Google Ads Reklamlarıyla Yapılan Otel Dolandırıcılığı

Türkiye'de tatil sektörü için Google, ilk başvuru noktasıdır. Organik sonuçlarda yıllarca otoritesini kanıtlamış bir tatil köyünün adını yazdığınızda dahi, yüksek ihtimalle ilk gördüğünüz 2 ila 4 bağlantı "Sponsorlu" ibaresi taşır.

Sorun şu ki, en üstte listelenen reklam her zaman "gerçek" otele ait olmuyor.

Google Ads, marka adlarını hedefleme kelimesi olarak serbest bırakmıştır. Örneğin otelinizin adı "Mavi Koy Resort" olsun. Bir dolandırıcı, "Mavi Koy Resort Fiyatları" kelimesine gecelik reklam bütçesi harcayarak sizden çok daha fazla teklif verebilir.

Siz kendi sitenize SEO için yıllarınızı harcarsınız; dolandırıcı ise sahte siteye birkaç yüz liralık reklam çıkararak tüm tıklamaları ilk saatte kendi tuzağına düşürür. Bu saldırı türüne malvertising (kötü niyetli reklamcılık) adı verilir ve otel sektörü en çok hedef alınan endüstriler arasında yer almaktadır.

Kullanıcı açısından bakıldığında durum daha da endişe vericidir: İnternette yıllardır alışveriş yapan, güvenlik konusunda bilinçli bir tüketici bile "Google reklamları güvenilirdir" ön kabulüyle hareket eder. Bu psikolojik körlük dolandırıcıların en büyük silahıdır.

Dolandırıcı önce hedef oteli seçer. Büyük, tanınan ve yoğun arama hacmi olan tesisler birincil hedef olmakla birlikte, orta ölçekli butik oteller de sıklıkla hedef alınır. Zira boutique otellerin marka koruma mekanizmaları genellikle daha zayıftır.

Hedef belirlendikten sonra şu adımlar izlenir:

• Otelin gerçek domain'ine yakın bir typosquatting domaini satın alınır (örneğin "mavikoyresort-fiyatlar.com" veya "mavi-koy-resort.net"). Typosquatting saldırılarının detaylı incelemesi için otel domain güvenliği rehberimizi okuyabilirsiniz.
• Gerçek otelin görsellerini, metin içeriklerini, hatta müşteri yorumlarını kopyalayan sahte bir web sitesi oluşturulur.
• Sahte site için iletişim bilgileri, sahte rezervasyon formu ve ödeme altyapısı kurulur.

Sahte site hazır olduğunda Google Ads kampanyası kurulur. Dolandırıcı şu teknikleri kullanır:

Marka adı anahtar kelime hedeflemesi: Gerçek otelin adı, "Mavi Koy Resort rezervasyon," "Mavi Koy Resort erken rezervasyon," "Mavi Koy Resort fiyat" gibi varyasyonlarla anahtar kelime listesine eklenir. Rakip markaların adlarına teklif verme Google politikasında tam olarak yasaklanmamıştır; yalnızca reklam metninde doğrudan kullanım kısıtlıdır.

Görünen URL manipülasyonu: Reklam sistemleri, görünen URL ile gerçek yönlendirme URL'sinin farklı olmasına izin verir. Dolandırıcı görünen URL olarak "mavikoyresort.com/ozel-teklif" yazar; gerçek landing page bambaşka bir domaindedir.

Yüksek kalite puanı optimizasyonu: Google Ads'te daha düşük maliyetle üst sıralarda yer almak için "kalite puanı" adı verilen bir metrik kullanılır. Dolandırıcılar, reklam metnini ve landing page'i bu metriği optimize edecek biçimde hazırlar; böylece gerçek otel sahibinden daha ucuza daha üst sıralara çıkabilirler.

Bu teknik, Google'ın reklam onay sürecini atlatan en sofistike yöntemdir. Dolandırıcı, reklamı oluştururken Google otomatik onay robotlarına tamamen yasal, zararsız bir site gösterir. Reklam onaylandıktan sonra arka planda bir komut dosyası devreye girer.

