Uygulamanızın kayıt ya da giriş ekranındaki o küçük "Doğrulama kodu gönder" butonu, kullanıcı için bir kolaylıktan ibarettir. Ama saldırgan için bambaşka bir şeydir: bir para musluğu. Çünkü her tıklama, sizin cebinizden çıkan bir SMS'i tetikler. Eğer o tıklamaları bir insan değil de binlerce sahte numara giren bir bot yapıyorsa ve mesajlar gerçek bir kullanıcıya değil, dolandırıcının pay aldığı pahalı bir rotaya gidiyorsa, ortada sessizce işleyen bir dolandırıcılık makinesi var demektir. Bu makinenin adı SMS pompalama (SMS pumping) — ya da sektörün kullandığı teknik terimle Artificial Inflation of Traffic (AIT), "yapay trafik şişirme".

Mesele küçük değil. Mobilesquared/Enea verilerine göre yalnızca 2023'te işletmeler SMS pompalamaya yaklaşık 1,15 milyar dolar kaptırdı. Uluslararası A2P (uygulamadan kişiye) SMS trafiğinin %89'unun OTP mesajları üzerinden hedef alındığı, 2020-2024 arasında uluslararası SMS maliyetlerinin %85 arttığı ve bu artışın bir bölümünün doğrudan dolandırıcılıktan kaynaklandığı belirtiliyor. Juniper Research ise 2025'te toplam mesajlaşma dolandırıcılığının maliyetini 80,5 milyar dolar seviyesinde öngörüyor. Bu yazıda, OTP ve doğrulama SMS'i gönderen her marka için artık göz ardı edilemez hâle gelen bu tehdidi; nasıl çalıştığını, nasıl fark edileceğini ve nasıl savunulacağını ele alıyoruz.

Sorumluluk reddi: Bu yazıdaki rakamlar Mobilesquared/Enea, XConnect, Juniper Research ve şirketlerin kamuya açık açıklamaları gibi üçüncü taraf kaynaklara dayanır ve tahmini niteliktedir; metodolojiye göre değişebilir. Amaç bir tehdidin ölçeğini somutlaştırmaktır, kesin muhasebe değil. Savunma önerileri genel iyi uygulamalardır; her işletmenin risk profili farklıdır. Kendi altyapınız için karar verirken sağlayıcınızın ve güvenlik ekibinizin güncel değerlendirmesini esas alın.

SMS Pompalama Tam Olarak Nedir?

SMS pompalama, bir işletmenin web formundaki ya da uygulamasındaki "SMS tetikleyen" alanların kötüye kullanılmasıdır. Tipik tetikleyiciler: OTP / tek kullanımlık şifre giriş formları, kayıt ekranları, "uygulamayı indir bağlantısını telefonuma gönder" alanları. Saldırgan, bu formlara kendi kontrolündeki ya da yüksek terminasyon ücretli (premium) rotalardaki numaraları otomatik olarak girer. İşletmenin gözünde bunlar gerçek kullanıcı talebi gibi görünür; oysa hiçbiri gerçek bir müşteriye karşılık gelmez.

GSMA, bu davranışı "Artificial Inflation of Traffic" (AIT) başlığı altında resmî bir dolandırıcılık kategorisi olarak tanımlar ve daha geniş IRSF (International Revenue Share Fraud — Uluslararası Gelir Paylaşımı Dolandırıcılığı) ailesiyle birlikte ele alır. İsmin teknik olması önemli: AIT, tek bir hata değil; operatörler, aracılar ve sahte trafik arasında bir gelir paylaşım zincirine dayanan, organize bir iş modelidir.

Mekanik: Para Nasıl El Değiştiriyor?

Dolandırıcılığın çekirdeği, SMS dünyasının ödeme modelinde gizli. Bir SMS pahalı, uluslararası bir hatta ulaştığında, o hattı sonlandıran operatör aldığı terminasyon ücretinin bir kısmını zincirdeki diğer taraflarla paylaşabilir. Dolandırıcı tam da bu paylaşımdan beslenir. Döngü genellikle şöyle işler:

• Saldırgan, SMS tetikleyen bir form ya da uygulama akışı belirler (OTP girişi, kayıt, "indirme bağlantısı gönder").
• Bir bot, bu formu sahte ya da premium rotalı binlerce numarayla doldurur.
• İşletme, bu numaralara binlerce SMS gönderir — kendi gözünde meşru bir trafik.
• Mesajlar, dolandırıcının iş birliği yaptığı tarafın bulunduğu pahalı rotaya düşer; o taraf trafiğin gelir payını alır.
• Faturanın tamamını işletme öder — ve karşılığında tek bir gerçek kullanıcı bile kazanmaz.

