Küçük işletmeler her zaman hedef çünkü savunmaları zayıf

Dolandırıcılık yöntemleri giderek daha sofistike hâle geliyor ve saldırganlar için küçük işletmeler dâhil herkes hedef.

Her serbest çalışan ve mikro işletme sahibi, iş yükü fazlalığının ne kadar zor olduğunu bilir. Günlük işler, yönetim, satış, insan kaynakları, pazarlama ve hatta halkla ilişkiler gibi birçok farklı görevi aynı anda yerine getirmeleri gerekir ve siber güvenlik yönetimini düşünmeye pek zaman kalmaz. Siber suçlular da bunun farkındadır. 

Meşgul ve stresli insanları hedef alan siber suçlular, para veya veri çalmak için her geçen gün yöntemlerini daha sofistike hâle getiriyor ve işletmeleri itibar kaybı, mali kayıp ve hatta iflas riskiyle karşı karşıya bırakıyor. Dahası, yapay zekâ araçlarının yardımıyla bu dolandırıcılık yöntemleri artık daha hızlı oluşturulabilir, daha ikna edici hâle getirilebilir ve daha geniş ölçekte uygulanabilir. Yani, hayır, bu fırtına dinmeyecek.

Özellikle özel BT personeli veya kurumsal düzeyde siber güvenlik çözümleri için bütçesi olmayan işletmelere kolay bir çıkış yolu yoktur. Ancak pes etmeyin, herkes için bir korunma planı var. 

İlk adım, mikro işletmeler için özel olarak tasarlanmış, uygun fiyatlı bir siber güvenlik çözümü kullanmaktır. Evet, ESET Small Business Security gibi bu tür çözümler mevcuttur. İkinci olarak, önlemeye odaklanmak için biraz zaman ayırmaya çalışın: Küçük ofisleri/ev ofislerini (SOHO) hedef alan dolandırıcılık hakkında bilgi edinin ve birkaç proaktif önlem alın. Bu yazıda her ikisinde de size yardımcı olacak detaylar hazırladık.

Bu makalenin ana noktaları:

• “Küçük olan güvenlidir” cümlesi doğru bir cümle değildir. Aksine, siber suçlular, küçük işletmelerin ve mikro işletmelerin genellikle özel BT personeli ve sağlam güvenlik önlemlerinden yoksun olduğunu bilerek bu işletmeleri aktif olarak hedef alırlar.
• Girişimcilerin gerçek hayattan hikâyeleri, siber saldırıların nasıl olduğunu göstermektedir: Sadece birkaç saniyelik dikkatsizlik veya dalgınlık, maddi kayba veya hesabın ele geçirilmesine yol açabilir.  
• Bir dolandırıcılık ne kadar basit ve yaratıcıysa o kadar ikna edici olabilir.
• Kapsamlı koruma, zihniyet değişikliği, önleme ve mikro işletmelere özel, güvenilir ve uygun maliyetli bir siber güvenlik çözümü ile başlar.

Neden “çok küçük olmak” sizi korumaz?

Dolandırıcılık farkındalığı ve önleme konusuna girmeden önce bir şeyi netleştirelim: “Çok küçük olduğu için uğraşmaya değmez” demek, büyük bir yanılgıdır; halk arasında sıkça tekrarlanan bir düşünce olsa da gerçekte işler böyle yürümüyor. Siber suçların kurbanlarının çoğunluğunu sıradan insanlar oluştursa da genellikle hedef alınanlar işletmelerdir ve sadece büyük oyuncular da değildir.

Neden mi? Çünkü her işletmenin bir adı, adresi, lisansı, vergi numarası ve banka hesabı vardır ve çeşitli müşteri verilerini işler; bunların tümü dolandırıcılar için son derece değerlidir. Paranızı doğrudan hedef almazlarsa bile verileri karaborsada satabilir veya daha fazla dolandırıcılık ve siber saldırı için kullanabilirler.

