Kolektif Aklama Tespiti: Aynı IP ve Cihaz Parmak İzini (Device Fingerprint) Kullanan İlişkisiz Hesaplar Nasıl İzlenir?

Finansal suçlarla mücadele, suçluların yöntemleri geliştikçe daha karmaşık hale gelmektedir. Geleneksel olarak tekil müşteri hesaplarına odaklanan Kara Para Aklamayı Önleme (AML) sistemleri, artık organize suç gruplarının kullandığı “kolektif aklama” yöntemleri karşısında yetersiz kalmaktadır. Bu yöntemde, yüzlerce hatta binlerce ilişkisiz görünen hesap, tek bir merkezden yönetilerek yasa dışı fonların izini kaybettirmek için kullanılır. Bu ağları ortaya çıkarmanın anahtarı ise suçluların bıraktığı dijital izleri, yani IP adreslerini ve cihaz parmak izlerini analiz etmekten geçmektedir. Bu makalede, kolektif aklama ağlarının nasıl çalıştığını, bu ağları tespit etmek için hangi dijital verilerin kullanıldığını ve bu süreçte teknolojik çözümlerin nasıl kritik bir rol oynadığını detaylı bir şekilde inceleyeceğiz.

Kolektif Aklama ve Geleneksel Yöntemlerin Yetersizliği

Suçla mücadeledeki modern zorluklar, finansal kuruluşları geleneksel analiz yöntemlerinin ötesine geçmeye zorlamaktadır. Kolektif aklama, bu zorlukların en belirgin örneklerinden biridir. Bu bölümde, kolektif aklamanın ne olduğunu, dijital izlerin neden önemli olduğunu ve eski yöntemlerin bu yeni tehdit karşısında neden etkisiz kaldığını ele alacağız.

Kolektif Aklama Nedir?

Kolektif aklama, bir suç ağının, yasa dışı fonları sisteme sokmak, katmanlandırmak ve entegre etmek için çok sayıda bireysel hesabı koordineli bir şekilde kullanmasıdır. Bu hesaplar genellikle “para kuryeleri” veya “mule” olarak adlandırılan ve genellikle küçük komisyonlar karşılığında hesaplarını suçluların kullanımına açan kişiler adına açılır. Tek başlarına incelendiğinde bu hesaplardaki işlemler normal ve düşük riskli görünebilir, ancak bir bütün olarak analiz edildiğinde organize bir suç faaliyetinin parçası oldukları anlaşılır.

IP Adresi ve Cihaz Parmak İzinin Finansal Suçlardaki Rolü

Her internet bağlantısı ve her cihaz, arkasında benzersiz dijital izler bırakır. IP adresi, bir cihazın internet üzerindeki konumunu belirtirken, cihaz parmak izi (device fingerprint) o cihaza özgü donanım ve yazılım yapılandırmasını (işletim sistemi, tarayıcı sürümü, ekran çözünürlüğü, dil ayarları vb.) tanımlar. Suçlular, farklı kişilere ait onlarca hesabı yönetirken genellikle aynı bilgisayarları veya mobil cihazları kullanırlar. Bu durum, birbirinden tamamen bağımsız olması gereken hesapların aynı IP adresi veya cihaz parmak izi ile ilişkilendirilmesine neden olur. Bu dijital bağlantılar, kolektif aklama ağlarını tespit etmede en güçlü delillerden biridir.

Tekil Hesap Analizinin Kolektif Suç Ağlarını Gözden Kaçırma Nedenleri

Geleneksel AML sistemleri, genellikle her müşterinin veya hesabın riskini kendi işlem geçmişi ve profili içinde değerlendirir. Bu “tekil” veya “silo” yaklaşımı, kolektif aklamayı tespit edemez çünkü suç deseni tek bir hesapta değil, onlarca veya yüzlerce hesabın etkileşiminde gizlidir. Bir kurye hesabındaki günlük işlem hacmi düşük limitlerin altında kalabilir, profilinden sapma göstermeyebilir ve şüpheli bir işlem alarmı üretmeyebilir. Ancak aynı anda, aynı cihazdan kontrol edilen 50 farklı kurye hesabında benzer işlemler yapılıyorsa, bu durum geleneksel sistemlerin gözden kaçıracağı büyük bir riske işaret eder.

Kriter Geleneksel Tekil Analiz Kolektif Ağ Analizi
Odak Noktası Tekil müşteri veya hesap Hesaplar ve müşteriler arasındaki ilişkiler
İncelenen Veri İşlem geçmişi, müşteri profili İşlem verileri + IP adresi, cihaz parmak izi, coğrafi konum
Tespit Yöntemi Kural tabanlı eşik aşımları (örn: yüksek tutarlı transfer) Anomali tespiti, ilişki haritalaması, gizli bağlantıların keşfi
Etkinlik Alanı Basit aklama yöntemleri (örn: structuring) Organize suç ağları, kurye hesapları, huni hesapları
Zayıf Yönü Düşük değerli ve organize suç desenlerini gözden kaçırır Veri gizliliği ve yanlış pozitif yönetimi dikkat gerektirir

Üçüncü Taraf Kontrolü ve Kurye (Mule) Hesap Ağlarının Yarattığı Tehditler

Kurye hesap ağları, finansal sistemler için ciddi bir tehdit oluşturur. Bu hesaplar, terörün finansmanından uyuşturucu ticaretine, dolandırıcılıktan siber suçlara kadar birçok yasa dışı faaliyetin gelirlerini aklamak için kullanılır. Bir hesabın, yasal sahibi dışında üçüncü bir tarafça kontrol edilmesi, en temel Müşteri Durum Tespiti (Customer Due Diligence) ilkelerinden birinin ihlalidir. Bu ağlar, suçluların kimliklerini gizlemesine ve finansal sistemde anonim olarak hareket etmesine olanak tanır, bu da hem kurumlar için hem de ulusal güvenlik için büyük bir risk teşkil eder.