Bu komut dosyası ziyaretçinin IP adresini, tarayıcı parmak izini (user agent) ve davranış kalıplarını analiz eder. Google'ın bot IP aralıklarından gelen ziyaretler yasal siteye yönlendirilir; gerçek bir kullanıcıdan gelen ziyaret ise sahte otel sayfasına düşer.

Cloaking hem Google Ads politikasını hem de birçok ülkenin tüketici koruma mevzuatını ihlal etmektedir. Türkiye'de Elektronik Ticaret Kanunu'nun ilgili maddeleri kapsamında suç teşkil eder.

Sponsorlu reklam metinlerinde özellikle şu ifadeler kullanılır: "Son 3 Oda", "Bugün Biter: %60 İndirim", "Yaz Sezonu Dolmak Üzere," "Sadece Bu Hafta Fiyatı."

Bu teknik scarcity marketing (kıtlık pazarlaması) olarak bilinir ve meşru işletmeler tarafından da kullanılır. Dolandırıcıların farkı, gerçek bir kıtlık olmaksızın suni baskı oluşturmalarıdır. Kullanıcının rasyonel düşünme süresi kısaltılır; "kaçırma korkusu" (FOMO) tetiklenerek ödeme sayfasına anlık karar vermesi sağlanır.

Gerçek otelin resmi sitesindeki fiyatın yüzde otuz veya kırk altında fiyat gösterilir. Rezervasyon formunu dolduran kullanıcı ödeme aşamasına geldiğinde çeşitli "ek ücretler" devreye girer: "Otel teslimat ücreti," "Çevre vergisi," "Erken giriş tamamlama bedeli." Bu eklemeler sayesinde gerçek fiyata yaklaşılır; ancak bu noktaya gelindiğinde kullanıcı çoktan kredi kartı bilgilerini girmiştir.

Bir Google Ads reklamının sahte olup olmadığını anlamak için şu kontroller yapılabilir:

• Reklam URL'si ile görünen URL'nin tamamen örtüşüp örtüşmediğini kontrol edin. Herhangi bir fark, araştırılması gereken bir uyarı işaretidir.
• Tıkladıktan sonra browser adres çubuğundaki gerçek domain'i inceleyin. Tanınmış otel adının yanına tire, nokta veya sayı eklenmiş domain'ler şüpheli kabul edilmelidir.
• Ödeme sayfasında SSL kilit simgesinin varlığı tek başına yeterli değildir; sahte siteler de HTTPS kullanır. SSL sertifikalarının güvenilirliğini nasıl doğrulayacağınızı anlatan rehberimize göz atabilirsiniz.
• Fiyat otelin kendi web sitesindeki fiyatla neden bu kadar farklı? Gerçek bir kampanyada bile bu farkın makul bir açıklaması olmalıdır.

Google Ads'in ticari marka (trademark) koruma politikası vardır. Türkiye'de tescil ettirdiğiniz marka için TÜRKPATENT belgenizle Google'ın ticari marka şikayet formunu doldurabilirsiniz.

Bu başvuru kabul edilirse şu sonuçlar elde edilir:

• Üçüncü tarafların reklam metinlerinde marka adınızı kullanması engellenir.
• Marka adınızla açılan şüpheli kampanyalar Google ekibinin manuel incelemesine alınır.
• Otomatik ihlal tespiti sayesinde yeni açılan sahte kampanyalar daha hızlı devre dışı bırakılır.

Ancak bir sınırlama mevcuttur: Google, üçüncü tarafların marka adınızı anahtar kelime olarak hedeflemesini genellikle engellememektedir. Yalnızca reklam metninde doğrudan kullanım kısıtlanır.

