Sadece İstanbul’da 20 bin e-dolandırıcılık dosyası birikti
Son günlerde aralarında Türkiye’nin de bulunduğu 150 ülkeyi etkileyen “fidyeci WannaCry” virüsü, gözleri bilişim yoluyla yapılan dolandırıcılığa çevirdi. Aslında e-dolandıcılar çoğunlukla WannaCry gibi “büyük” işler yapmaktansa “küçük küçük çalışmayı” tercih ediyor.
Ebru SUNGUR
Kredi kartları ve internet üzerinden yapılan dolandırıcılık hızla artıyor. Alınan önlemler teknolojinin gelişimiyle etkinleşiyor belki ama dolandırıcılar da teknolojiyi bir o kadar yakından takip ediyorlar! Gün geçmiyor ki e-dolandırıcılıkla ilgili yeni bir haber basında yer almasın, dolandırıcıların ‘yeni keşfettikleri’ bir yöntem olmasın. Bu konuda, sadece İstanbul’daki bile henüz kamu davası dahi açılmamış, soruşturma aşamasında 20 binin üzerinde dosya bulunuyor.
E-dolandırıcılığa maruz kalanlar, hukuki yollara başvurmak istediklerinde bu konuda uzmanlaşmış hukuk bürolarının sayılarının son derece kısıtlı olduğunu görüyorlar. Üstelik dava açılsa bile çoğu kez şüpheliler tespit edilemiyor ve yakalanamıyor. Bu nedenle hukukçular, kredi kartı sahipleri ve internetten alışveriş yapanlar başta olmak üzere herkese öncelikle kendi hesap ekstrelerini düzenli şekilde incelemelerini, olağandışı bir durumla karşılaştıklarında zaman kaybetmeden bankalarıyla iletişime geçmelerini öneriyor. Moral Hukuk Bürosu ortaklarından avukat Efe Kınıkoğlu, DÜNYA’nın sorularını yanıtladı.
► E-dolandırıcılık vakalarında son bir yılda hangi oranda bir artış gözlüyorsunuz?
İstanbul ve İstanbul Anadolu Bilişim Suçları Cumhuriyet Savcıları ile yapılan görüşmelerle de teyit edildiği üzere bu tip vakaların sayısında sürekli bir artış görülüyor. Teknolojinin günlük ve ticari hayatın her alanında daha fazla egemen olması ile dolandırıcıların da yeni yöntemler ile kişileri dolandırdığı ve büyük zararlara uğrattığı gözleniyor. 2017 itibariyle sadece İstanbul’un iki adliyesinde henüz kamu davası dahi açılmamış ve soruşturma aşamasında olan 20 binin üzerinde dosya bulunuyor. Bu dosyaların içinde de kamu davası açılsa dahi şüphelilerin tespit edilemediği ya da dolandırıcılık işleminin yurtdışından gerçekleştirilmesi sebebi ile tespit edilen sanıkların yakalanamadığı dosya sayısı azımsanamayacak düzeyde.
Kişisel bilgileri ele geçiriyorlar
► E-dolandırıcıların en sık kullandıkları yöntemler neler?
En sık kullanılan yöntem “phishing”. Bu yöntemde, mağdura bir banka ya da alışveriş sitesinin e-postasına benzer sahte bir e-posta gönderilerek mağdurun kendi kişisel bilgileri ile siteye giriş yapması istenir ve girilen bilgiler dolandırıcıya ait web sayfasına yönlendirilir. Kimi zaman da sahte olarak oluşturulmuş bir linke tıklanması istenir ve bu linke tıklandığı anda yeterli korumaya sahip olmayan bir bilgisayardaki tüm kişisel parola ve diğer bilgiler dolandırıcıların eline geçer. Phishing işlemi, mağdurun bilgisayarına “keylogger” denilen ufak bir programcık yerleştirilmesi ile de gerçekleşebilir. Keylogger yüklü bilgisayarda, kişinin klavyedeki giriş yaptığı tüm tuşlamalar bu program tarafından kaydedilir ve daha sonra dolandırıcıya gönderilir. Özellikle bankaların “sanal klavye” ile giriş yapabilme seçeneği kullanmayan müşteriler, bu yöntemin mağduru olur.
Banka TC kimlik no sormaz!
► Kredi/banka kartımın kopyalandığını ya da inisiyatifim dışında alışveriş yapıldığını nasıl anlayabilirim?