Kolektif Aklama Yöntemleri ve Tespit Göstergeleri

Kolektif aklama ağları, belirli operasyonel yöntemler ve arkalarında bıraktıkları tespit edilebilir göstergelerle karakterize edilir. Bu bölümde, suçluların kullandığı yaygın taktikleri ve bu taktiklerin AML işlem izleme sistemlerinde nasıl izler bıraktığını inceleyeceğiz.

Kurye (Mule) Hesap Ağlarının Oluşturulması ve İşleyişi

Kurye hesap ağları, genellikle suç örgütlerinin kontrolü altında, birden fazla kişinin adına açılmış banka veya fintek hesaplarından oluşur. Bu kişiler, genellikle finansal olarak zor durumda olan bireylerdir ve küçük bir ödeme karşılığında hesaplarını suçluların kullanımına sunarlar. Ağın işleyişi basittir: Yasa dışı kaynaklardan elde edilen para, çok sayıda kurye hesabına küçük tutarlar halinde yatırılır (yerleştirme aşaması). Ardından bu fonlar, hızla başka hesaplara transfer edilir veya nakit olarak çekilir, böylece paranın kaynağı ile nihai hedefi arasındaki bağ koparılmaya çalışılır (katmanlandırma aşaması).

Huni (Funnel) Hesapları: Çoklu Kaynaktan Gelen Fonların Toplanması

Huni (funnel) hesapları, kolektif aklamanın bir diğer yaygın yöntemidir. Bu senaryoda, çok sayıda farklı ve coğrafi olarak dağınık kaynaktan (örneğin, farklı şehirlerdeki ATM’lerden yapılan nakit yatırmalar veya farklı kişilerden gelen havaleler) gelen fonlar tek bir hesapta toplanır. Bu “toplama” hesabı, parayı daha sonra organize bir şekilde aklama döngüsüne sokmak için bir ara istasyon görevi görür. Huni hesaplarının en tipik özelliği, çok sayıda göndericiden fon alması ancak çok az sayıda lehdara para göndermesidir.

Katmanlandırma (Layering) Aşamasında Paylaşılan Dijital İmzaların Kullanımı

Katmanlandırma, paranın izini kaybettirmek için karmaşık ve çok sayıda işlem yapılan aşamadır. Kolektif aklama ağlarında bu aşama, genellikle tek bir operatör veya küçük bir grup tarafından, aynı cihazlar kullanılarak yönetilir. Yüzlerce farklı kurye hesabından yapılan transfer işlemleri, aynı IP adresi bloğundan veya aynı cihaz parmak izinden kaynaklandığında, bu durum katmanlandırma faaliyetinin güçlü bir göstergesidir. Paylaşılan bu dijital imzalar, birbirinden bağımsız görünen işlemleri birbirine bağlayan kritik kanıtlardır.

AML İşlem İzleme Kural Setinden İlgili Senaryolar

Gelişmiş AML çözümleri, kolektif aklamayı tespit etmek için belirli kural setleri ve senaryolar kullanır. Bu senaryolar, yukarıda açıklanan yöntemlerin dijital ve finansal göstergelerini yakalamak üzere tasarlanmıştır.

Senaryo 10: Üçüncü Taraf Kontrolü / Kullanımı Göstergeleri

Bu senaryo, bir hesabın kayıtlı sahibi dışında başka bir kişi tarafından kontrol edildiğine dair işaretleri arar. Çok sayıda farklı cihazdan veya coğrafi konumdan hesaba giriş yapılması, özellikle bu girişlerin kısa zaman aralıklarında ve işlem aktivitesi ile birlikte gerçekleşmesi, hesabın bir kurye (mule) olarak kullanıldığına veya ele geçirildiğine dair güçlü bir şüphe oluşturur. Örneğin, 24 saat içinde 2’den fazla yeni cihaz veya IP’den işlem yapılması alarmı tetikler.

Senaryo 11: Çoklu Gönderenden Yüksek Hacimli Havale

Bu kural, huni (funnel) hesaplarını tespit etmeye odaklanır. Belirli bir zaman diliminde (örneğin bir ay içinde) çok sayıda benzersiz ve ilişkisiz gönderenden fon alan bir hesap şüpheli olarak işaretlenir. Örneğin, bir ayda 5’ten fazla farklı göndericiden para alan bir hesap, fonların kaynağının incelenmesi için bir alarm üretebilir. Bu, hesabın bir toplama noktası olarak kullanıldığına işaret eder.