Dolandırıcılar maliyeti maksimize etmek için trafiği bilinçli olarak uzak, yüksek terminasyon ücretli uluslararası destinasyonlara yönlendirir; kâr orada en yüksektir. Bu yüzden çoğu zaman ilk uyarı sinyali, "hiç müşterimiz olmayan ülkelere neden binlerce OTP gidiyor?" sorusudur.

Bu Soyut Bir Tehdit Değil: Gerçek Vakalar

AIT'nin somutluğunu en iyi anlatan örnek, sektörü sarsan bir itiraftı. Elon Musk, 2022'de Twitter'ın yılda yaklaşık 60 milyon dolarını SMS pompalamaya kaptırdığını açıkladı. Tabloya göre, iki faktörlü doğrulama (2FA) akışını sömüren yaklaşık 390 telekom operatörü bot hesaplarla sahte SMS trafiği üretip kendi gelirlerini şişiriyordu. Musk'ın tepkisi sert oldu: dolandırıcılık oranı %10'u aşan operatörlerle çalışmayı kesti — ki bu, Kuzey Amerika dışındaki 390 operatöre denk geldi. Şirket sonrasında, ücretli abonelik dışındaki kullanıcılar için SMS tabanlı 2FA'yı tümüyle kapattı. Bir güvenlik özelliğinin (2FA), bir maliyet kalemi yüzünden geri çekilmesi, AIT'nin sadece bütçeyi değil güvenlik kararlarını da nasıl çarpıttığının çarpıcı bir kanıtıydı.

Bu izole bir olay da değil. 2024'te kimlik yönetimi şirketi Okta, Auth0 ve Oracle OCI kayıt akışlarını aynı anda birden çok kurumsal müşteride hedef alan, sürekli devam eden bir AIT kampanyası tespit etti. Yani tehdit, küçük bir uygulamadan en büyük kimlik altyapılarına kadar her ölçeği vuruyor.

2026: Yapay Zekâ Destekli "Flash" Saldırıları

SMS pompalama yeni bir kavram olsa da, 2026'daki hâli daha tehlikeli. Eski botlar görece kaba davranır, basit hız sınırlarına takılırdı. Bugünün organize şebekeleri ise üretken yapay zekâ ve dağıtık bot ağları (botnet) kullanıyor. Bunun iki sonucu var:

• "Flash" saldırıları: Saldırı dakikalar içinde patlar, bütçeyi siz fark etmeden tüketir ve kaybolur. Günlük raporu beklerseniz iş işten geçmiş olur.
• İnsan davranışını taklit: Yapay zekâ, talepleri zaman içine yayarak ve insan benzeri desenler üreterek basit hız limitlerini ve kural tabanlı filtreleri atlatabiliyor. Yani "IP başına 5 OTP" gibi tek katmanlı bir savunma artık tek başına yeterli değil.

İşletmenize Verdiği Üç Tür Zarar

AIT'nin maliyeti sadece şişen SMS faturası değil. Tipik olarak üç katmanda vurur:

• Finansal kayıp: Sahte numaralara giden mesajların parasını ödersiniz; sonuç sıfır. Üstelik maliyet, kimse fark etmeden hızla birikir.
• Hizmet kesintisi: Aktif bir saldırıyı durdurmak için tüm mesajlaşma akışınızı geçici olarak kapatmak zorunda kalabilirsiniz — bu da gerçek müşterilerinizin giriş yapamaması, kayıt olamaması demektir.
• Operasyonel dikkat dağınıklığı: Ekibiniz büyümeye değil, yangın söndürmeye odaklanır. Dolandırıcılık müdahalesi her şeyi yavaşlatır.

En çok hedef alınan sektörler de tahmin edilebilir: fintek, e-ticaret, oyun ve çağrı/yolculuk paylaşımı gibi OTP'ye yoğun biçimde bağımlı olan her alan. Bölgesel olaraksa Afrika en yüksek riskli pazarları barındırıyor; ardından Asya, Karayipler, APAC, MENA ve BDT ülkeleri geliyor.

Saldırı Altında mıyım? Uyarı İşaretleri

AIT'nin sinsiliği, "meşru görünmesinde". Yine de bir dizi karakteristik sinyal var. Şunları görüyorsanız alarm vakti:

• Ani OTP talebi sıçramaları: Kullanıcı sayınız sabitken doğrulama SMS'i hacminin açıklanamayan biçimde fırlaması.
• Beklenmedik coğrafyalar: Hiç müşteriniz olmayan ülkelere giden trafik. (Türkiye'ye hizmet veren bir markanın uzak destinasyonlara binlerce OTP göndermesi klasik bir kırmızı bayraktır.)
• Ardışık / desenli numaralar: Birbirini izleyen ya da belirli bir kalıba uyan telefon numaralarına yoğun gönderim.
• Düşük dönüşüm: OTP gönderiminiz patlarken tamamlanan kayıt/giriş oranının dibe vurması — yani gönderilen kodların karşılığının gelmemesi.