Buna rağmen bu karmaşıklık düzeyindeki siber suçların çoğunda, saldırganların çok fazla yatırım yapması olası değildir. Bu nedenle, hedefli saldırılar yerine, yapay zekâ tarafından giderek daha fazla tespit edilen ve kolay hedef olarak görülen işletmelere karşı büyük ölçekli kötü niyetli kampanyalar başlatmaları muhtemeldir.

Hâlâ ikna olmadınız mı? İşte bazı rakamlar: 

• Son 12 ayda dünya çapında dolandırıcılık nedeniyle tahmini 444 milyar dolar kaybedildi. Bu, Mısır’ın toplam GSYİH’sinden daha fazla bir rakamdır. (Global State of Scams 2025)
• Son 12 ayda ABD’deki küçük işletmelerin %80’inden fazlası saldırıya uğradı (ITRC Tüketici ve İşletme Etki Raporu 2024)
• Küçük işletmelerin %60’ı en çok siber güvenlik konusunda endişeli olduklarını belirtmiştir (Q1 2024 MetLife ve ABD Ticaret Odası Küçük İşletme Endeksi).
• İngiltere’deki mikro işletmelerin (yani 1 ila 9 çalışanı olan işletmeler) %40’ından fazlası 2024 yılında veri ihlali veya siber saldırı yaşadı (bunların üçte biri kimlik avı saldırılarıydı) ve ortalama kısa vadeli doğrudan maliyetler 3.040 £ (4.005 $) seviyesine ulaştı (Siber Güvenlik İhlalleri Anketi 2025).

Küçük işletmeler ve girişimcileri hedef alan dolandırıcılık listesi

Phishing ve Spearphishing

Kimlik avı dolandırıcılığı, kişileri kötü amaçlı yazılım indirmeleri veya hesap kimlik bilgileri veya banka bilgileri gibi hassas verileri vermesi için kandırır. Dolandırıcılar genellikle güvenilir kaynakları taklit eder ve hızlı eylemde bulunulmasını sağlamak için sahte bir aciliyet hissi yaratır (örneğin, süresi dolmuş hesaplarla ilgili uyarılar). Çeşitleri arasında QR kodu kimlik avı (quishing), SMS kimlik avı (smishing) ve telefonla sesli kimlik avı (vishing) bulunur.

Kimlik avının daha gelişmiş bir biçimi olan spearphishing, hedef hakkında derinlemesine araştırma yapılarak son derece özelleştirilmiş mesajlar kullanır. Bu, reçetesiz satılan ilaçlarla reçeteli ilaçlar arasındaki fark gibidir; biri diğerinden daha özelleştirilmiş ve etkilidir.

Resim 1: Malezya’daki bir kuruluşa gönderilen, kötü amaçlı yazılım içeren, vergi temalı spearphishing e-postasının makine çevirisi. 

İş E-postası Dolandırıcılığı (BEC)

Bu yüksek riskli sosyal mühendislik dolandırıcılığında, saldırganlar şirketin CEO’su veya finans müdürü gibi güvenilir kişilerin kimliğine bürünerek çalışanları para veya hassas verileri aktarmaya ikna ederler. Ayrıca alt yükleniciler veya ortaklar gibi davranabilirler veya meşru görünmek için gerçek iletişim dizilerine kendilerini dâhil edebilirler.

Yapay zekâ ve deepfake teknolojisi (ses, video ve canlı aramalar dâhil) ile bu dolandırıcılık yöntemleri daha da ikna edici hâle gelmektedir. Hong Kong polisi tarafından bildirilen bir vakada, dolandırıcılar deepfake konferans görüşmesi kullanarak uluslararası bir şirketin çalışanını 25 milyon dolar ödemesi için kandırmıştır. Bu kayıplar küçük işletme sahiplerinin karşılaşabileceği kayıplardan çok daha yüksek olsa da dolandırıcılık mekanizması çok önemlidir.