Senaryo 12: Çoklu Karttan Hesap Besleme

Bu senaryo, bir hesabın kısa bir süre içinde çok sayıda farklı kredi kartı veya banka kartı kullanılarak fonlanmasını izler. Bu durum, çalıntı kart bilgilerinin kullanıldığı dolandırıcılık faaliyetlerini veya “kart aklama” adı verilen yöntemi gösterebilir. Örneğin, 72 saat içinde aynı hesabın 3’ten fazla farklı kartla beslenmesi, hem dolandırıcılık hem de AML riski açısından incelenmesi gereken şüpheli bir durumdur.

Senaryo 17: Anonim Hesap ve Üçüncü Taraf Adına Hareket Kontrolü

FATF Tavsiye 10, anonim veya hayali isimlerle hesap açılmasını yasaklar. Bu senaryo, bir hesabın fiili kullanımı ile kayıtlı sahibinin profili arasındaki tutarsızlıkları tespit eder. Sürekli olarak üçüncü taraflardan fon alıp yine üçüncü taraflara gönderen ve hesabın kontrolünün (cihaz/IP kullanımı gibi göstergelerle) kayıtlı sahibinde olmadığına dair kanıtlar bulunan durumlar, hesabın bir başkası adına hareket ettiğini gösterir ve en yüksek riskli durumlardan biridir.

Yasal Çerçeve: 5651 ve 5549 Sayılı Kanunların Bütünleşik Yorumu

Kolektif aklama ile mücadelede dijital izlerin kullanılması, sadece teknolojik bir gereklilik değil, aynı zamanda yasal yükümlülüklerin bir parçasıdır. Türkiye’de bu süreç, temel olarak iki kanunun bütünleşik yorumuna dayanır: suç gelirlerinin aklanmasını önlemeyi amaçlayan 5549 Sayılı Kanun ve internet ortamındaki erişim kayıtlarını düzenleyen 5651 Sayılı Kanun.

5549 Sayılı Kanun Kapsamında Müşterinin Tanınması ve Sürekli İzleme Yükümlülüğü

5549 Sayılı Kanun, yükümlü kuruluşların (bankalar, ödeme kuruluşları, kripto varlık hizmet sağlayıcıları vb.) “Müşterini Tanı” (KYC) ilkesine uymasını zorunlu kılar. Bu ilke, sadece müşterinin kimliğini doğrulamakla kalmaz, aynı zamanda müşterinin işlem alışkanlıklarını anlamayı ve bu alışkanlıklardan sapan anormal durumları tespit etmeyi de içeren “sürekli izleme” görevini de beraberinde getirir. Bir hesabın farklı IP ve cihazlardan yönetilmesi, müşterinin beyan ettiği profil ve yerleşik davranış kalıplarıyla çelişiyorsa, bu durum 5549 Sayılı Kanun kapsamında bir şüphe unsurudur.

MASAK ve FATF Tavsiyeleri Işığında Risk Temelli Yaklaşım

Hem Mali Suçları Araştırma Kurulu (MASAK) hem de küresel standartları belirleyen Mali Eylem Görev Gücü (FATF), finansal kuruluşların risk temelli bir yaklaşım benimsemesini şart koşar. Bu yaklaşım, her müşterinin ve işlemin aynı seviyede incelenmesi yerine, riskin yüksek olduğu alanlara daha fazla kaynak ve dikkat ayrılmasını gerektirir. Çoklu hesapların aynı dijital izleri paylaşması, risk seviyesini otomatik olarak yükselten ve daha derinlemesine bir incelemeyi (Geliştirilmiş Durum Tespiti – EDD) zorunlu kılan bir faktördür.

FATF Tavsiye 10: Müşteri Durum Tespiti ve Üçüncü Taraf Riski

FATF’ın 10. Tavsiyesi, müşteri durum tespiti (CDD) sürecinin temelini oluşturur. Bu tavsiye, kuruluşların sadece müşterinin kimliğini değil, aynı zamanda hesabın “gerçek faydalanıcısını”, yani hesabı nihai olarak kontrol eden kişiyi de tespit etmesini gerektirir. Bir hesabın, kayıtlı sahibi dışında bir üçüncü tarafça (örneğin aynı cihazı kullanan bir ağ operatörü) kontrol edildiğinin tespit edilmesi, bu tavsiyenin doğrudan ihlalidir ve kuruluşun bu riski yönetmesini zorunlu kılar.

FATF Tavsiye 20: Şüpheli İşlem Bildirimi Yükümlülüğü

FATF’ın 20. Tavsiyesi ve 5549 Sayılı Kanun’un 4. maddesi, yükümlülerin bir işlemin suç gelirleriyle ilgili olduğundan şüphelenmeleri durumunda, tutarından bağımsız olarak, bunu yetkili makamlara (Türkiye’de MASAK’a) bildirmelerini gerektirir. Aynı IP veya cihazdan yönetilen ve organize bir ağın parçası olduğu düşünülen ilişkisiz hesaplardaki işlemler, tek başlarına şüpheli görünmeseler bile, bütüncül bir analiz sonucunda Şüpheli İşlem Bildirimi (ŞİB) konusu haline gelir.

