Makale
Bu makalede, bilişim hukuku perspektifiyle gerçek banka ve kredi kartlarının hukuka aykırı yollarla ele geçirilerek kötüye kullanılması suçu ile bu süreçte faillerin başvurduğu oltalama, pharming ve sosyal mühendislik gibi siber saldırı yöntemleri analiz edilmektedir.
Gerçek Kartların Kötüye Kullanımı ve Siber Saldırılar
Günümüzde kartlı ödeme sistemleri ve dijital bankacılık uygulamalarının hızla gelişmesi, ekonomik hayata büyük kolaylıklar sağlarken, ne yazık ki bilişim suçları alanında da yeni riskleri beraberinde getirmiştir. Failler, gelişen teknolojiyi kötüye kullanarak kişilerin malvarlığı değerlerini hedef almakta ve çeşitli siber saldırı yöntemleri geliştirmektedir. Bu bağlamda, Türk Ceza Kanunu'nun 245. maddesinin birinci fıkrasında düzenlenen gerçek bir banka veya kredi kartının kötüye kullanılması suçu, uygulamada en sık karşılaşılan bilişim ihlallerinden biri olarak öne çıkmaktadır. Kartın fiziki olarak çalınmasından öte, sosyal mühendislik, oltalama veya zararlı yazılımlar aracılığıyla sadece kart bilgilerinin ele geçirilmesi de hukuki anlamda ciddi mağduriyetlere yol açmaktadır. Bilişim hukuku uygulamaları çerçevesinde, faillerin cezai sorumluluğunun doğması için söz konusu kartın veya kart bilgilerinin rıza dışında ele geçirilerek menfaat sağlanması şarttır. Bu makalede, suçun hukuki yapısı ve güncel siber saldırı metotları uzman bir bakış açısıyla ele alınacaktır.
TCK Madde 245/1 Kapsamında Kartın Kötüye Kullanımı
Bilişim sistemlerine yönelik eylemlerin sınır aşan ve karmaşık yapısı, hukuki yaptırımların da bu gelişmelere uyum sağlamasını zorunlu kılmıştır. Türk Ceza Kanunu madde 245/1 hükmü uyarınca, başkasına ait gerçek bir banka veya kredi kartını her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin rızası olmaksızın kullanarak kendisine veya başkasına haksız yarar sağlarsa cezai yaptırımla karşılaşır. Bu suç tipi, karma nitelikli hukuki değerleri koruma altına almaktadır. Hüküm, bir yandan bireylerin malvarlığı değerlerini güvence altına alırken, diğer yandan da toplumsal düzeyde bankacılık ve kartlı ödeme sistemlerine duyulan güveni tesis etmeyi amaçlar. Suçun oluşumu için faillerin kartı hırsızlık, yağma veya dolandırıcılık gibi hukuka aykırı yollarla ele geçirmiş olması şart değildir; kartı yolda bulmak veya rıza ile emanet alındıktan sonra yetki dışı harcama yapmak da kötüye kullanma eylemi olarak kabul edilmektedir.
Kart Bilgilerinin Ele Geçirilmesi ve Fiziki Varlık Tartışması
Hukuk uygulamaları bağlamında en sık tartışılan hususlardan biri, kredi kartının fiziki varlığının ele geçirilmesinin şart olup olmadığıdır. Bilişim hukukundaki güncel gelişmelere ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu tanımlarına bakıldığında, fiziki bir plastik kart olmaksızın sadece on altı haneli kart numarası, son kullanma tarihi ve güvenlik kodunun yetkisiz kişilerce kullanılması da suçun maddi unsurunu oluşturur. Özellikle e-ticaretin yoğunlaştığı günümüzde, mail order yöntemi veya sanal pos cihazları üzerinden fiziki temas olmadan yapılan haksız işlemler doğrudan bu suç kapsamında değerlendirilir. Kart bilgilerinin dijital ortamda kopyalanması, veri tabanlarına sızılması veya mağdurun dikkatsizliğinden faydalanarak hassas verilerin çalınması, bilişim sistemlerinin sağladığı kolaylıkların suistimal edilmesidir. Uygulamada, kart bilgilerini elde eden faillerin, kart sahibinin haberi olmadan internet üzerinden yaptıkları her türlü harcama veya sanal havale işlemi doğrudan cezai yaptırım gerektirmektedir.
Sosyal Mühendislik ve İnsan Zafiyetinin Kullanılması
Siber saldırganların teknik altyapıları aşmak yerine doğrudan kart hamillerini hedef aldığı sosyal mühendislik yöntemleri, güncel bilişim suçları arasında büyük bir tehlike arz etmektedir. Failler, mağdurun güvenini kazanarak, korkutarak veya çeşitli bahanelerle ikna ederek kart şifresi ve onay kodlarını ele geçirmeyi amaçlarlar. İnsanların yardım etme arzusu, zaafları veya bilgisizlikleri bu saldırıların temel beslenme kaynağıdır. Örneğin, failin banka görevlisi veya emniyet mensubu kılığına girerek mağduru telefonla araması ve güvenlik teyidi bahanesiyle tek kullanımlık şifreleri istemesi tipik bir sosyal mühendislik vakasıdır. Bu süreçte doğrudan bilişim sisteminin hacklenmesi söz konusu olmasa da, mağdur manipüle edilerek sistemin güvenlik duvarları aşılmaktadır. Hukuki açıdan bakıldığında, mağdurun iradesi fesada uğratılarak alınan rıza geçerli sayılmayacağı için, kart sahibinin bilgisi dışında yapılan bu işlemler doğrudan hukuka aykırı yarar sağlama fiilini tamamlamaktadır.
Bilişim Sistemlerine Yönelik Başlıca Siber Saldırı Yöntemleri
Kart bilgilerinin izinsiz olarak elde edilmesinde teknik uzmanlık gerektiren ve bilişim sistemi güvenliğini doğrudan tehdit eden başlıca siber saldırı metotları uygulamada ciddi mağduriyetler yaratmaktadır. Failler tarafından sıklıkla başvurulan teknoloji tabanlı saldırı yöntemlerini şu şekilde sıralamak mümkündür:
- Phishing (Oltalama): Bankaların veya resmi kurumların web sitelerine birebir benzeyen sahte sayfalar oluşturularak, mağdurların bu sitelere yönlendirilmesi ve kredi kartı hassas verilerinin kendi elleriyle girilmesinin sağlanmasıdır.
- Pharming: Mağdurun cihazındaki DNS ayarlarının değiştirilerek, doğru web adresini tuşlamasına rağmen arka planda sahte ve zararlı sunuculara yönlendirilmesi ve finansal bilgilerinin ele geçirilmesi işlemidir.
- Vishing ve Smishing: Oltalama saldırısının sesli çağrı üzerinden yapılarak mağdurun kandırılmasına vishing; SMS yoluyla sahte bağlantılar gönderilerek cihaza kötü amaçlı yazılımların indirtilmesine ise smishing adı verilmektedir.
Bu siber yöntemler aracılığıyla hukuka aykırı şekilde verilerin ele geçirilip harcama yapılması, yasal düzenlemelerimiz uyarınca bilişim alanında suçlar kapsamında ağır yaptırımlara tabidir.
ATM Hileleri ve Sorumluluğun Belirlenmesi
Geleneksel yöntemlerle bilişim sistemlerinin birleştiği bir diğer saldırı türü ise doğrudan bankamatik cihazlarına yönelik fiziksel müdahalelerdir. Saldırganlar, ATM'nin kart yuvasına yerleştirdikleri özel düzeneklerle gerçek kartın sıkışmasını sağlar ve ardından yardım etme bahanesiyle mağdurun yanına gelerek şifreyi öğrenirler. Mağdur, kartını makinede bırakarak banka şubesine gittiğinde ise fail sıkışan kartı çıkararak haksız para çekim işlemi gerçekleştirir. Hukuk uygulamalarına yansıyan bu senaryoda, suçun kanuni tarifi gereği menfaat temini aşamasında kullanılan vasıta, mağdurun elinden iradesi dışında çıkan gerçek bir banka kartıdır. Hukuki değerlendirmelerde, failin kartı fiziksel bir hile ile ele geçirmesi genel hükümler çerçevesinde ihlal yaratsa da, devamında bu kartın bir bilişim sistemi olan ATM'de kullanılarak yarar sağlanması, ceza kanununda düzenlenen kartın kötüye kullanılması fiilini tamamlamaktadır. Bu tür karmaşık vakalarda ispat süreçleri bilişim hukuku avukatlığının uzmanlık alanına girmektedir.