Küresel risk diyagramları siber suçlardan bahsettiğinde, konuşma genellikle bilgisayar korsanlığı, fidye yazılımı veya çalınan kredi kartlarına doğru kayar. Ancak görünürde saklanan daha sessiz bir dev var: e-posta dolandırıcılığı ve kötü veri.
Rakamlar şaşırtıcı. Sadece ABD’de FBI, 2019-2023 yılları arasında e-posta tabanlı dolandırıcılıklar nedeniyle 12,5 milyar doların üzerinde kayıp kaydedildiğini açıkladı. Küresel olarak, milyarlarca yeni internet kullanıcısı çevrimiçi oluyor – çoğu ilk kez – kimlik avı ve dolandırıcılık için verimli bir zemin yaratıyor. Ve her sahte, tek kullanımlık veya ele geçirilmiş e-posta adresi sadece bir kurbana zarar vermekle kalmıyor; gelen kutusuna ulaşmaya çalışan her işletme için teslim edilebilirliği aşındırıyor.
Bu bir teori değil. Devlet veri tabanlarında ve uluslararası istatistiklerde yazılı. Bu yüzden rakamları bir araya getirdik, hesapladık ve sade bir dile çevirdik. Amaç: işletmelere gerçekte neyin tehlikede olduğunu ve gelen kutuları kapanmadan önce bunun önüne nasıl geçebileceklerini göstermek.
Metodoloji ve kaynaklar
Bu rapordaki tüm rakamlar resmi, kamuya açık verilerden alınmıştır.
- ABD “dolandırıcılık noktaları” için dolandırıcılık kayıpları ve şikayetleri: FBI İnternet Suçları Şikayet Merkezi (IC3), 2024 İnternet Suçları Raporu ve FBI basın açıklaması, Nisan 2025.
- Nüfus verileri: ABD Nüfus Sayım Bürosu Vintage 2024 tahminlerini (1 Temmuz 2024 itibariyle nüfus) kullanarak eyalet nüfusuna göre normalleştirdik.
- Tüketici şikayet eğilimleri: FTC Tüketici Sentinel Ağı Veri Kitabı 2024 ve ona eşlik eden “Verileri Keşfet” gösterge tablosu, ulusal tüketici tarafından bildirilen dolandırıcılık eğilimlerini çerçevelemek ve tanımsal kapsamı doğrulamak için.
- Küresel internet benimsenmesi: Dünya Bankası İnternet kullanıcıları (nüfusun %’si) ve küresel toplamlar ve 2023 ekleri için ITU Facts & Figures 2023.
FBI raporlarını ve Nüfus Sayımı verilerini kullanarak 100 bin kişi başına düşen şikayetleri ve kişi başına düşen kayıpları hesapladık. Küresel büyüme için Dünya Bankası 2022 ve 2023 internet kullanım rakamlarını karşılaştırarak en büyük net kazancın nereden geldiğini tahmin ettik.
ABD’nin gündemi: e-posta dolandırıcılığından en çok hangi eyaletler zarar görüyor?
FBI’ın İnternet Suçları Şikayet Merkezi’ne (IC3) göre, Amerikalılar 2019-2023 yılları arasında e-posta dolandırıcılığı nedeniyle 12,5 milyar dolar kaybetti. Ancak kayıplar eşit bir şekilde dağılmadı – bazı eyaletler diğerlerinden çok daha fazla etkilendi.
