TOKİ tuzakları Google’ın en tepesinde: Binlerce kişi av oldu

Dolandırıcılar vatandaşların Türkiye’de TOKİ’nin 500 Bin Sosyal Konut Projesi’ne gösterdiği yoğun ilgiyi de çıkarlarına alet etti. Kamu kurumlarının web sitelerini birebir kopyalayan sahtekarlar, Google üzerinden satın alınan reklamlarla bu sahte sitelerin arama sonuçlarının en üst sırasına taşındığı ortaya çıktı.

Google’ın resmi politikasına göre reklamlar zararlı yazılım, yasa dışı ürün, tehlikeli hizmet gibi teknik kriterlere göre filtreleniyor. Ancak kamu kurumlarının adının veya tasarımının taklit edilmesi bu filtrelerde özel bir yasak kategorisi olmadığı için kolaylıklar onay alıyor.

Küçücük 'reklam' uyarısı gözden kaçıyor

Dolandırıcılar genellikle ‘toki-gov-tr.com’, ‘toki-basvuru.org’ ya da e-Devlet’e benzeyen adreslerle site açıyor. Bu sitelerde hem TOKİ’nin logosu hem e-Devlet’in kırmızı-beyaz arayüzü hem de resmi sayfalarla neredeyse ayırt edilemeyecek bir tasarım kullanılıyor. Hazırlanan sahte başvuru formları, Google’da ‘TOKİ başvuru’, ‘sosyal konut kura sonuçları’ gibi popüler kelimelerde en üst sıraya yerleşiyor. Kullanıcıların birçoğu sonuçların yanında yer alan küçük ‘Reklam’ ibaresini fark etmeden bu siteleri resmi sayfa sanıyor.

Yeni Şafak, bu yöntemle dolandırılan bir vatandaşın TOKİ başvurusu yapmak isterken Google arama sonuçlarında gördüğü ilk linke tıkladığını, sahte bir form doldurmasının ardından telefonla aranarak ‘kura sigorta ücreti’ ve ‘başvuru teminatı’ adı altında 27 bin 500 lira ödeme yapmaya ikna edildiğini yazdı. Mehmet isimli vatandaşın ödemeyi yaptıktan sonra aradığı numaraya bir daha ulaşamadığı belirtildi. Son dönemde benzer şikayetlerin sayısının arttığı vurgulandı.

Google sistemi nasıl işliyor

Bu dolandırıcılık mekanizmasının Google tarafından nasıl onaylandığı ise tartışma konusu. Reklamların büyük bölümünü otomatik sistemlerle inceleyen Google, bir sitenin tasarım olarak kime benzediğini tespit edemiyor; yalnızca zararlı yazılım, virüs veya siber saldırı girişimi olup olmadığını kontrol ediyor. Sahte TOKİ siteleri teknik olarak temiz göründüğü için güvenlik filtresini geçiyor. Reklam metinlerinde de ‘resmi’ gibi iddialı ifadeler kullanılmadığından (örneğin ‘TOKİ kura bilgilendirme’ ya da ‘sosyal konut başvurusu detayları’ gibi masum ifadeler) onay sürecini sorunsuz atlatıyor.
Öte yandan Google Ads hesapları sahte şirket bilgilerinin sisteme yüklenmesiyle açılabildiğinden, çoğu zaman gerçek bir kurumsal kimlik kontrolü yapılmıyor. Bu nedenle dolandırıcılar genellikle kısa süreli bir reklam yayınıyla yüz binlerce liralık vurgun yapıp, hesap kapanmadan ortadan kayboluyor.

Sahte siteler BTK tarafından engellense bile, dolandırıcıların birkaç saat içinde yeni bir alan adı açarak aynı tasarımı yüklediği ve yeniden reklam verdiği biliniyor. Bu döngü nedeniyle vatandaş her seferinde yeni bir riskle karşı karşıya kalıyor.

Tüm dünyanın sorunu

Bu problem yalnızca Türkiye’ye özgü değil. ABD’de IRS (İç Gelir İdaresi), İngiltere’de HMRC (Maliye İdaresi) ve DVLA (Araç Standartları Kurumu) gibi kurumları taklit eden sahte siteler de yıllardır Google reklamları üzerinden kullanıcıları dolandırıyor. Meclis raporlarına kadar giren bu sorun, arama motorlarındaki otomatik reklam onay sistemlerinin güvenlik açıklarını bir kez daha gündeme getiriyor.

Google’ın bu konuda daha gelişmiş kimlik doğrulama ve kurum doğrulaması yapması yönünde uluslararası baskı giderek artıyor.