5651 Sayılı Kanun ve Dijital İzlerin Yasal Dayanağı

5651 Sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”, finansal suçlarla mücadelede kullanılan dijital verilerin yasal temelini oluşturur. Bu kanun, finansal kuruluşlara doğrudan bir yükümlülük getirmese de, dijital delillerin toplanması ve kullanılması için genel bir çerçeve sunar.

Erişim Sağlayıcıların IP Adresi ve Erişim Kayıtlarını Saklama Yükümlülüğü

5651 Sayılı Kanun, internet servis sağlayıcıları gibi “erişim sağlayıcıların”, kullanıcıların IP adresi ve bağlantı zamanı gibi trafik bilgilerini belirli bir süre boyunca saklamasını zorunlu kılar. Bu yasal zorunluluk, adli bir soruşturma durumunda, şüpheli finansal işlemlerin hangi IP adresinden ve ne zaman yapıldığının geriye dönük olarak tespit edilebilmesine olanak tanır. Finansal kuruluşlar da kendi sistemlerine yapılan erişimlerin IP ve cihaz bilgilerini kaydederek hem kendi güvenliklerini sağlar hem de olası bir soruşturmada yetkili makamlara sunmak üzere önemli deliller toplamış olur.

Dijital Verilerin Suçla Mücadelede Delil Olarak Kullanılması

IP adresi, cihaz parmak izi ve coğrafi konum verileri gibi dijital izler, Türk Ceza Muhakemesi Kanunu (CMK) kapsamında “dijital delil” niteliğindedir. Birbiriyle ilişkisiz görünen çok sayıda hesabın aynı dijital delilleri paylaşması, bu hesaplar arasında organize bir bağ olduğunu kanıtlar ve bir aklama ağının varlığına dair güçlü bir karine oluşturur. Bu nedenle, bu verilerin doğru bir şekilde toplanması, saklanması ve analiz edilmesi, yasal süreçlerin başarısı için hayati öneme sahiptir.

IP Adresi ve Cihaz Parmak İzi ile İlişki Tespiti Teknikleri

Kolektif aklama ağlarını ortaya çıkarmak, doğru teknolojik araçlar ve analitik yöntemler kullanılarak dijital izlerin bir araya getirilmesini gerektirir. Bu bölümde, IP adresi ve cihaz parmak izi verilerinin nasıl analiz edildiği ve bu verilerden yola çıkarak gizli suç ağlarının nasıl haritalandırıldığı incelenmektedir.

IP Adresi Analizi ve İzleme Yöntemleri

Bir IP adresi, basit bir sayı dizisinden çok daha fazlasını ifade eder. Doğru analiz edildiğinde, bir kullanıcının niyeti, konumu ve teknolojik yetenekleri hakkında önemli ipuçları verebilir.

Statik ve Dinamik IP Adreslerinin Farkları

Statik IP adresleri genellikle kurumsal ağlar veya sunucular için sabit kalırken, dinamik IP adresleri internet servis sağlayıcıları tarafından ev kullanıcılarına her bağlantıda geçici olarak atanır. Analiz sırasında, çok sayıda farklı müşteri hesabının aynı nadir statik IP’yi kullanması, bu hesapların aynı ofis veya merkezden yönetildiğine dair güçlü bir göstergedir.

IP Risk Skorlaması: VPN, Proxy, Tor Ağı Kullanımının Tespiti

Suçlular kimliklerini ve konumlarını gizlemek için sıklıkla Sanal Özel Ağ (VPN), Proxy sunucuları veya Tor gibi anonimleştirme araçlarını kullanır. Gelişmiş IP zekası (IP Intelligence) servisleri, bir IP adresinin bu tür bir hizmete ait olup olmadığını, daha önce dolandırıcılık faaliyetlerinde kullanılıp kullanılmadığını veya yüksek riskli bir veri merkezinden gelip gelmediğini analiz ederek bir risk skoru oluşturur. Yüksek riskli IP’lerden yapılan işlemler, daha dikkatli incelenmelidir.

Coğrafi Konum (Geolocation) Analizi ile Anomali Tespiti

Her IP adresi, yaklaşık bir coğrafi konuma karşılık gelir. Bir müşterinin hesabına normalde Türkiye’den giriş yaparken, aniden kısa bir süre sonra yüksek riskli veya yaptırımlı bir ülkeden giriş yapması ve işlem gerçekleştirmesi bir anomali işaretidir. Benzer şekilde, fiziksel olarak imkansız olan seyahat süreleri içinde (örneğin, bir saat içinde hem İstanbul’dan hem de Amsterdam’dan giriş yapılması) farklı konumlardan aynı hesaba erişim sağlanması, hesabın ele geçirildiğini veya bir suç ağı tarafından kullanıldığını gösterebilir.

Cihaz Parmak İzi (Device Fingerprint) Teknolojisi

Cihaz parmak izi, IP adresinden daha kalıcı ve güvenilir bir tanımlayıcıdır. Çünkü bir kullanıcı IP adresini kolayca değiştirebilirken, cihazının temel yapılandırmasını değiştirmesi çok daha zordur.

Cihaz Parmak İzi Nedir ve Hangi Verileri İçerir?