Katmanlı Savunma: Tek Bir Sihirli Çözüm Yok

AIT'ye karşı en etkili yaklaşım katmanlı savunma: tek bir önlem değil, üst üste binen birkaç önlem. Çünkü yapay zekâ destekli botlar tek katmanı atlatabilir, ama birkaçını aynı anda aşmak çok daha zordur. Pratik önlemler:

• Hız sınırlama (rate limiting): Tek bir IP adresi ya da telefon numarasının belirli bir zaman penceresinde tetikleyebileceği OTP sayısını kısıtlayın.
• CAPTCHA / bot tespiti: SMS gönderilmeden önce, form seviyesinde otomatik gönderimleri engelleyen bir sürtünme katmanı ekleyin.
• Tekrar denemeler arasına gecikme: Kullanıcının yeni bir OTP isteyebilmesi için bekleme süresi koyun; bu, yüksek hacimli saldırıları verimsiz kılar.
• Coğrafi sınırlama (geo-permitting): Yalnızca gerçekten hizmet verdiğiniz ülkelere gönderime izin verin. Türkiye'ye hizmet veren bir markanın uzak uluslararası rotaları varsayılan olarak kapatması, AIT yüzeyini ciddi biçimde daraltır.
• Gerçek zamanlı izleme: Günlük raporları beklemeyin. "Flash" saldırılarını ancak anlık anomali uyarıları yakalayabilir. Hacim, coğrafya ve dönüşüm metriklerini canlı izleyin.
• Bütçe ve kota tavanları: Kanal ya da zaman dilimi başına gönderim tavanı koyun; bir saldırı, sınırlandırılmış bir bütçeyi aşamadan otomatik dursun.

Sağlayıcı Seçimi: Savunmanın Görünmeyen Katmanı

Yukarıdaki önlemlerin birçoğu uygulama tarafındadır; ama AIT riskinizi belirleyen kritik bir etken de hangi SMS altyapısıyla çalıştığınız. Burada İletiniz gibi Türkiye operatörlerine doğrudan gönderim yapan yerli bir altyapının doğal bir avantajı var: trafiğiniz ağırlıklı olarak yurt içi numaralara aktığında, AIT'nin beslendiği uzak ve yüksek ücretli uluslararası rotalar doğal olarak devre dışı kalır — yani dolandırıcının kâr ettiği zemin daralır.

İletiniz tarafında savunmaya katkı sağlayan unsurlar şunlardır:

• Gerçek zamanlı kullanım ve kota görünürlüğü: Gönderim hacminizi ve bakiyenizi anlık izleyebildiğiniz panel, ani sıçramaları erken yakalamanın temelidir.
• Kota ve bütçe tavanları: API kullanımına bağlanan kota mantığı, kontrolsüz bir gönderim patlamasının faturanızı kontrolsüz büyütmesini engeller.
• OTP odaklı SMS API: Doğrulama akışlarınızı tek bir entegrasyonla yönetip, hız sınırlama ve gecikme kurallarınızı bu akışın etrafına inşa edebilirsiniz.
• Yurt içi odaklı gönderim: Türkiye pazarına hizmet veren markalar için doğal coğrafi sınırlama; uluslararası premium rota riskini baştan azaltır.

Önemli bir dürüstlük notu: hiçbir sağlayıcı tek başına AIT'yi "sıfırlamaz". Doğru altyapı, riski azaltan güçlü bir katmandır; ama onu uygulama tarafındaki CAPTCHA, hız sınırlama ve izleme önlemleriyle birlikte kurmak gerekir. Güvenlik, tek bir ürünün değil, katmanların işidir.

Sonuç

SMS pompalama / AIT, gürültüsüz çalıştığı için tehlikeli: faturanız şişene kadar her şey "normal" görünür. Twitter'ın yılda 60 milyon dolarlık kaybı, sektörün 2023'teki 1,15 milyar dolarlık zararı ve 2026'nın yapay zekâ destekli "Flash" saldırıları, bunun marjinal değil yapısal bir tehdit olduğunu gösteriyor. İyi haber şu: tamamen savunmasız değilsiniz. Form seviyesinde bot tespiti, hız sınırlama, coğrafi sınırlama, gerçek zamanlı izleme ve kota tavanlarından oluşan katmanlı bir savunma; doğru, yurt içi odaklı bir gönderim altyapısıyla birleştiğinde AIT'nin beslendiği zemini büyük ölçüde ortadan kaldırır. OTP göndermek, bir kolaylık olmaktan çıkıp bir maliyet riskine dönüşmeden önce — o "Doğrulama kodu gönder" butonunun arkasını bugün güçlendirin.