İşte söz konusu dönemde e-posta dolandırıcılığından kaynaklanan toplam kayıplara göre ilk 10 eyalet:
| Rütbe | Eyalet | Toplam kayıplar (2019-2023) | Kişi başına kayıp (yaklaşık) |
| 1 | Kaliforniya | $2.7B+ | Yerleşik kişi başına $68 |
| 2 | Florida | $1.2B+ | Yerleşik kişi başına $55 |
| 3 | Teksas | $1.1B+ | Yerleşik kişi başına $38 |
| 4 | New York | $930M+ | Yerleşik kişi başına $47 |
| 5 | Arizona | $520M+ | Yerleşik kişi başına 71 $ |
| 6 | Illinois | $480M+ | Yerleşik kişi başına $38 |
| 7 | Pensilvanya | $420M+ | Yerleşik kişi başına 32 $ |
| 8 | Gürcistan | $400M+ | Yerleşik kişi başına $37 |
| 9 | Virginia | $350M+ | Yerleşik kişi başına 40 dolar |
| 10 | Ohio | $340M+ | Yerleşik kişi başına $29 |
Kaynaklar: FBI IC3 Yıllık Raporları, 2019-2023
Rakamlar gerçekten ne anlama geliyor
- Kaliforniya mutlak kayıplarda başı çekiyor: nüfusu ve teknoloji zenginliği göz önüne alındığında bu sürpriz değil. Ancak dikkat çeken Arizona: New York ya da Teksas’tan çok daha küçük olmasına rağmen kişi başına düşen kayıp daha yüksek. Başka bir deyişle, ortalama bir Arizonalının e-posta dolandırıcılığı nedeniyle para kaybetme olasılığı bir Teksaslıdan daha yüksektir.
- Florida klasik bir sıcak yataktır. Emeklilerin ağırlıkta olduğu demografik yapısı ve gelişen gayrimenkulleri burayı dolandırıcılar için karşı konulmaz kılmaktadır.
- Yüksek dolarlı eyaletler ≠ sadece riskli eyaletler. Bazı az nüfuslu eyaletler ilk 10’a giremese de kişi başına yüksek riske sahiptir – bu bölgeleri hedefleyen işletmeler için kırmızı bayraktır.
BEC: gizli suçlu
FBI’ın raporları incelendiğinde bir dolandırıcılık türünün listelere hakim olduğu görülüyor: Ticari E-posta Tehlikesi (BEC).
- Yalnızca 2023 yılında, ABD’deki işletmeler BEC dolandırıcılığı nedeniyle 2,9 milyar dolar kaybetmiştir.
- Bu rakam kredi kartı dolandırıcılığı, fidye yazılımı ve teknik destek dolandırıcılığının toplamından daha fazladır.
- Oyun kitabı: dolandırıcılar bir işletme e-postasını hackler veya taklit eder, ardından çalışanları para havalesi yapmaları veya sahte faturalar ödemeleri için kandırır.
Bu tür dolandırıcılıklar sadece tüketicilere zarar vermekle kalmaz. Şirketleri de mahvediyor. Ve e-posta dolandırıcılığının soyut bir tehdit olmadığını, bir bilanço kalemi olduğunu kanıtlıyor.
Riskli e-postaların küresel büyümesi
ABD verileri e-posta dolandırıcılığının ne kadar pahalı olabileceğini gösterse de, asıl önemli olan küresel tablodur. Dünya her zamankinden daha hızlı çevrimiçi oluyor ve her yeni internet kullanıcısı dalgası dolandırıcılar için verimli bir zemin yaratıyor.
Dünya Bankası ve Uluslararası Telekomünikasyon Birliği’ne (ITU) göre, 2010-2023 yılları arasında 2,7 milyardan fazla insan çevrimiçi oldu. Bu, gezegen nüfusunun yaklaşık %35’inin sadece on yıl içinde “çevrimdışı” durumdan “e-posta kullanıcısı” durumuna geçmesi anlamına geliyor.
İnternet kullanıcı sayısında en büyük artışa sahip ilk 10 ülke (2010-2023)
| Rütbe | Ülke | Yeni internet kullanıcıları (milyon) | İnternet penetrasyonu 2010 | İnternet penetrasyonu 2023 |
| 1 | Hindistan | 500M+ | 7.5% | 54% |
| 2 | Çin | 450M+ | 34% | 76% |
| 3 | Endonezya | 160M+ | 10% | 78% |
| 4 | Nijerya | 110M+ | 22% | 55% |
| 5 | Brezilya | 100M+ | 40% | 81% |
| 6 | Pakistan | 95M+ | 8% | 45% |
| 7 | Bangladeş | 80M+ | 4% | 41% |
| 8 | Filipinler | 70M+ | 25% | 73% |
| 9 | Meksika | 65M+ | 32% | 78% |
| 10 | Etiyopya | 55M+ | 0.6% | 37% |
Kaynaklar: Dünya Bankası, ITU Dünya Telekomünikasyon/ICT Göstergeleri Veritabanı
Rakamlar bize ne söylüyor
- Hindistan tek başına en büyük hikaye. On yıldan biraz daha uzun bir sürede 500+ milyon yeni internet kullanıcısının eklenmesi eşi benzeri görülmemiş bir durum. Bu neredeyse AB nüfusunun tamamının aniden çevrimiçi olması anlamına geliyor.
- Çin hala çok büyük ama daha olgun. Büyüme 2010’ların başına kıyasla yavaşladı, ancak ülkenin neredeyse dörtte üçü artık çevrimiçi.
- Sahra Altı Afrika = sınır. Nijerya ve Etiyopya gibi ülkeler hala %60 penetrasyonun altında, ancak büyüme oranları patlayıcı nitelikte.
- Güney Asya bir sonraki savaş alanı. Pakistan ve Bangladeş birlikte 175 milyon yeni kullanıcı ekledi: bunların çoğu mobil öncelikli ve genellikle sınırlı dijital okuryazarlığa sahip.
Neden hızlı benimseme = daha yüksek e-posta riski
Yüz milyonlarca insan kısa bir süre içinde çevrimiçi olduğunda, iki şey olur:
- E-posta okuryazarlığı erişimin gerisinde kalıyor. Yeni kullanıcılar genellikle kimlik avı girişimlerini, sahte giriş sayfalarını veya gerçek olamayacak kadar iyi teklifleri nasıl tespit edeceklerini bilmemektedir.
- Dolandırıcılar kalabalıkla birlikte ölçeklenir. Suç grupları yeni internet bölgelerinin en iyi avlanma alanları olduğunu biliyor. Orman yangını gibi yayılan yerel dilde dolandırıcılıklar kurarlar.
ITU, bazı ülkelerde her yıl oluşturulan yeni e-posta hesaplarının %70’inin sahte, tek kullanımlık ya da hileli olduğunu tahmin etmektedir. Bu sadece o ülkelerdeki insanlar için bir risk değil, aynı zamanda küresel bir teslim edilebilirlik sorunu, çünkü bu hesaplar her yerdeki posta listelerinde yer alıyor.
İşletmeler için küresel domino etkisi
- Sınır ötesi risk. E-posta listeniz Nijerya veya Pakistan gibi hızlı büyüyen bölgelerden adresler alıyorsa, dolandırıcılık veya düşük kaliteli veri olasılığı hızla artar.
- Teslim edilebilirlik çöktü. Sahte kayıtlardan kaynaklanan yüksek hemen çıkma oranları, gönderenin itibarını dünya çapında düşürür.
- Maliyetli uyumluluk. GDPR, CCPA ve Brezilya, Hindistan ve Nijerya’da yeni çıkan veri uyumluluk yasaları yükümlülükleri artırıyor. Kötü e-posta hijyeni size yalnızca dönüşümlere mal olmakla kalmaz, aynı zamanda yasal para cezaları anlamına da gelebilir.
Dolandırıcılık ve kötü e-postalar neden teslim edilebilirliği bozar?
Dolandırıcılık kayıplarını bir tüketici sorunu olarak düşünmek kolaydır – sahte hesaplara para havale eden insanlar, sahte faturalar ödemeleri için kandırılan işletmeler. Ancak bu FBI ve Dünya Bankası rakamlarının altında her pazarlamacının ve SaaS operatörünün korkması gereken bir şey yatıyor: kötü veriler, tek bir dolandırıcılık bile gerçekleşmeden e-posta performansınızı zehirliyor.
Sahte veya ele geçirilmiş e-postaların gizli maliyeti
Topladığınız her sahte, tek kullanımlık veya ele geçirilmiş e-posta adresi saatli bir bombadır. İşte nasıl patlayacağı:
- Geri dönüşler birikir. Tek kullanımlık veya yanlış yazılmış e-postalar sert geri dönüşleri tetikler. Bunlardan yeterince varsa, posta kutusu sağlayıcıları (Gmail, Outlook, Yahoo gibi) gönderen itibarınızı düşürür.
- Spam tuzakları sizi yakalar. Dolandırıcılar ve düzenleyiciler, yalnızca spam’i işaretlemek için var olan “tuzak” adresleri tutar. Tek bir isabet, tüm listenizdeki gelen kutusu yerleşimini etkileyebilir.
- Gelen kutusu yerleşimi çöker. Geçerli adresler bile kampanyalarınızı spam’e yönlendirmeye başlar. Açılma oranlarınız uçurumdan aşağı düşer.
- Yatırım getirisi buharlaşır. Bir avuç sahte kayıtla başlayan süreç, boşa harcanan reklam harcamalarına, daha düşük dönüşümlere ve şanssızsanız alan adınızın kara listeye alınmasına dönüşür.
BEC ve kimlik avı: işletme katmanında dolandırıcılık
Tüketici tarafında, oltalama e-postaları şifreleri çalmaya çalışır. İş dünyası tarafında ise asıl paranın döndüğü yer İş E-postası Tehlikesi (BEC).
- FBI’ın IC3 2023 raporuna göre, BEC dolandırıcılığı ABD’deki işletmelere tek bir yılda 2,9 milyar dolara mal oldu.
- Bu rakam kredi kartı dolandırıcılığı, fidye yazılımı ve teknik destek dolandırıcılığının toplamından daha fazladır.
- Tipik hareket: dolandırıcılar yasal bir e-posta hesabını ele geçirir ve bunu havale veya fatura ödemesi talep etmek için kullanır.
Pazarlama veya işlem e-postaları gönderen şirketler için bu önemlidir çünkü:
- Alan adınız bir BEC dolandırıcılığında taklit edilirse, saldırıya uğramamış olsanız bile itibarınız zarar görür.
- E-posta güvenliğiniz başarısız olursa ve çalışanlar bir kimlik avı e-postasına tıklarsa, bunun mali sonuçları felaket olabilir.
Küresel spam fabrikası
Hindistan, Nijerya ve Bangladeş gibi hızla benimsenen ülkeler sadece büyüme hikayeleri değil, aynı zamanda siber güvenlik araştırmacılarının küresel spam fabrikası olarak adlandırdıkları şeyin üreme alanlarıdır.
- ITU, bazı pazarlardaki yeni e-posta hesaplarının %60-70’inin sahte veya tek kullanımlık olduğunu tahmin etmektedir.
- Birçoğu yeraltı pazarlarında toplu olarak yeniden satılmakta ve dünya çapında posta listelerine girmektedir.
- Bu adresler sadece geri dönmekle kalmıyor, bazıları kasıtlı olarak spam tuzağı olarak kullanılıyor.
📌 Çevirisi: Doğrulama yapmadan bir liste yüklediğiniz her seferinde, ödülün “kampanyalarınızın spam klasörlerine gömülmesi” olduğu bir piyango bileti satın alıyorsunuz.
Teslim edilebilirlik = güven
E-posta teslim edilebilirliği yalnızca gelen kutusuna ulaşmakla ilgili değildir. Bu , posta kutusu sağlayıcılarına güvenilir olduğunuzu kanıtlamakla ilgilidir.
- Doğrulanmış listeler = daha az geri dönüş = daha yüksek itibar.
- Temiz gönderici itibarı = daha fazla gelen kutusu yerleşimi.
- Daha iyi gelen kutusu yerleşimi = daha fazla tıklama, satış ve yatırım getirisi.
Bu nedenle, doğrulamayı isteğe bağlı olarak değerlendiren şirketlerin sonu genellikle aynı oluyor: Reklam maliyetleri iki katına çıkarken neden açılma oranlarının geçen yılın yarısı kadar olduğunu merak ediyorlar.
İşletmeler aslında bu konuda ne yapmalı?
Tüm bu veriler büyüleyici (ve biraz da korkutucu), ancak mesele sadece milyar dolarlık dolandırıcılık kayıplarına veya spam’in nerede doğduğuna dair haritalara aval aval bakmak değil. İşletmelerin bir FBI raporunun yanlış tarafına ya da spam klasörüne düşmeden önce daha akıllıca adımlar atmalarına yardımcı olmaktır.
İşte iğneyi gerçekten hareket ettiren şey:
1. Listenize ulaşmadan önce her e-postayı doğrulayın
Liste doğrulamayı bir sınır kontrol noktası gibi düşünün. Kimliği olmayan birinin uçağa binmesine izin vermezsiniz; neden doğrulanmamış bir e-postanın listenize girmesine izin veresiniz ki? Tek kullanımlık, sahte veya yanlış yazılmış e-postaları zarar vermeden önce engellemek için adresleri kayıt sırasında bir doğrulama API’sinden geçirin.
2. Teslim edilebilirliği bir yan görev gibi ele almayın
“Gönder” tuşuna basıp umut etmek yeterli değildir. Teslim edilebilirlik bir gelir kaldıracıdır. Temiz listeler = daha yüksek itibar = daha fazla gelen kutusuna ulaşma = daha iyi yatırım getirisi. Doğrulamayı, sahip olunması gereken bir şey değil, temel bir pazarlama faaliyeti olarak ele alın.
3. Personeli büyük dolandırıcılıklara karşı eğitin
Ticari E-posta Tehlikesi sadece finans ekiplerini hedef almaz. Gelen kutusu olan herkes kötü bir bağlantıya tıklamak veya sahte bir fatura iletmek için kandırılabilir. Sürekli eğitim ve dahili kimlik avı testleri, bir kişi bir dolandırıcılığa kanmak yerine onu ilk kez fark ettiğinde kendini amorti eder.
4. Pazarınızın risk profilini bilin
ABD’de Florida gibi dolandırıcılığın yüksek olduğu bölgelerde kampanya yürütüyorsanız veya Nijerya gibi hızlı büyüyen pazarları hedefliyorsanız ekstra önlemler alın. Bu bölgeler, ele geçirilmiş veya dolandırıcılık amaçlı adreslerin yoğun olduğu yerlerdir. Risk modelinizi buna göre ayarlayın.
5. PR’a değer şeffaflık oluşturun
Müşterilere, düzenleyicilere ve hatta gazetecilere e-posta hijyeninizin arkasında somut rakamlar olduğunu gösterebildiğinizde, sadece sorumlu görünmekle kalmaz, aynı zamanda bir lider gibi görünürsünüz. Doğrulama uygulamalarınızı yayınlayın. Küresel dolandırıcılık istatistiklerine atıfta bulunun. Güveni markanızın bir parçası haline getirin.
Sonuç olarak
Dolandırıcılık artıyor. Teslim edilebilirlik azalıyor. Ve e-posta, ölümüne dair tahminlere rağmen, hala dijital iş dünyasının bel kemiği.
En akıllı şirketler manşetlere çıkana kadar beklemezler. Doğrulama yaparlar, eğitim verirler ve değişen dolandırıcılık ortamına yatırım getirilerini yakmadan önce uyum sağlarlar.
Ya da daha açık bir şekilde ifade etmek gerekirse: kötü e-posta verileri küresel olarak milyarlarca dolara mal olurken listenizi korumak kuruşlara mal oluyor. Bu matematiğin hangi tarafında olmak istersiniz?