Cihaz parmak izi, bir kullanıcının cihazına özgü olan ve onu diğer cihazlardan ayıran bir dizi teknik bilginin birleşimidir. Bu bilgiler arasında işletim sistemi ve sürümü, web tarayıcısı ve sürümü, yüklü yazı tipleri (fonts), ekran çözünürlüğü, dil ve saat dilimi ayarları, tarayıcı eklentileri ve donanım özellikleri (CPU, RAM vb.) bulunur. Bu yüzlerce veri noktası bir araya getirilerek cihaza özgü, yüksek olasılıkla benzersiz bir kimlik (hash) oluşturulur.

Cihazlar Arası Bağlantı Kurma ve Benzersiz Cihaz Kimliği Oluşturma

Gelişmiş teknolojiler, farklı oturumlarda ve hatta farklı web sitelerinde aynı cihazdan gelen sinyalleri birleştirerek kalıcı bir “cihaz kimliği” oluşturabilir. Bu sayede, “müşteri A” olarak giriş yapan bir cihazın, daha sonra “müşteri B” olarak giriş yaptığında da aynı cihaz olduğu anlaşılabilir. Bu yetenek, farklı kimlikler arkasına saklanan suçluları tespit etmenin temelini oluşturur.

Cihaz Değişiklikleri ve Sanallaştırma Tekniklerinin Tespiti

Suçlular, cihaz parmak izi teknolojilerini atlatmak için sanal makineler (virtual machines) veya emülatörler kullanabilirler. Ancak, gelişmiş tespit sistemleri bu tür sanallaştırma ortamlarının karakteristik özelliklerini (örneğin, jenerik donanım bilgileri, belirli sistem dosyalarının varlığı) tanıyarak bu girişimleri de işaretleyebilir. Aynı şekilde, bir cihazın parmak izinde sık ve anormal değişiklikler yapılması da şüpheli bir aktivite olarak değerlendirilir.

Veri Noktası Açıklama Ağ Analizindeki Rolü
İşletim Sistemi ve Tarayıcı Cihazın OS (Windows, iOS, Android) ve tarayıcı (Chrome, Firefox) bilgisi. Çok sayıda farklı hesabın aynı nadir veya eski tarayıcıyı kullanması.
Yüklü Yazı Tipleri (Fonts) Cihazda kurulu olan yazı tiplerinin listesi. Kullanıcı tarafından özel olarak yüklenen font setleri güçlü bir bağ oluşturur.
Saat Dilimi ve Dil Ayarları Cihazın yerel saat dilimi ve varsayılan dil ayarları. Türkiye’deki bir müşterinin cihazının farklı bir saat dilimine ayarlı olması.
Ekran Çözünürlüğü ve Renk Derinliği Monitör veya ekranın piksel boyutları ve desteklediği renk sayısı. Olağandışı veya standart dışı ekran çözünürlüklerinin paylaşılması.
Donanım Bilgileri (Canvas Fingerprinting) Grafik kartı ve sürücülerinin, tarayıcıda bir görüntü işlerken bıraktığı iz. Aynı donanım ve sürücü kombinasyonunun farklı hesaplarca kullanılması.

İlişki Analizi ve Ağ Haritalaması

Toplanan IP ve cihaz verilerinin gerçek gücü, bu veriler bir araya getirilip görselleştirildiğinde ortaya çıkar. İlişki analizi, tekil veri noktaları arasındaki gizli bağlantıları bulmaya odaklanır.

Aynı IP veya Cihazı Kullanan İlişkisiz Hesapların Grafik Veritabanında Görselleştirilmesi

Bu teknikte, her müşteri (düğüm) ve bu müşterileri birbirine bağlayan paylaşılan IP veya cihazlar (kenar) bir grafik veritabanına aktarılır. Bu sayede, normal bir veritabanında fark edilmesi imkansız olan ilişkiler görsel bir haritaya dönüştürülür. Örneğin, on farklı müşteri hesabının merkezdeki tek bir cihaza bağlı olduğu bir “yıldız” yapısı, bir kurye ağı operatörünü anında ortaya çıkarabilir.

Suç Ağındaki Merkezi Aktörlerin (Ring Leader) Tespiti

Ağ analizi, en çok bağlantıya sahip olan veya ağdaki farklı kümeleri birbirine bağlayan “merkezi” düğümleri (aktörleri) matematiksel olarak belirleyebilir. Bu merkezi aktörler, genellikle suç ağının liderleri veya en kritik operatörleridir. Bu kişilerin tespit edilmesi, soruşturmanın doğru hedeflere yönlendirilmesini sağlar.

Anomali Tespiti: Kısa Sürede Farklı Konumlardan Aynı Cihazla Yapılan Girişler

İlişki analizi sadece hangi hesapların bağlantılı olduğunu değil, bu bağlantıların ne zaman ve nasıl kurulduğunu da inceler. Aynı cihaz kimliğinin bir saat içinde hem Ankara’dan hem de Berlin’den işlem yapması gibi “imkansız seyahat” senaryoları, otomatik olarak anomali tespiti sistemleri tarafından işaretlenir ve bir alarm oluşturur.