Kendi markanıza yapılan aramalarda birinci sırada yer almak için defansif (koruyucu) reklam kampanyası açmak etkin bir önlemdir. Bu yaklaşımın avantajları şunlardır:

• Kendi marka adınıza teklif verdiğinizde kalite puanınız çok yüksek olur; dolayısıyla tıklama başı maliyetiniz düşer.
• Dolandırıcının sizi geçebilmesi için çok daha yüksek bütçe harcaması gerekir; bu durum dolandırıcılığı kârsız kılar.
• Birinci sırayı garantilediğinizde kullanıcının başka bir reklama tıklama olasılığı önemli ölçüde azalır.

Sahte Google Ads kampanyaları genellikle kısa ömürlüdür: Birkaç günden birkaç haftaya kadar aktif kalırlar, ardından hesap kapatılır ve yeni bir hesapla süreç tekrarlanır. Bu döngü içinde ciddi hasar bırakabilirler.

Bu nedenle markanızı hedef alan yeni kampanyaları erken tespit etmek kritik önem taşır. Düzenli olarak arama motorlarında kendi adınızı aratmak, "Sponsorlu" sonuçların URL'lerini kontrol etmek ve bu süreçleri otomatize eden araçlardan yararlanmak gerekir. Sahte otel sitelerini tespit etmenin ve takedown süreçlerini başlatmanın tüm adımları için bu rehbere bakabilirsiniz.

Bir sahte Google Ads reklamıyla karşılaştığınızda şu adımları izleyin:

1. Reklamın ekran görüntüsünü alın; tam URL'yi, reklam başlığını ve tarihi kayıt altına alın.
2. Google Ads "Reklam Yanlış mı?" bağlantısını tıklayarak reklam içi şikayet mekanizmasını kullanın.
3. Google Safe Browsing'e phishing URL'yi bildirin.
4. Google Ads destek ekibine yetkili marka sahibi sıfatıyla iletişim kurun ve ticari marka ihlali olduğunu belgeleyin.
5. Türkiye'deyseniz BTK'ya (Bilgi Teknolojileri ve İletişim Kurumu) ek bildirim yapın.

Süreç genellikle 24 ile 72 saat içinde sonuçlanır; ancak dolandırıcının yeni bir hesap açması durumunda süreç baştan başlar.

Google reklamına tıklamak güvenli midir? Google reklamları otomatik olarak zararlı değildir; ancak dikkatli olmak gerekir. Tıkladıktan sonra adres çubuğundaki URL'yi kontrol edin. Orijinal otel domainiyle birebir örtüşmüyorsa kişisel bilgi veya ödeme bilgisi girmeyin. Kuşku duyduğunuzda reklamı kapatıp otelin resmi sitesini doğrudan URL bar'ına yazarak girin.

Dolandırıcılığa maruz kaldım, ne yapabilirim? Önce bankanızı arayarak ödemeye itiraz (chargeback) talebinde bulunun. Kredi kartı ödemelerinde bu süreç genellikle 120 gün içinde sonuçlanır. Ardından savcılığa suç duyurusunda bulunun ve Google Safe Browsing'e URL'yi bildirin. Sahte tatil sitelerinin kurbanı olduğunuzda izlemeniz gereken adımların tamamı için bu rehberi okuyabilirsiniz.

Google neden bu reklamlara izin veriyor? Google Ads politikaları açık kötüye kullanımı engellemek için tasarlanmıştır; ancak cloaking teknikleri reklam onay aşamasında tespiti güçleştirir. Google bu konuda sürekli algoritma geliştirme çalışması yürütmektedir. Bildirimler sistemin iyileştirilmesine doğrudan katkı sağlar; bu nedenle her sahte reklamın raporlanması önemlidir.

Otelimdeki sahte reklamları kendim takip edebilir miyim? Evet, kendi marka adınızı her birkaç günde bir tarayıcının özel/gizli modunda aratarak "Sponsorlu" sonuçları elle kontrol edebilirsiniz. Gizli mod kullanmanız kişiselleştirilmiş sonuçların gizlenmesini önler ve dolandırıcının gerçek tüketiciye gösterdiğiyle aynı sayfayı görmenizi sağlar. Daha kapsamlı ve otomatik izleme için profesyonel marka koruma araçlarına başvurmak gerekir.