Anasayfa/ Makale/ Bilişim Suçlarında Temel Kavramlar ve Saldırı Yöntemleri

Bilişim Suçlarında Temel Kavramlar ve Saldırı Yöntemleri

Bilişim sistemlerinin yaygınlaşmasıyla birlikte siber suçlar ve saldırı yöntemleri de yapısal bir dönüşüme uğramıştır. Bu makalede, bilişim suçlarının hukuki altyapısını oluşturan temel bilişim kavramları ve kötü niyetli aktörler tarafından sıkça kullanılan fidye yazılımları, oltalama, kaba kuvvet gibi çeşitli siber saldırı yöntemleri incelenmektedir.
search
7 dk okuma Yayınlanma: Güncelleme:
KVKK TEHDİT DOLANDIRICILIK CEZA HUKUKU PHİSHİNG (OLTALAMA) BİLİŞİM HUKUKU ÖZEL HAYATIN GİZLİLİĞİ

Günümüzde dijitalleşme süreçlerinin hız kazanması, yaşamın hemen her alanında bilişim sistemlerinin kullanılmasını zorunlu kılmıştır. Söz konusu teknolojik gelişim ve yaygın kullanım, ne yazık ki bilişim suçları olarak adlandırılan yeni nesil hukuka aykırı fiillerin de ortaya çıkmasına zemin hazırlamıştır. Hukuki perspektiften değerlendirildiğinde, siber alandaki uyuşmazlıkların ve suç tiplerinin doğru anlaşılabilmesi için öncelikle temel bilişim kavramlarının net bir şekilde tanımlanması gerekmektedir. Zira hukuki normlar, dijital gerçekliğe mutlak surette uyum sağlamak zorundadır. Bilişim suçlarının karakteristik özelliği olan hızlı dönüşüm, faillerin klasik yöntemlerin ötesine geçerek oldukça karmaşık ve teknik bilgi gerektiren siber saldırı yöntemlerini kullanmalarına olanak tanımaktadır. Çoğu zaman beyaz yaka suçları kategorisinde de değerlendirilebilen bu eylemler, yalnızca teknik bir güvenlik ihlali değil, aynı zamanda özel hayatın gizliliği ve veri güvenliği gibi temel hukuki değerlere yönelik ciddi bir tehdittir.

Bilişim Hukukunda Temel Kavramlar

Ceza hukuku doktrini ve uygulamaları açısından, bilişim sistemi kavramı merkezi bir rol oynamaktadır. Bilişim sistemi, verileri toplayıp yerleştirdikten sonra bunları otomatik işlemlere tabi tutma olanağı veren manyetik sistemler olarak tanımlanabilir. Bu tanım, yalnızca klasik bilgisayar donanımı veya yazılımı ile sınırlı kalmayıp internet, yönlendiriciler, akıllı telefonlar ve hatta yapay zeka sistemlerini de içine alan geniş bir perspektifi zorunlu kılmaktadır. Sistemin en önemli unsuru olan veri, bilgisayar sisteminin bir işlevi yerine getirmesini sağlayan olguların veya kavramların işlenmeye uygun haldeki temsilidir. Bilişim hukukunda veri bütünlüğünün korunması, hukuki ihtilafların ve suç teşkil eden eylemlerin odağında yer almaktadır. İşlenen verinin türü, suçun hukuki konusunu doğrudan etkilediğinden veri, adli süreçlerde delil niteliği taşıyan kritik bir ögedir.

Bilişim sistemlerinin birbirleriyle iletişim kurmasını sağlayan internet ve iç ağ (intranet) gibi yapılar, siber suçların işlendiği temel zeminlerdir. Bu ağlar üzerindeki iletişimin sağlanmasında cihazlara atanan IP (Internet Protocol) adresi, failin tespiti bakımından ceza muhakemesinde hayati bir önem taşımaktadır. Zira dijital izlerin sürülmesi çoğu zaman IP adreslerinin hukuki yollarla incelenmesiyle mümkün olmaktadır. Bununla birlikte, bilişim sistemine işlevsellik kazandıran yazılım ve programlar, kötü niyetli aktörler tarafından hem hedeflenen unsur hem de suçun işlenmesinde kullanılan araç konumuna gelebilmektedir. Örneğin, donanım ile yazılım arasındaki köprüyü kuran işletim sistemlerine yönelik hukuka aykırı müdahaleler, sistemin işleyişini tamamen durdurabilecek niteliktedir.