Teknolojik Çözüm: Fraud.com Destekli Bulut KYC (Udentify) Platformu

Kolektif aklama gibi karmaşık ve dinamik tehditlerle mücadele, manuel süreçlerle veya geleneksel kural tabanlı sistemlerle mümkün değildir. Bu noktada, yapay zeka ve makine öğrenmesi destekli, gerçek zamanlı veri analizi yapabilen gelişmiş teknolojik platformlar devreye girer. İHS Teknoloji’nin Fraud.com iş birliğiyle sunduğu Udentify platformu, bu modern zorluklara yönelik tasarlanmış kapsamlı bir çözüm sunar.

İHS Teknoloji’nin Sunduğu Udentify ile Gerçek Zamanlı Veri Toplama

Udentify platformunun temel gücü, her bir kullanıcı etkileşiminden (giriş, işlem, profil güncelleme vb.) yüzlerce veri noktasını gerçek zamanlı olarak toplayabilmesidir. Bu veriler sadece IP adresi ve temel cihaz bilgilerini değil, aynı zamanda daha derin ve sofistike sinyalleri de içerir. Bu anlık veri toplama yeteneği, tehditlerin ortaya çıktığı anda tespit edilmesini sağlar.

Gelişmiş Cihaz Kimliği (Advanced Device ID) Özelliği

Platform, standart cihaz parmak izinin ötesine geçerek “Gelişmiş Cihaz Kimliği” teknolojisini kullanır. Bu teknoloji, kullanıcının tarayıcısını kapatsa, çerezleri temizlese veya VPN kullansa dahi cihazı yüksek bir doğrulukla tanımaya devam eder. Bu kalıcı kimlik, farklı isimler ve hesaplar altında faaliyet gösteren dolandırıcıların aynı cihazı kullandığını tespit ederek kolektif ağların temelini oluşturan bağlantıları ortaya çıkarır.

Davranışsal Biyometri ile Kullanıcı Doğrulama

Udentify, bir kullanıcının sadece “ne bildiği” (şifre) veya “neye sahip olduğu” (telefon) ile değil, aynı zamanda “nasıl davrandığı” ile de kimliğini doğrular. Davranışsal biyometri, kullanıcının klavyeye basma hızı, fare hareketleri, telefonu tutuş açısı gibi mikro davranış kalıplarını analiz eder. Bir hesaba her zamankinden farklı bir kişi giriş yaptığında, bu davranışsal kalıplardaki anormallikler anında tespit edilir. Bu, özellikle hesap ele geçirme (ATO) ve kurye hesabı kullanım durumlarında kritik bir koruma katmanı sağlar.

IP Zekası (IP Intelligence) ve Risk Analizi Yetenekleri

Platform, entegre IP zekası servisleri sayesinde her bir IP adresini anında analiz eder. Gelen bağlantının bir VPN, Proxy veya Tor çıkış noktasına ait olup olmadığını, bilinen bir botnet’in parçası olup olmadığını veya coğrafi olarak müşterinin profiliyle tutarsız olup olmadığını saniyeler içinde belirler. Bu risk analizi, yüksek riskli bağlantıların daha sıkı kontrol edilmesini veya şüpheli durumlarda işlemin bloke edilmesini sağlar.

İlişkisiz Görünen Hesaplar Arasındaki Gizli Bağlantıları Ortaya Çıkarma

Udentify platformunun en önemli yeteneklerinden biri, topladığı tüm bu verileri (cihaz kimliği, IP riski, davranışsal biyometri, coğrafi konum) birleştirerek bir ilişki grafiği oluşturmasıdır. Bu grafik analizi, kağıt üzerinde tamamen bağımsız görünen müşteri hesaplarının aslında aynı cihaz, IP adresi veya davranış kalıbı ile birbirine bağlı olduğunu görsel olarak ortaya koyar. Bu sayede, uyum analistleri tek tek alarmlarla uğraşmak yerine, organize bir aklama ağının tüm yapısını tek bir ekranda görebilir ve gerekli aksiyonları alabilir.

Uygulama Senaryosu: Kolektif Bir Aklama Ağının Adım Adım Tespiti

Teorik bilgileri ve teknolojik yetenekleri somut bir örnekle birleştirmek, sürecin nasıl işlediğini anlamayı kolaylaştırır. Aşağıda, Udentify gibi gelişmiş bir platformun kolektif bir aklama ağını nasıl adım adım ortaya çıkardığına dair bir senaryo yer almaktadır.

Aşama 1: Çok Sayıda İlişkisiz Hesabın Açılması ve Fonlanması

Bir suç örgütü, farklı şehirlerde yaşayan 50 kişiyi “para kuryesi” olarak işe alır. Bu kişiler, kendi adlarına farklı fintek kuruluşlarında hesaplar açar. Ardından, yasa dışı faaliyetlerden elde edilen nakit para, bu 50 hesaba küçük tutarlar halinde (örneğin, her birine 1.000 TL – 2.000 TL arası) farklı ATM’lerden yatırılır. Bu aşamada, her bir işlem tek başına incelendiğinde düşük riskli ve normal görünür.