Mağdurların çoğu, banka ekstrelerini düzenli olarak kontrol etmedikleri için dolandırıldıklarının farkına varamıyorlar. Bu kişilere uyarılar çoğunlukla bankalar tarafından yapılıyor. Özellikle bankaların web sayfalarına giriş yaparken ya da internetten alışveriş yaparken “3D Secure” güvenlik girişi seçeneğinin kullanılması hem dolandırıcılık riskini azaltıyor hem de bankaların bu tür saldırılardan kısa sürede haberdar olmalarını sağlıyor. 3D Secure, hem dışardan müdahalesi daha zor bir koruma hem de kişinin daha önceden bildirdiği cep telefonuna SMS gönderilip onay alınmadan işlemin tamamlanmasını engelliyor. Herhangi bir web sayfasına giriş yapmayan ya da online alışveriş yapma niyeti olmayan kişinin cep telefonuna “….. tarihli işleminiz için 3D Secure şifreniz …..” gibi bir SMS gelmesi halinde, kredi/banka kartının kesinlikle kopyalanmış olduğunu anlayabiliriz.
Kimi zaman da dolandırıcıların, kişileri çağrı merkezi personeli gibi arayarak “kartınız kopyalanmıştır. Kullanıma kapatılması için cep telefonunuza gelen şifreyi, TC kimlik numaranızı bize söyleyiniz” gibi talepleri olduğu görülür. Böyle bir telefonun gelmesi de yine kartın kopyalanmış olabileceğini düşündürmeli. Bankalar kartın kullanıma kapatılması için TC kimlik numarası bilgisini kesinlikle sormaz!
Yine Türkiye’de çok ihmal edilmekle beraber, kredi kartı ekstresinin detaylı bir şekilde incelenmesi gerektiği söylenebilir. İnternet şubesi kullanan müşterilerin haftada bir, diğer kullanıcıların ise ekstreyi aldıktan sonra inceleme yaparak küçük ya da büyük ölçekli, kendi bilgileri dışında herhangi bir işlem yapılıp yapılmadığını kontrol etmeleri gerekir. Dolandırıcıların dikkat çekmeme amaçlı olarak küçük meblağlar ile alışveriş/EFT işlemleri yaptığı durumlarda oldukça yaygın.
‘İki kere mağdur’ olma riski de var
► E-dolandırıcılığa maruz kaldığımı anladığımda başvuracağım hukuksal yollar nelerdir?
Böyle bir durumda öncelikle banka ile iletişime geçerek ilgili banka/kredi kartının kapatılması istenmeli. Bu şekilde bildirim yapıldıktan sonra kartın kullanımından sorumlu olmama güvencesi sağlanmış olacak. İkinci olarak ivedi şekilde kişinin yerleşim yerinin bulunduğu ilçenin bağlı bulunduğu adliyeye gidilerek Cumhuriyet Başsavcılığı’na şikâyet dilekçesi verilmeli. Dilekçede mutlaka müşteri hizmetlerinin aranarak kartın kapatıldığı gün ve saat bilgisi de verilmeli. Aksi takdirde kartın bilgilerini eline geçiren kişilerin bu bilgileri kullanarak başka suçları işlemesi durumunda mağdur kişi bu sefer şüpheli durumuna düşer.
‘CEO gibi’ e-posta gönderip para transferi yaptılar
► E-dolandırıcılık yöntemlerindeki çeşitliliği ve hak arama yollarının etkinliğini (olumlu ve olumsuz anlamda), göstermesi açısından bu konuda karşılaştığınız vakalardan örnek verebilir misiniz?
Yurtdışında faaliyet gösteren bir şirketin CEO’suna ait e-posta hesabına “phishing” türü sanki bir şirket çalışanından gönderilmiş izlenimi yaratan sahte bir e-posta gönderiliyor. Bu sahte e-postanın içeriğindeki linke giriş yapılması ile şirketin hesabından Türkiye’deki büyük bir bankanın hesabına yüklü miktarda dolar gönderiliyor. Bunun tespit edilmesi ve şüphelilerin yakalanmasının ardından hesapta bulunan meblağın şüphelilerin yetki vereceği bir kişi tarafından çekilmemesi için savcılık ile görüşülse de savcı tarafından böyle bir yetkisinin bulunmaması iddiası ile tedbir talebi reddediliyor. Bu ret kararının ardından Sulh Ceza Hakimliği’ne tedbir için başvurulsa da yine bu kararı vermeye yetkili bulunmadıkları gerekçesiyle olumlu sonuç alınamıyor. Son olarak, Ticaret Mahkemesi’nde dava açarak ve “teminat” karşılığında bu paranın blokesi sağlanıyor. Uygulamada rastladığımız bu vakada haksız bir şekilde mağdur edilen bir şirketin alacağını geri almak ve hatta öncesinde paranın karşı tarafa ödenmemesini sağlamak için karşılaştığı bürokratik işlemlere çok iyi bir örnek olduğu söylenebilir.
Tek davada 15 milyon euro
► Bugüne kadar şahit olduğunuz en yüksek tutarlı e-dolandırıcılık ne olmuştu?
Bu vaka nasıl çözümlendi? Genelde yüzbinlerle nitelendirilebilen e-dolandırıcılık vakaları sıkça yaşanmakla birlikte en yüksek tutar Amerika ve Avrupa merkezli yabancı firmalar üzerinden Türkiye’ye e-dolandırıcılık vasıtasıyla getirilen yaklaşık 15 milyon euro hakkındaki bir vaka. Uyuşmazlık halen devam ediyor.
Wannacry’dan etkilenen cihazlar kurum ağından ayrılmalı
Denetim ve danışmanlık şirketlerinden EY Türkiye’nin Danışmanlık Bölümü Direktörü Ümit Şen, 150’den fazla ülkede 200 binin üzerinde sistemi WannaCry adlı virüsle etkileyen siber saldırının benzerlerinin yakın gelecekte de etkili olacağını öngördü. EY Adli Teknoloji ve Keşif Hizmetleri Bölümü Kıdemli Müdürü Can Genç de fi dye yazılımının eski sürümlerdeki ya da güncellenmemiş Microsoft işletim sistemlerindeki bir açıklıktan yararlandığını ifade ederek, “İş sürekliliği planı etkinleştirilmeli. Muhtemel sigorta talepleri, davalar, tehdit istihbaratı, kanun koyucu ve otoritereler için yapılacak raporlamalar ve/veya kamuya yapılması gereken duyurular uyarınca hazırlanmalı” dedi. EY’den yapılan açıklamada, WannaCry’dan etkilenen şirketlere şu uyarılarda bulunuldu:
► Etkilenen cihazların kurum ağından ayırılması gerekiyor. Daha sonra çevrim dışı olarak yedekleri alınmalı. Zira bu yedekler çevrim içiyken alınırsa, tekrar saldırıya maruz kalarak şifrelenme riski bulunuyor. - Kanıtlar hukuki kurallara uygun bir şekilde toplanmalı ve muhafaza edilmeli. Böylece soruşturmalarda ya da diğer düzenlemelere göre uygun şekilde kullanılabileceklerdir.
►Olay müdahale planları etkinleştirilmeli ve soruşturma sadece bilgi teknolojileri özelinde düşünülmemeli. Söz konusu inceleme ve soruşturmaları yürütecek tüm birimler ortak çalışmalı.
► Sistemlerdeki zafi yetler tespit edilmeli, saldırganların tekrar girişlerini zorlaştırmak için ilgili teknoloji bileşenleri üzerindeki güvenlik seviyeleri sıkılaştırılmalı ve gelecekte olabilecek saldırıları tespit etme ve cevap vermeye hazır olunmalı.
Güvenliği artırmanın 8 kuralı
EY’nin açıklamasında bu tip saldırılara maruz kalmamak için dikkat edilmesi gereken unsurlar da sıralandı:
►Güvenlik zafi yet yönetiminin olgun bir kurumsal program doğrultusunda hazırlandığından emin olunmalı.
►Fidye yazılımı saldırısına karşı, etkinliği test edilen ve ölçülebilen, etkili bir kurumsal olay yönetimi ve iş sürekliliği planı hazırlanması gerekiyor.
►Tüm kritik verileri hesaba katarak uygun bir yedeklilik sürecinin tasarlanması ve uygulanması gerekiyor.
► Bu düzeyde meydana gelebilecek kötü amaçlı yazılımlara karşı uç nokta izleme sistemleri kullanılması.
►Kritik sistemleri ve verileri doğru tanımlayarak riskli internet bağlantılarının yönetilmesi ve gerektiği yerlerde fazladan güvenlik önlemlerinin alınması.
►Organizasyonun proaktif testler ile birlikte siber güvenlik farkındalığı arttırma çalışmalarına ve eğitimlerine sahip olduğundan emin olunması, var olan programların etkinliğinin gözden geçirilmesi.
►Güvenlik programlarının güncel saldırı simülasyonları ile test edilmesi.
►Tüm cihazlarının proaktif güvenlik izleme çözümleri ile izlendiğinden emin olunması.
Siber saldırıda Kore şüphesi
Siber güvenlik uzmanları, cuma gününden bu yana 150 ülkede 300 binden fazla bilgisayarı etkileyen fi dye yazılımı “WannaCry” ile Kuzey Kore arasında bir bağlantı olabileceğini belirtiyor. Symantec ve Kaspersky Lab uzmanları WannaCry yazılımının daha eski versiyonlarına, araştırmacıların Kuzey Kore’ye ait bir hacker operasyonu olarak tanımladığı Lazarus Group tarafından kullanılan programlarda rastlandığını söyledi. Hauri Labs’ın uzmanlarından Simon Choi, “Bu (yazılım) Kuzey Kore’nin arka kapı kötücül yazılımlarına benziyor” dedi.