tutuş şekli gibi davranışsal özelliklerden kullanıcı profilinin çıkarıldığı bir trend söz konusu. Çalışmalar, bu paterni taklit etmenin klasik parmak izi/şifre çalmaktan çok daha zor olduğunu, bu nedenle sürekli kimlik doğrulama (continuous authentication) için uygun olduğunu gösteriyor. ResearchGate+1 (Örneğin Aynı kullanıcı normalde 2–3 dakikada yaptığı süreci bir anda 20 saniyede bitiriyorsa, ya da her zaman akşam 20:00–23:00 arası app’e girip dolaşırken, bir anda sabah 05:30’da direkt yüksek tutarlı transfer ekranına “teleport” oluyorsa, risk score artıyor, step-up auth tetikleniyor.
Bir de Warm Device Takeover Çıktı, Türkçeye Bile Çevrilemeyen Bu Olay Nedir?
Warm device takeover, saldırganın kurbanın hesabına dışarıdan giriş yapması yerine doğrudan kurbanın cihazını ele geçirerek işlemleri gerçek uygulama ve mevcut oturum üzerinden yürüttüğü bir dolandırıcılık yöntemi. https://www.ukfinance.org.uk/news-and-insight/blog/device-takeover-fraud-cheat-code-fraudsters-rising-threat-financial
Cihaz ID, SIM, IP ve hatta OTP doğrulaması normal olduğu için klasik güvenlik süreci “cihaz doğrulama + SMS OTP” işe yaramıyor. Bu nedenle davranışsal biyometri kritik hale geliyor. Saldırgan, aynı cihazı kullansa bile menü geçişleri, dokunma hareketleri, hız ve ekrana etkileşim sırası gibi davranışsal paternler gerçek kullanıcıdan farklılaşıyor; hatta uzaktan erişim yazılımlarına özgü mikro gecikmeler bile tespit edilebiliyor. Bu yüzden dünyada pek çok kurum artık yalnızca cihaz ve OTP’ye güvenmek yerine, arka planda sürekli çalışan davranışsal risk skoru kullanıyor ve yalnızca risk yükseldiğinde yüz/parmak izi gibi ek doğrulama adımları çalışıyor.
Türkiye’deki Düzenleme Ne İfade Ediyor? Yeterli mi?
Türkiye’de IBAN’a yapılan para transferlerinde biyometrik doğrulamanın zorunlu hale gelmesine ilişkin düzenleme, 11. Yargı Paketi kapsamında gündeme geldi. Basına yansıyan bilgilere göre özellikle yüksek tutarlı işlemlerde yüz, parmak izi, ses veya iris gibi biyometrik yöntemlerle ek doğrulama adımı istenmesi, 65 yaş üstü kullanıcılar için ses bazlı doğrulama gibi alternatif yöntemler sunulması ve banka kartlarına biyometrik çip entegrasyonu gibi başlıklar konuşuluyor.
Düzenleme gerçekleşirse, fiziksel biyometrik doğrulama—yüz tarama, parmak izi veya ses tanıma gibi—özellikle yüksek riskli transferlerde standart hale gelecek. Ancak küresel fraud trendleri, yalnızca bu doğrulama katmanına güvenmenin yeterli olmayacağını açıkça ortaya koyuyor. Yani regülasyon teknolojiyi yine geriden takip ediyor. Deepfake görüntülerle yüz doğrulamasının aşılması veya ses klonlama teknolojileriyle çağrı merkezleri ve voice-based teyit süreçlerinin manipüle edilmesi artık yaygın bir tehdit. Buna ek olarak warm device takeover gibi saldırılarda işlem zaten kullanıcının gerçek cihazından, daha önce güvenilir olarak işaretlenmiş bir oturum içinden yapıldığı için SMS OTP, konum, cihaz ID gibi klasik güvenlik sinyalleri normal görünmeye devam edecek.
Bu nedenle Türkiye’de biyometrik doğrulama zorunluluğu yürürlüğe girse bile finans kurumlarının güvenliği yalnızca “biyometrik kimlik doğrulaması yapıldı mı?” sorusuyla sınırlı tutması yeterli olmayacağı aşikar. İki katmanlı model gerekecek: Önce düzenlemenin gerektirdiği fiziksel biyometrik onay, ardından arka planda sürekli çalışan davranışsal biyometri ve cihaz güvenlik analitiğiyle risk skorlaması. Fiziksel biyometri başarılı olsa bile davranışsal skor anormalse işlem durdurulmelı veya ikinci doğrulama adımı tetiklenmeli. Böylece sadece işlemi kimin başlattığı değil, kullanıcının gerçekten kendi iradesiyle mi yoksa cihaz ele geçirilmiş halde mi işlem yaptığı anlaşılabilecektir.
Kısacası, Türkiye’de gündemde olan biyometrik doğrulama taslağı önemli bir güvenlik eşiği ve bir ilerleme kabul edilebilir. Ancak gelişmiş fraud teknikleri ışığında güncel bir çözüm olmaktan uzak.