İnternet Bankacılığı İle Yapılan Dolandırıcılık
Teknolojinin gelişmesiyle birlikte bankacılık işlemlerinde de değişiklikler yaşanmakta, bankalar faaliyetlerini internet ortamına taşımaktadır. Elektronik bankacılıktaki gelişmeler ve internet kullanıcılarının hızla artması karşısında dolandırıcılar için yeni bir araç doğmuş olmaktadır. İnternet bilgisayarların birbiriyle haberleşmesine imkân veren ortak bir elektronik dildir. Sonsuz bir bilgi kaynağıdır. Ancak bu küresel bilgi kaynağı dolandırıcılar tarafından haksız çıkar sağlamak amacıyla da kullanılmaya başlanmıştır. Dolayısıyla bankalar da teknolojik alt yapılarının kurulmasında ve bankacılık işlemlerinin yürütülmesinde güvenliğe son derece önem vermektedir.
Ülkemizde ilk internet bankacılığı hizmeti 1997 tarihinde İş Bankası tarafından verilmeye başlamıştır. Günümüzdeyse hemen hemen her banka tarafından kullanılmaktadır. Ancak konudaki yasal boşluklar “hacker“ lar tarafından fark edilmiş ve saldırılar başlamıştır. Dolandırıcılık eylemlerinde ortak kurgu; müşterinin özel bilgilerinin, kullanıcı bilgisayarından çeşitli yöntemlerle çalınması ve bu bilgilerin kullanılarak müşteri adına internet üzerinden işlem yapılmasıdır. Ortak amaç ise “nakit para ele geçirme“ isteğidir. Müşterilerin bilgilerinin casus yazılımlarla ele geçirildikten sonra ele geçirilen tutar banka şubeleri veya ATM yoluyla banka dışına çıkartılmaktadır. Dolayısıyla dolandırıcının hedeflenen bankaya gelerek hesap açması gerekmektedir. Ele geçirilen tutar açılan sahte hesaplarla ele çekilebilir.
Tabloda belirtilen aracı ayakçıları bulur. İşte yukarıda değinildiği üzere şubelere veya atmlere dolandırıcılık vasıtasıyla gönderilen tutarı almaya gelen kişilere “ayakçı” denir. Banka şubesinde sahte bilgiler ile hesap açarak, açılan hesaba gelen parayı çekip aracıya veren ayakçılar, yaptıkları iş karşılığında ele geçirmiş oldukları tutarın önemsiz bir kısmını komisyon olarak almaktadır.
Kişisel Bilgiler Nasıl Çalınmaktadır?
İnternetteki bilgi hırsızlarının en çok kullandığı yöntemler; Truva Yazılımlar, Keylogger, Sahte Siteler ve Phishing’dir.
Truva Yazımlar (Trojen); Tecrübesiz kullanıcılara ilginç ve yararlı görünen ancak bilgisayara yüklenip çalıştırıldığında zarar veren yazılımlardır. Sanal dolandırıcılar tarafından zararsız bir programın içine ek olarak da yerleştirilebilir. Bunun yanında başka bir program görünümüne büründürülmüş de olabilirler.
Keylogger (Tuş Kaydedici); Kullanıcıların internette dolaşırken klavyeyle girdiği bilgileri kaydeden ve bu bilgileri kötü niyetli kişilere gönderen yazılımdır. Sanal dolandırıcılar tarafından yeterince korunmayan bilgisayarlara uzaktan yüklenebileceği gibi kullanıcıların indirdiği e-postalar, programlarla da yüklenebilir. Bunlar, klavye ile yazılan bütün bilgileri, Mouse ile tıklanan veya üzerinde uzun süre beklenen bölgelerin resimlerini kaydeder, rapor haline getirir ve bu raporları internet üzerinden kendisini yazan kişiye gönderir. Böylece mağdurun internet bankacılığında kullandığı bütün bilgiler ele geçirilir.
Screenlogger (Ekran Kaydedici); sanal klavyeden şifre girilirken ekran görüntülerini kaydeder ve yazılımı hazırlayan kişiye istediği anda gönderir. Kullanıcının Mouse ile tıkladığı her anın da resmini çeker. Ekran görüntülerini film gibi hareketli bir şekilde kaydeden trojenler de vardır.