Aşama 2: Udentify Platformunun Aynı Cihaz Parmak İzini Tespit Etmesi

Ağ operatörü, bu 50 hesabı yönetmek için kendi bilgisayarını veya birkaç farklı mobil cihazı kullanır. Kurye hesaplarına giriş yapıp parayı bir sonraki hedefe transfer etmeye başladığında, Udentify platformu arka planda çalışır. Platform, birbirinden tamamen farklı 50 müşteri adına açılmış hesaplara aslında aynı benzersiz cihaz kimliğine sahip bilgisayardan erişildiğini anında tespit eder. Bu, ilk ve en önemli kırmızı bayraktır.

Aşama 3: Şüpheli IP Adreslerinin ve Coğrafi Tutarsızlıkların İşaretlenmesi

Ağ operatörü, kimliğini gizlemek için bir VPN hizmeti kullanmaktadır. Udentify’ın IP zekası modülü, operatörün kullandığı IP adresinin bilinen bir VPN sağlayıcısına ait olduğunu belirler ve bu bağlantının risk skorunu yükseltir. Ayrıca, kuryelerin normalde yaşadığı şehirler (örneğin, Konya, Adana, Erzurum) ile operatörün VPN üzerinden bağlandığı konum (örneğin, Frankfurt) arasında bir coğrafi tutarsızlık tespit edilir.

Aşama 4: Ağ Analizi ile Tüm Kurye Hesaplarının Haritalanması ve Alarm Üretimi

Platform, topladığı tüm bu sinyalleri (paylaşılan cihaz kimliği, yüksek riskli IP, coğrafi anomali) bir araya getirir. Ağ analizi modülü, bu 50 kurye hesabının tamamını ve onları kontrol eden merkezi cihazı gösteren bir ilişki haritası oluşturur. Artık olay, 50 ayrı düşük riskli işlem değil, tek bir yüksek riskli, organize faaliyet olarak tanımlanır. Sistem, bu organize ağa yönelik bütünsel bir “Kolektif Aklama” alarmı üretir ve uyum birimine iletir.

Aşama 5: Şüpheli İşlem Bildirimi (ŞİB) Sürecinin Başlatılması

Uyum analisti, önüne gelen alarmı incelediğinde sadece tek bir işlemi değil, ağın tamamını görür. İlişki haritası, hangi hesapların bu ağın parçası olduğunu, operatörün hangi cihaz ve IP’leri kullandığını ve fonların nasıl hareket ettiğini net bir şekilde gösterir. Bu somut ve delillendirilmiş bilgiyle, analist MASAK’a kapsamlı bir Şüpheli İşlem Bildirimi (ŞİB) hazırlar. Bildirim, sadece birkaç işlemi değil, organize suç ağının tamamını ve işleyişini içerecek şekilde detaylandırılır.

Kolektif Aklama Tespitinde Karşılaşılan Zorluklar ve Çözüm Önerileri

IP adresi ve cihaz parmak izi gibi güçlü araçlar, kolektif aklama ile mücadelede büyük avantajlar sağlasa da, bu teknolojilerin kullanımı bazı zorlukları ve dikkat edilmesi gereken noktaları da beraberinde getirir. Başarılı bir strateji, bu zorlukların farkında olmayı ve bunlara yönelik çözümler geliştirmeyi gerektirir.

Veri Gizliliği ve KVKK Uyumluluğu

IP adresi ve cihaz parmak izi gibi veriler, Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri olarak kabul edilebilir. Bu verilerin toplanması, işlenmesi ve saklanması süreçlerinin KVKK’ya tam uyumlu olması esastır. Çözüm olarak, kuruluşların yasal meşruiyetlerini “hukuki yükümlülüklerin yerine getirilmesi” (5549 Sayılı Kanun) ve “meşru menfaat” (dolandırıcılığın önlenmesi) dayanaklarına oturtması gerekir. Toplanan veriler sadece AML ve dolandırıcılıkla mücadele amacıyla kullanılmalı, şeffaf bir aydınlatma metni ile kullanıcılar bilgilendirilmeli ve veriler Türkiye sınırları içinde güvenli bir altyapıda saklanmalıdır. Bulut tabanlı çözümlerin veri yerelleştirme (data residency) kurallarına uyması bu noktada kritik öneme sahiptir.

Yanlış Pozitif (False Positive) Oranlarının Yönetimi

Bazen meşru durumlar da şüpheli görünebilir. Örneğin, bir aile içindeki birden fazla kişinin aynı ev bilgisayarını kullanması, halka açık bir Wi-Fi ağından (kafe, havaalanı) çok sayıda farklı kullanıcının bağlanması veya kurumsal bir ağ geçidinden (NAT) tüm çalışanların aynı IP adresi ile çıkması gibi durumlar, yanlış pozitif alarmlara neden olabilir. Çözüm, kural setlerini zenginleştirmektir. Sadece tek bir sinyale (örn: aynı IP) dayanmak yerine, çoklu sinyalleri (örn: aynı IP + farklı cihazlar + normal işlem davranışı) birleştiren ve bağlamı analiz eden yapay zeka modelleri kullanılmalıdır. Bu, yanlış pozitif oranını düşürerek uyum ekiplerinin gerçekten şüpheli olan vakalara odaklanmasını sağlar.