Açıklama: ESET Güvenlik Farkındalık Uzmanı Ondrej Kubovič, yapay zekâ sesli deepfake vishing’i açıklıyor.

Sahte fatura/tedarikçi/satıcı dolandırıcılığı 

Dolandırıcılar, genellikle gerçek tedarikçileri veya satıcıları taklit ederek meşru görünen faturalar gönderir. Amaçları, işletmeleri hiç sağlanmamış mal veya hizmetler için ödeme yapmaya ikna etmektir. Bu faturalar genellikle ödeme onaylarının aceleyle yapıldığı yoğun ortamları istismar eder.

Resim 2: Bu, gerçek bir kişinin çalınan kimliğini kötüye kullanan sahte bir sipariş onayıdır. 

Sahte yenileme bildirimleri 

İşletmeler, alan adı kayıtları, işletme lisansları veya yazılım abonelikleri gibi yenilemeler için sahte bildirimler alırlar. Bu bildirimler genellikle resmî ve acil görünür ve kurbanı, gerçekliğini doğrulamadan hızlı bir şekilde ödeme yapmaya zorlar.

Resim: Geek Squad teknik destek ve onarım hizmetini taklit eden sahte abonelik yenileme bildirimi. (Resim kaynağı: Reddit)

Devlet yetkilisi kimliğine bürünme

Dolandırıcılar, işletmenin uyum ücretleri, düzenleyici ücretler veya ceza borçları olduğunu iddia ederek devlet yetkilileri veya kurumları gibi davranır. Bu dolandırıcılıklar, korku ve aciliyete dayanır ve kurbanları yasal sorunlardan kaçınmak için hemen ödeme yapmaları gerektiğine inandırır.

Resim: Avustralya devlet kurumundan geldiğini iddia eden sahte bir mesaj örneği.

Hukuki/kolluk kuvvetleri dolandırıcılığı

Bu dolandırıcılık türleri genellikle diğer dolandırıcılık türlerinin kurbanlarını hedef alır. Siber suçlular, kolluk kuvvetleri veya hukukçular gibi davranarak kötü amaçlı reklamlar, aramalar, SMS veya sohbet mesajları yoluyla kurbanlara ulaşır ve ücret karşılığında yardım teklif eder. Kayıp paraları geri kazanmayı, hukuki danışmanlık veya danışmanlık hizmeti vermeyi, yeni davalar açmayı veya kurbanları sahte toplu davalara dâhil etmeyi vaat edebilirler. Dolandırıcılar genellikle Europol, Interpol veya hayali firmalardan avukatlar gibi davranarak meşru görünmeye çalışır.

Açıklama: Meta Reklam Kitaplığında listelenen sahte reklam örnekleri. Artık aktif olmayan bu reklamlar ESET tarafından HTML/Nomani olarak tespit edilmiş ve ESET H2 2025 Tehdit Raporunda ayrıntılı olarak açıklanmıştır.

Sahte kredi teklifleri

Bu dolandırıcılıkta, dolandırıcılar hızlı işletme kredileri vaat eder ancak önceden bir “sigorta” veya “işlem” ücreti talep eder. Ücret ödendikten sonra dolandırıcılar ortadan kaybolur ve kurban vaat edilen parayı alamaz.

Açıklama: Kişisel kredi uygulaması sunan bir dolandırıcılık web sitesi. Çekici görünümlerine rağmen bu hizmetler aslında, aldatıcı açıklamalarla desteklenen yüksek faizli krediler sunarak kullanıcıları dolandırmak için tasarlanmıştır. Bu sırada kurbanların kişisel ve finansal bilgilerini toplayarak şantaj yapar ve sonunda paralarını ele geçirirler.

Teknik destek dolandırıcılığı

Dolandırıcılar, güvenilir şirketlerin teknik destek üyeleri gibi davranarak cihazınızda bir sorun olduğunu iddia ederler. “Yardım etmek” için uzaktan erişim talep ederler ancak yardım etmekten başka her şeyi yaparlar. Burada dolandırıcılar, hassas verileri çalmaya, kötü amaçlı yazılım yüklemeye veya diğer siber saldırılar gerçekleştirmeye çalışır. Ayrıca bu sahte hizmetler için ödeme talep edebilirler. 

Açıklama: Hedef kullanıcıyı “teknik destek”i aramaya yönlendiren sahte bir güvenlik uyarısı.

Teslimat dolandırıcılığı

Bu dolandırıcılık türleri, paket teslimatı sorunları hakkında sahte mesajlar içerir. Kurbanlar, kişisel bilgilerini paylaşmaya, kötü amaçlı uygulamalar yüklemeye veya sorunu “çözmek” için sahte ücretler ödemeye kandırılır.

Açıklama: ESET telemetri tarafından bildirilen teslimat dolandırıcılığı e-postası. Teslimat girişiminin başarısız olduğunu iddia eder ve gönderim adresinin doğrulanmasını ister. 

Küçük işletmeler için hızlı bir kılavuz

Bu ipuçları, bütçenizi zorlamadan siber güvenlik durumunuzu kolayca ve ölçülebilir şekilde iyileştirebilir: 

Dolandırıcılık hakkında bilgi edinin: Yeni tehditlerden haberdar olun ve şüpheli bağlantılar veya ekler, olağan dışı ödeme talepleri, acil veya tehditkâr dil veya hassas bilgi talepleri gibi uyarı işaretlerine dikkat edin. ESET’in ücretsiz, kullanımı kolay bağlantı denetleyicisi, tehlikeli URL’lerden kaçınmanıza yardımcı olabilir.

Çalışanlarınıza siber güvenlik farkındalık eğitimi verin: ESET Siber Güvenlik Farkındalık Eğitimi’nin ücretsiz sürümüyle başlayabilirsiniz.

Çok Faktörlü Kimlik Doğrulama (MFA) özelliğini etkinleştirin: Mümkün olduğunda MFA ile hesaplarınıza ekstra bir güvenlik katmanı ekleyin.

Yazılım güncellemelerini takip edin: Siber suçlular, bilinen güvenlik açıklarını yorulmadan aramak için otomatik araçlar kullanır. İşlerini kolaylaştırmayın ve yazılımınızı düzenli olarak güncelleyin.

Düzenli yedeklemeler yapın: Bu, siber saldırılardan kurtulmanıza ve işinize hızlı bir şekilde geri dönmenize yardımcı olur. 

Güvenilir siber güvenlik uygulayın: Ücretsiz veya düşük maliyetli siber güvenlik çözümleri ve diğer yazılımlara dâhil edilmiş siber güvenlik çözümleri cazip görünebilir ancak sınırlamaları vardır. Dolandırıcılık önleme özelliklerine sahip, SOHO odaklı siber güvenlik çözümleri arayın. Tüm cihazlarınızı (PC’ler, telefonlar, tabletler ve sunucular) koruduğunuzdan emin olun.  

Hedef alındığınızda ne yapmalısınız?

Devam eden bir dolandırıcılığın ortasında bulursanız paniğe kapılmayın. Hâlâ (nispeten) zarar görmeden kurtulma umudu var. Dolandırıcılık şüphesi duyduğunuzda atabileceğiniz bazı acil adımlar şunlardır:

• Şüpheli saldırganlara daha fazla bilgi vermeyin.
• Etkilenen tüm sistemleri ağdan ayırın ve kötü amaçlı yazılım taraması yapın.
• Hesaplarınızda olağan dışı hareket olup olmadığını kontrol edin ve tüm parolalarınızı değiştirin.
• Olayı yetkililere veya FBI’ın İnternet Suçları Şikâyet Merkezi veya FTC’nin Tüketici Koruma Bürosu gibi bulunduğunuz bölgedeki ilgili siber güvenlik kurumlarına bildirin.
• Diğer çalışanları bilgilendirin ve müşteri verileri söz konusuysa net bir iletişim planı hazırlayın. İhlal bildirimleri ile ilgili yasal yükümlülüklerinizi kontrol edin.
• Dolandırıcılık vakasıyla ilgili tüm belgeleri ve elektronik iletişimleri toplayın ve saklayın. (Suçlu tutuklanırsa ve tazminat talebinde bulunursanız bunlar yararlı olabilir)
• Olası kimlik hırsızlığına karşı dikkatli olun; dolandırıcılar çalınan verileri sahtekârlık amaçlı dolandırıcılık için kullanabilir.
• Tetikte olun — daha fazla kişisel veriye sahip saldırganlar, yasal veya kolluk kuvvetleri dolandırıcılığı yoluyla sizi tekrar mağdur etmeye çalışabilir.

ESET küçük işletmeler için nasıl koruma sağlar? 

Küçük işletmelerin yalnızca güvenilir siber güvenlik çözümlerine değil, aynı zamanda uygun fiyatlı ve kullanımı kolay çözümlere de ihtiyaç duyduğunu bilir. 

ESET Small Business Security, dolandırıcılıkları engelleyebilen, işlemlerinizi koruyan ve işletmenizi fidye yazılımı dâhil çeşitli kötü amaçlı yazılımlardan koruyan, yapay zekâ destekli güçlü bir koruma çözümüdür. Ayrıca kullanımı çok kolaydır (BT personeli veya derin BT bilgisi gerekmez), kurulumu ve yönetimi basittir. PC’ler, telefonlar, tabletler ve Windows sunucuları dâhil olmak üzere 25 cihaza kadar koruma sağlar. 

ESET Small Business Security’nin temel özellikleri şunlardır: 

Ödüllü, yapay zekâ destekli kötü amaçlı yazılımdan koruma: Akıllı savunma sistemi, gerçek zamanlı tehdit algılama ve bulut tabanlı analizi birleştirerek virüsleri, fidye yazılımlarını, kimlik avını ve yeni ortaya çıkan tehditleri hızlı ve güvenilir bir şekilde durdurur.

Dolandırıcılık önleme özellikleri: ESET Small Business Security, dolandırıcılık girişimlerini durdurmak için birbirini tamamlayan çok katmanlı bir koruma sisteminden oluşur. Çok katmanlı koruma, Güvenli Bankacılık, Güvenli Tarama, Tarayıcı Gizliliği ve Güvenliği, Kimlik Avı Koruması, Fidye Yazılımı Kalkanı, Güvenli Sunucu, Webcam Koruması ve Mikrofon İzleyici, Ağ Denetçisi, ESET Folder Guard, Güvenli Veriler, VPN ve Router için VPN’i içerir. 

Çoklu platform koruması: ESET Small Business Security, Windows, MacOS, Android, iOS ve Windows Server dâhil olmak üzere birden fazla platformda çalışan hem kişisel hem de iş amaçlı cihazları korur. Abonelik, yönetim platformu ESET HOME aracılığıyla çalışanlar ve aile üyeleriyle kolayca paylaşılabilir.

Performans verimliliği: Hafif ve hızlı olacak şekilde tasarlanan ESET çözümü, sistem performansını minimum düzeyde etkileyerek arka planda sorunsuz bir şekilde çalışır. Sunum Modu, yüksek talep gerektiren faaliyetler sırasında bile kesintisiz kullanım sağlar. ESET Endpoint Security, algılama ve performans verimliliğini daha da artırmak için yapay zekâ PC’lerle de entegre edilmiştir.

Küçük işletmeler için mesele “eğer” değil, “ne zaman”

Birçok küresel kriz, enflasyon ve giderek sıkılaşan düzenlemeler arasında, birçok girişimcinin siber tehditler ve dolandırıcılık gibi diğer sorunlarla başa çıkmak için gerekli zihinsel kapasiteye sahip olmadıklarını hissetmeleri anlaşılabilir bir durumdur.

Ne yazık ki veriler bu sorunun “eğer” değil, “ne zaman” dolandırıcılıkla karşılaşacağınız olduğunu gösteriyor, bu da bu konunun kaçınılmaz olduğu anlamına geliyor.

Umarız bu kılavuz, küçük işletme sahipleri için bile siber güvenliğin ulaşılabilir olduğunu göstermiştir. Tek yapmanız gereken, öncelikle önleme stratejisi benimsemek ve küçük ofis/ev ofis ortamları için özel olarak tasarlanmış siber güvenlik çözümlerini seçmektir.

Sık sorulan sorular (SSS):

Siber güvenlik, serbest çalışanlar ve mikro işletmeler için neden önemlidir?

Siber suçlular, küçük işletmelerin genellikle özel BT personeli ve kurumsal düzeyde güvenlikten yoksun olduğunu bildikleri için aktif olarak bu işletmeleri hedef alırlar. Saldırılar, itibar kaybına, mali kayba ve hatta iflasa yol açabilir.

“Çok küçük” olmak işletmemi siber saldırılardan korur mu?

Hayır. Her işletmenin, saldırganların istismar edebileceği veya satabileceği banka bilgileri, lisanslar ve müşteri bilgileri gibi değerli verileri vardır. Otomasyon ve yapay zekâ, siber suçluların her büyüklükteki işletmeye karşı büyük ölçekli kampanyalar başlatmasına olanak tanır.

Yapay zekâ dolandırıcılıkları nasıl daha tehlikeli hâle getirir?

Yapay zekâ, dolandırıcılık yöntemlerinin oluşturulmasını hızlandırır, kimlik avı mesajlarını daha ikna edici hâle getirir ve büyük ölçekli uygulamaları mümkün kılar. Çevrimiçi etkinlikleri analiz edebilir ve kişiselleştirilmiş spearphishing e-postalarını otomatik olarak oluşturabilir.

Spearphishing nedir ve neden yaygınlaşıyor?

Spearphishing, belirli bir hedef hakkında uzun süreli bilgi toplama sürecine dayanan kişiselleştirilmiş mesajlar kullanır. Yapay zekâ bu süreci destekleyerek spearphishing’i daha yaygın hâle getirir ve tespit edilmesini ve meşru mesajlardan ayırt edilmesini zorlaştırır.

Büyük bir bütçe olmadan işletmemi nasıl koruyabilirim?

• Kendinizi ve çalışanlarınızı dolandırıcılık ve uyarı işaretleri konusunda eğitin.
• Hesaplarda Çok Faktörlü Kimlik Doğrulama (MFA) özelliğini etkinleştirin.
• Bilinen güvenlik açıklarının istismar edilmesini önlemek için yazılımları güncel tutun.
• Saldırıdan sonra hızlı bir şekilde kurtarma yapabilmek için düzenli yedeklemeler yapın.
• Küçük işletmeler için özel olarak tasarlanmış ESET Small Business Security gibi uygun fiyatlı siber güvenlik çözümleri kullanın.

ESET Small Business Security’nin avantajları nelerdir?

ESET Small Business Security, küçük işletmeler için sorunsuz ve kullanımı kolay, yapay zekâ destekli koruma sağlar. Bu çözümü kullanarak çevrimiçi işlemleri koruyun, cihazları kilitleyin ve konumlarını belirleyin, fidye yazılımlarını engelleyin ve düzeltin, etkilenen dosyaları geri yükleyin ve Windows sunucularını koruyun. Hassas verileri şifreleyin ve kimlik avı dolandırıcılıklarından kaçının. Anti-Theft, Güvenli Gezinme ve sınırsız VPN ve Router için VPN ile güvende ve anonim kalın. Bu çözüm hem iş hem de kişisel cihazları korur. Güvenilir, uygun maliyetli ve kaynaklarda az tüketim sağlar.