Sahte Siteler; sanal dolandırıcılar bazen de özellikle banka ve finans kurumlarının sitelerine görsel olarak benzeyen siteler hazırlayarak kullanıcıları çekmektedir. Arama motorlarındaki reklam destekleyici adresler de buna destek olmaktadır. Ziyaretçileri sahte siteye çekmekteki en çok kullanılan yöntem “Phishing”tir.
Phishing; Sanal dolandırıcıların banka veya resmi bir kurumdan geliyormuş gibi hazırladıkları e posta ya phishing yani olta saldırıları denir. Saldırıların amacı kullanıcıların finansal işlem yaparken kullandıkları bilgileri çalmaktır. Hazırlanan e postalar tüm e posta adreslerine gönderilir. E posta da müşteri bilgilerinin güncellenmesi veya şifrelerin değiştirilmesi önerisi olup, ilgili kurumun kopyası niteliğindeki internet sayfalarına giden linklere yer verilir. Bazı müşteriler adreslere tıklayarak istenilen bilgileri doldurur. Böylece müşterinin kişisel bilgileri çalınmış olur. Olta saldırıları dolandırıcılığı oldukça kapsamlı ve organize hareket etmeyi gerektiren ve aşamalar halinde devam eden bir saldırıdır. Planlama, hazırlık, yemleme, toplama, dolandırma ve dolandırma sonrası işlemler olmak üzere 6 ana kısma ayrılmaktadır.
E-posta Yöntemi: Bu yöntemde dolandırıcılar, e-postayla devamlı temas halinde olan kuruluşlardan gönderiliyormuş izlenimi veren sahte bir e-posta gönderir. Bu e-postalarla kullanıcıya, kurumun web sitesine giderek şifresinin süresinin dolduğu bilgisi verilir ve altta o sayfaya yönlendirileceği bir link yer alır. Korsan kullanıcıyı önceden kuruluşun sitesinin aynısı olan bu siteye getirdikten sonra şifresini girmesini ister. Kullanıcı eski şifresini girerek değiştirdiğini zanneder. Esasen halen eski şifre geçerli olup, dolandırıcı da bunu öğrenmiş olur. Böylece eski şifre kullanılarak internet aracılığıyla para transferi işlemi yapılabilir. Bazen de e postalarda bir yarışma düzenlendiğini, yarışmaya katılım için kişisel bilgilerin girilmesi gerektiği yer alır. Kişisel bilgilerini giren kullanıcının tüm bilgileri bu sayede öğrenilmiş olur.
İnternet Şubeleri Vasıtasıyla Gerçekleştirilen Dolandırıcılıktan Korunma Yöntemleri
- Kullanıcı bilgilerini gizli tutmalı, nispeten kolay tahmin edilebilecek şifrelerden kaçınmalıdır.
- Kullanıcı bilgilerini paylaşmamalı, bir yerde yazılı olarak tutmamalıdır.
- Kullanıcı adı, şifre bilgileri sık sık güncellenmeli, aynı bilgilerin farklı sitelerde kullanılmamasına özen gösterilmelidir.
- Sadece güvenliğinden emin olunan bilgisayarlardan işlem yapılmalıdır.
- İşletim sistemi ve internet tarayıcı güncel tutulmalıdır.
- Lisansı olmayan yazılımlar kullanılmamalıdır.
- Anti virüs yazılımı kullanılmalıdır. Bu yazılımlar bilgisayarı virüs, parazit, trojen gibi tehlikelere karşı korumaktadır.
- İnternet güvenlik duvarı (firewall) kullanılmalıdır.
- Bilgisayarlarda otomatik tanımlama fonksiyonu kullanılmamalıdır. Daha önceden girilen şifreler böylelikle kaydedilmemiş olur.
Banka Kanalıyla Dolandırıcılık
Dolandırıcılık girişimlerinin önlenmesi açısından sahte kimlik bilgileri ile şubeye başvurarak hesap açmak isteyen kişinin başvurusu dikkatle incelenmelidir. Dolandırıcılık amacıyla açılan hesaplar, gelen bir iki transfer sonrasında parayı çekmekte ve sonra bir daha şubeye uğramamaktadır. Bu nedenle şubeye hesap açılışından sonra ilk defa para çekmeye gelen müşteriye kimlik kontrolü ve güvenlik önlemleri uygulanmalıdır. Hesap hareketleri incelenmeli, havale veya EFT varsa bunların hangi kanallardan transfer edildiği kontrol edilmelidir. Şüpheli işlem saptandığındaysa banka güvenlik bölümü ile temasa geçilmelidir. Aksi halde parası çalınan müşteri Cumhuriyet Savcılığına suç duyurusunda bulunurken, kendi çalıştığı banka ve şubesi aleyhine de dava açabilecektir.
Dolandırıcılar tek başına hareket etmez. Şubeye gelip para çekecek olan kişi işlemin son aşamasını gerçekleştiren ayakçı denilen kimselerdir. Bu kimselerin yakalatılması çete liderlerine ulaşılmasını sağlayabilir. Bu nedenle suç duyurusunda bulunmak çok önemlidir. Suç duyurusuna istinaden soruşturma başlatılır. Olay emniyete intikal eder ve araştırma başlar. Banka emniyetin talep ettiği bilgileri eksiksiz şekilde vermekle yükümlüdür. Araştırma aşamasında dolandırıcılığın gerçekleştirildiği IP numarası da banka tarafından tespit edilir ve bu emniyet tarafından talep edilir. Emniyet de bu IP numarasının hangi telefon ve adrese kayıtlı olduğunu Türk Telekom’dan tespit eder.
Banka Kurumlarının Araç Olarak Kullanılması Suretiyle Dolandırıcılık
Dolandırıcılık suçunun bilişim sistemlerinin, banka ve kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi TCK’nin 158/1-f maddesinde nitelikli dolandırıcılık suçu olarak düzenlenmiştir. Aslında birbiri ile çok ilgili olmayan iki nitelikli hal aynı bentte düzenlenmiştir. Bunlarda ilki bilişim sistemlerinin ikincisi ise banka ve kredi kurumlarının suçun işlenmesinde araç olarak kullanılmasıdır. Ancak banka ve kredi kurumlarının araç olarak kullanıldığı dolandırıcılıklarda daha çok bankaların bilişim sistemlerinin kullanılıyor olması nedeniyle iki nitelikli hal bir arada düzenlenmiştir.
Bu nitelikli halin oluşabilmesi için bankaya ait mal ve hizmetlerin kullanılması gerekli ve yeterlidir. Makalemizde üzerinde durulduğu şekilde ATM’den para çekilmesi şeklinde olabileceği internetten alışveriş yapmak suretiyle POS cihazları vasıtasıyla da olabilir. Suçun oluşması için hileli hareketin gerçek bir kişiye karşı yapılması zorunludur. Bu eylemlerde banka ve kredi kurumları suçta sadece araç olarak kullanılmakta olup suçtan zarar gören konumunda değillerdir.
Dolandırıcılık suçunun nitelikli şeklinin düzenlediği TCK’nin 158. maddesinde, eylemin iki yıldan yedi yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılacağı öngörülmüştür. 08.07.2005 tarih ve 5377 sayılı yasanın 19. maddesi ile yapılan değişiklik nedeni ile dolandırıcılık suçunun banka veya kredi kurumlarının araç olarak kullanılması sureti ile işlenmesi halinde hapis cezasının alt sınırı üç yıldan az olamaz. Ayrıca bu durumda verilecek adli para cezası da suçtan elde edilen menfaatin iki katından az olamayacaktır. Bu suç resen takip edilen suçlardan olup takibi şikâyete bağlı değildir. Suç için etkin pişmanlık hükümleri uygulandığından uzlaşmaya gidilmesi de mümkün değildir. Yetkili mahkeme suçun işlendiği yer mahkemesidir. Dolandırıcılık suçu yararın elde edilmesi ile tamamlanacağından, suçun işlendiği yer hileli hareketlerin yapıldığı yer hileli hareketlerin yapıldığı yer değil yararın temin edildiği yerdir. Nitelikli dolandırıcılıkta görevli mahkeme ağır ceza mahkemesidir. (Görevli mahkemeye ilişkin Yargıtay İlamı: Yargıtay 11. Ceza Mahkemesi E. 2005/9884 K. 2007/3925 T. 6.6.2007)
www.tugsanyilmaz.av.tr sitesinden alınmıştır.