Kimlik Gizleme Teknolojileri (VPN, Proxy) ile Mücadele Stratejileri

Suçlular, dijital izlerini gizlemek için sürekli olarak VPN, Proxy, Tor veya sanallaştırma gibi teknolojileri kullanır. Bu teknolojileri tamamen engellemek, meşru kullanıcıları da etkileyebileceği için her zaman pratik değildir. Bunun yerine, risk tabanlı bir yaklaşım benimsenmelidir. Strateji, bu tür teknolojilerin kullanımını tespit etmek ve bu bağlantılardan gelen işlemlere daha yüksek bir risk skoru atamaktır. Örneğin, bir anonimleştirme aracından gelen yeni bir hesap açma başvurusu ek doğrulama adımlarına (örneğin, uzaktan kimlik tespiti) tabi tutulabilir veya yüksek tutarlı bir işlem ek bir onaya yönlendirilebilir. Amaç, engellemek değil, riski doğru yönetmektir.

Farklı Veri Kaynaklarının Entegrasyonu ve Bütünsel Analiz

Kolektif aklama tespiti sadece IP ve cihaz verileriyle sınırlı değildir. En etkili sonuçlar, bu dijital izlerin, işlem verileri (tutar, sıklık, karşı taraf), müşteri kimlik bilgileri (KYC verileri), ve hatta olumsuz medya taraması (adverse media) gibi farklı veri kaynaklarıyla birleştirilmesiyle elde edilir. Çözüm, tüm bu veri silolarını tek bir platformda birleştirebilen ve aralarındaki korelasyonları analiz edebilen bütünsel bir teknoloji altyapısı kurmaktır. Bu, analistlere her bir vaka hakkında 360 derecelik bir bakış açısı sunar ve daha isabetli kararlar almalarını sağlar.

Kolektif Aklama Tespiti ve Ağ Analizi İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?

Finansal suçlarla mücadelede doğru teknoloji ortağını seçmek, yasal yükümlülüklere uyum sağlamak ve kurum itibarını korumak için kritik bir karardır. İHS Teknoloji, global teknoloji liderliği ile yerel pazar uzmanlığını birleştirerek kolektif aklama ve ağ analizi konularında benzersiz bir çözüm sunar.

Fraud.com’un Global Teknolojisi ve İHS Teknoloji’nin Yerel Uzmanlığı

Çözümlerimiz, dünya çapında kanıtlanmış, yapay zeka ve makine öğrenmesi destekli Fraud.com platformunun gücünü temel alır. Bu global teknoloji, İHS Teknoloji’nin Türkiye’deki regülasyonlar, pazar dinamikleri ve yerel tehdit ortamı hakkındaki derin uzmanlığı ile birleşerek ihtiyaçlarınıza özel, güçlü ve uyumlu bir çözüm ortaya çıkarır.

5651 ve 5549 Sayılı Kanunlara Uyumlu Gelişmiş Çözümler

Platformumuz, hem MASAK‘ın AML/CFT yükümlülüklerini hem de 5651 Sayılı Kanun’un getirdiği dijital iz yönetimi gerekliliklerini göz önünde bulundurarak tasarlanmıştır. Verileriniz, İHS Teknoloji’nin Türkiye’deki yerel özel bulut altyapısında, KVKK ile tam uyumlu ve yedekli veri merkezlerinde güvenle saklanır. Bu, yasal uyumluluk ve veri egemenliği endişelerinizi ortadan kaldırır.

Gerçek Zamanlı ve Otomatik Analiz ile Operasyonel Verimlilik

Geleneksel batch (toplu) analiz sistemlerinin aksine, platformumuz her bir işlemi gerçekleştiği anda analiz eder. Otomatik ağ analizi ve risk skorlaması, uyum ekiplerinizin yüzlerce tekil alarm arasında kaybolmasını önler. Sistemimiz, yalnızca gerçekten önemli ve birbiriyle bağlantılı olayları bir araya getirerek anlamlı vakalar oluşturur. Bu, “uyarı yorgunluğunu” azaltır ve operasyonel verimliliği önemli ölçüde artırır.

Kapsamlı Ağ Analizi ile Gizli Suç İlişkilerini Ortaya Çıkarma Yeteneği

Sunduğumuz çözümün temel farkı, tekil işlemlere değil, ilişkiler bütününe odaklanmasıdır. Gelişmiş grafik analizi yetenekleri sayesinde, en karmaşık ve gizli suç ağlarını bile görselleştirerek ortaya çıkarırız. Bu sayede sadece “ne” olduğunu değil, “kimlerin” birlikte hareket ettiğini ve suçun “nasıl” işlendiğini de anlarsınız. Bu derinlemesine analiz, daha etkili soruşturmalar yapmanıza ve gelecekteki tehditleri öngörmenize olanak tanır.

Esnek Entegrasyon ve Ölçeklenebilir Altyapı Desteği

API tabanlı esnek mimarimiz, mevcut sistemlerinizle (Core Banking, CRM vb.) kolayca entegre olur. Bulut tabanlı altyapımız, donanım yatırımı yapmanıza gerek kalmadan, iş hacminiz arttıkça kolayca ölçeklenebilir bir yapı sunar. İster yeni kurulan bir fintek olun, ister büyük bir banka, İHS Teknoloji’nin çözümleri, bugünkü ihtiyaçlarınızı karşılayarak yarının zorluklarına karşı sizi hazırlar.

Related articles