Sık Karşılaşılan Siber Saldırı Yöntemleri

Kötü Amaçlı Yazılımlar: Virüsler, Solucanlar ve Truva Atları

Bilişim suçlarının işlenişinde en sık karşılaşılan yöntemlerin başında, sistemin işleyişini bozmaya veya verileri ele geçirmeye yönelik kötü amaçlı yazılımlar gelmektedir. Bilgisayar virüsleri, kullanıcının haberi olmaksızın farklı dosyalara veya e-posta eklerine gizlenerek sisteme bulaşan ve kendini kopyalayarak sistemi çalışmaz hale getirebilen yazılımlardır. Virüslerden farklı olarak, başka bir dosyaya ihtiyaç duymadan ağ üzerinden kendi kod yazılımı ile çoğalabilen programlara ise solucan (worm) adı verilmektedir. Hukuki incelemelerde sıkça karşımıza çıkan bir diğer tür olan Truva atı (Trojan horse) ise, yararlı bir yazılım gibi görünerek sistem dosyalarına sızan ve arka kapılar açarak uzaktan yetkisiz erişime imkan tanıyan tehlikeli bir casus yazılımdır.

Sosyal Mühendislik, Oltalama ve Fidye Yazılımları

Teknik açıkların ötesinde, insan faktöründeki zayıflıkları hedef alan yöntemler bilişim suçlarında büyük bir yer tutmaktadır. Failin mağduru manipüle ederek gizli bilgilere erişmesini sağlayan sosyal mühendislik, siber saldırıların başlangıç aşamasını oluşturabilmektedir. Bu kapsamda en çok kullanılan yöntemlerden biri olan oltalama (phishing), resmi kurumlar veya bankaların sistemlerine benzer sahte web siteleri üzerinden kullanıcı adı, şifre ve kredi kartı bilgilerini hukuka aykırı şekilde ele geçirmeyi amaçlar. Son yıllarda büyük bir artış gösteren fidye yazılımları (ransomware) ise, bilişim sistemlerine sızarak kullanıcının verilerini şifreleyen ve bu şifrenin çözülmesi karşılığında hukuka aykırı maddi menfaat talep eden son derece karmaşık saldırı biçimleridir.

Sisteme Doğrudan Müdahaleler ve Ağ Saldırıları

Bilişim sistemlerinin güvenliğine yönelik doğrudan müdahaleler arasında şifre kırma girişimleri dikkat çekmektedir. Belli bir yazılım yardımıyla tüm olası şifre kombinasyonlarının denendiği kaba kuvvet (brute force) saldırıları veya bir kelime listesi üzerinden şifre tahmini yapan sözlük (dictionary) saldırıları bu kapsamdadır. Ağ trafiğini felç etmeye yönelik DDoS saldırıları ise, sistemi aşırı yükleyerek kullanıcıların hizmete erişimini durdurmayı ve kurumlara prestij veya maddi kayıp verdirmeyi hedefleyen eylemlerdir. Ek olarak, iki bilişim sistemi arasındaki veri trafiğini gizlice yakalayarak bilgileri ifşa eden gizlice dinleme (eavesdropping) veya klavye hareketlerini kaydederek şifreleri çalan keylogger yazılımları, mağdurun özel hayatının gizliliğini ihlal eden yaygın suç araçları olarak karşımıza çıkmaktadır.

Siber Saldırıları Gerçekleştiren Aktörler

Bilişim sistemlerine yönelik saldırıları gerçekleştiren aktörler genel olarak bilgisayar korsanı olarak adlandırılmakla birlikte, motivasyonlarına ve eylemlerinin hukuki niteliğine göre farklı gruplara ayrılmaktadır. Bu kapsamda yapılan temel ayrım şu şekildedir:

  • Beyaz şapkalı hackerlar: Sistem sahiplerinin yasal izni dâhilinde hareket ederek bilişim ağlarındaki açıkları tespit eden ve bunları iyileştiren, dolayısıyla faaliyetleri hukuka uygun olan siber güvenlik uzmanlarıdır.
  • Siyah şapkalı hackerlar (cracker): Bilişim sistemlerinin güvenlik duvarlarını kötü niyetle ve yetkisiz biçimde aşan, verileri ele geçiren veya manipüle ederek menfaat sağlayan, eylemleri doğrudan bilişim suçunu oluşturan asıl faillerdir.
  • Gri şapkalı hackerlar: İzinsiz şekilde güvenlik açıklarını bularak durumu sistem sahibine bildiren ve bunu genellikle bir maddi menfaat karşılığında yapan kişilerdir. Eylemlerindeki izinsizlik unsuru hukuki tartışmalara yol açabilmektedir.
İnternette sahte bir hesaptan dolandırıldım, faili bulabilirler mi? expand_more
Bilişim sistemleri üzerinden gerçekleşen iletişimlerde failin tespiti, cihazlara atanan IP (Internet Protocol) adreslerinin incelenmesiyle mümkün olmaktadır. Ceza muhakemesinde dijital izlerin sürülmesi ve suçluların kimliklerinin tespiti büyük ölçüde bu adreslerin hukuki yollarla takip edilmesine dayanır. Dolayısıyla, dolandırıcılık eylemi sahte bir hesap üzerinden gerçekleştirilmiş olsa bile IP kayıtları failin tespit edilmesinde hayati bir rol oynayacaktır. Adli makamlara başvurduğunuzda bu dijital izler üzerinden yasal süreç işletilebilmektedir.
Bilgisayarıma virüs girdi, dosyalarımı açmak için para istiyorlar. Ne yapayım? expand_more
Sisteminizde karşılaştığınız bu durum, hukuki olarak bilişim sistemlerine sızarak verileri şifreleyen ve bunun karşılığında maddi menfaat talep eden bir fidye yazılımı (ransomware) saldırısıdır. Bu eylem, özel hayatın gizliliğini ve hukuken korunan veri güvenliğini tehdit eden çok ciddi bir siber suç niteliği taşımaktadır. Failler, sadece sisteminize yetkisiz erişim sağlamakla kalmamış, aynı zamanda bilişim sistemindeki verilerinizi erişilmez kılmışlardır. Suçluların maddi taleplerini kesinlikle yerine getirmemeli, verilerin bütünlüğüne yönelik bu ihlal sebebiyle derhal savcılığa suç duyurusunda bulunmalısınız.
Bir sitenin açığını buldum, şirkete söylesem suç işlemiş olur muyum? expand_more
Bilişim sistemlerinin açıklarını yetkili kişinin izni olmaksızın bularak durumu sistem sahibine bildirmek, literatürde "gri şapkalı hacker" faaliyeti olarak değerlendirilmektedir. Her ne kadar amacınız sistemi iyileştirmek veya bir ödül almak olsa da, incelemeniz sırasındaki izinsizlik unsuru ciddi hukuki tartışmalara ve yasal sorumluluklara yol açabilmektedir. Bilişim hukukunda yalnızca sistem sahiplerinin önceden alınmış yasal izni dâhilinde hareket eden beyaz şapkalı uzmanların faaliyetleri tamamen hukuka uygun kabul edilir. Bu nedenle, habersiz yaptığınız sızma testleri sebebiyle hakkınızda hukuka aykırı erişim kapsamında şikayette bulunulması riski mevcuttur.
Banka sitesine girdim sandım, kart bilgilerim çalınmış. Hukuki hakkım nedir? expand_more
Karşılaştığınız bu durum, resmi kurum veya bankaların sistemlerine benzeyen sahte web siteleri kurarak kullanıcı verilerini ele geçirmeyi hedefleyen "oltalama (phishing)" yöntemidir. Sosyal mühendislik kapsamında değerlendirilen bu eylem ile şifre ve kredi kartı bilgileriniz hukuka aykırı bir biçimde ele geçirilmiştir. Bu fiil yalnızca basit bir güvenlik ihlali değil, aynı zamanda mülkiyet haklarınıza ve veri güvenliğine yönelik kasten işlenmiş bir bilişim suçudur. Zararınızın büyümemesi adına ilgili bankayla görüşerek işlemlerinizi durdurmalı ve faillerin tespiti için ceza soruşturması başlatılmasını talep etmelisiniz.
Şirketimizin sitesi saldırıya uğradı ve çöktü, maddi zararımız var, ne olacak? expand_more
Kurumsal web sitenizin aşırı yüklenerek hizmet veremez duruma düşürülmesi, uygulamada sıklıkla karşılaştığımız ve sistemi felç etmeye yönelik bir DDoS saldırısıdır. Bu saldırı türü, doğrudan kurumların hizmet sunmasını durdurmayı ve neticesinde maddi veya prestij kaybı verdirmeyi hedefleyen suç teşkil eden bir eylemdir. Bilişim sistemine yönelik bu müdahale, hukuken korunan veri bütünlüğünü ve sistem işleyişini sekteye uğrattığı için faillerin ciddi cezai sorumluluğu doğacaktır. Şirketinizin uğradığı ticari zararların tazmini ve faillerin cezalandırılması için adli makamlara vakit kaybetmeksizin başvurmanız gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir