Anasayfa/ Makale/ Gerçek Kartların Siber Saldırılarla Kötüye Kullanımı

Gerçek Kartların Siber Saldırılarla Kötüye Kullanımı

Bilişim teknolojilerindeki gelişmeler, banka ve kredi kartı kullanımını artırırken yeni siber saldırı türlerini de beraberinde getirmiştir. Phishing, pharming ve zararlı yazılımlar gibi yöntemlerle gerçek kart bilgilerinin ele geçirilmesi, ceza mevzuatı kapsamında cezalandırılan ciddi bir bilişim hukuku ihlalidir.
search
6 dk okuma Yayınlanma: Güncelleme:
PHİSHİNG (OLTALAMA) BİLİŞİM HUKUKU

Bilişim ve iletişim teknolojilerindeki hızlı gelişim, bankacılık sektöründe köklü değişiklikler yaratmış ve nakit ödeme sistemlerinin yerini plastik kartlar ile sanal işlemler almıştır. Bu dijitalleşme süreci, kullanıcılara zamandan ve mekandan bağımsız finansal işlem yapma özgürlüğü sunarken, siber suçlular için de yeni ve cazip bir zemin oluşturmuştur. Bilişim hukuku uygulamaları çerçevesinde incelediğimizde, failin gerçek bir banka veya kredi kartının verilerini siber saldırı yöntemleriyle hukuka aykırı şekilde ele geçirmesi ve bu bilgileri kullanarak menfaat sağlaması, uygulamada sıklıkla karşılaştığımız ciddi bir hukuki ihlaldir. Türk Ceza Kanunu'nun ilgili hükümleri, başkasına ait gerçek bir banka veya kredi kartını her ne suretle olursa olsun ele geçirip rıza dışında kullanan ve haksız yarar sağlayan kişilerin cezalandırılmasını öngörmektedir. Özellikle e-ticaretin ve internet bankacılığının yaygınlaşması, fiziki bir kart olmaksızın sadece kart numarası ve güvenlik kodunun kullanılmasıyla finansal işlemlerin gerçekleştirilebilmesine olanak tanımış, bu durum da siber saldırıların odak noktasını kartın fiziksel varlığından ziyade dijital verilerine kaydırmıştır.

Siber Saldırı Yöntemleriyle Kart Verilerinin Ele Geçirilmesi

Failin, mağdurun rızası hilafına kart bilgilerini dijital ortamlarda elde etmesi bilişim suçları bağlamında çok çeşitli tekniklerle gerçekleşmektedir. Geleneksel hırsızlık veya gasp yöntemlerinin aksine, günümüzdeki siber saldırılar sosyal mühendislik ve zararlı yazılımlar gibi sofistike bilişim araçları kullanılarak icra edilmektedir. Kart sahibinin internet bankacılığı şifresi veya kredi kartı numarası gibi hassas finansal verileri, fail tarafından fiziksel bir temasa gerek kalmaksızın ele geçirilmektedir. İlgili mevzuat uyarınca kredi kartının tanımına fiziki varlığı bulunmayan kart numarasının da dahil edilmesi, hukuki anlamda bu verilerin dijital ortamda ele geçirilmesini de suçun hazırlık hareketi olarak nitelendirmemizi sağlamaktadır. Fail, elde ettiği bu verileri e-ticaret sistemlerinde kullanarak haksız menfaat elde ettiğinde gerçek kartın kötüye kullanılması suçu kanuni unsurlarıyla birlikte tamamlanmış olmaktadır.

Phishing ve Pharming Yöntemlerinin Hukuki Analizi

Uygulamada sıklıkla karşılaşılan phishing yani olta saldırısı yöntemi, failin güvenilir bir banka veya finans kurumu gibi davranarak mağduru aldatması esasına dayanır. Mağdura gönderilen e-postalar aracılığıyla, kişinin banka hesaplarına veya kredi kartı bilgilerine ulaşmak amaçlanır. Bu e-postalarda yer alan bağlantılara tıklayan kullanıcı, bankanın resmi web sitesinin birebir kopyası olan sahte bir siteye yönlendirilir ve burada girdiği şifre veya PIN gibi veriler doğrudan failin eline geçer. Daha gelişmiş bir yöntem olan pharming ise, alan adı sistemi odaklı bir siber saldırıdır. Bu yöntemde mağdur, bankanın doğru web adresini yazsa dahi bilgisayarına gizlice yüklenmiş zararlı yazılımlar sayesinde otomatik olarak failin kontrolündeki sahte siteye yönlendirilir. Her iki durumda da mağdurun psikolojik olarak yönlendirilerek hassas finansal verilerini kendi elleriyle failin sistemine girmesi sağlanmakta ve adli makamlar nezdinde failin hukuka aykırı kastı açıkça ortaya konmaktadır.

Zararlı Yazılımlar ile Gerçekleştirilen İhlaller

Phishing yönteminin telefon ve mobil cihazlar üzerinden gerçekleştirilen varyasyonları olan sesli olta saldırısı ve SMS olta saldırısı, bankacılık sistemlerini hedef alan güncel siber tehditlerdir. Saldırılarda fail, banka çağrı merkezi gibi davranan otomatik ses kayıt sistemleri kurarak mağdurun tuşlama yoluyla kart numarasını ve şifresini ele geçirmeyi hedefler. Diğer yandan, teknolojik müdahalenin en üst seviyede olduğu zararlı yazılım saldırılarında, mağdurun cihazına gizlice yerleştirilen tuş kaydediciler ve ekran kaydediciler kullanılır. Özellikle sanal klavye gibi güvenlik önlemlerini aşmak için geliştirilen ekran kaydedici yazılımlar, kullanıcının internet bankacılığına girerken ekranda tıkladığı yerlerin görüntülerini alarak failin sunucusuna iletir. Bilişim hukuku perspektifinden, failin bu siber araçlarla elde ettiği gerçek kart bilgilerini hukuka aykırı işlemlerde kullanması, yasal mevzuatımız kapsamında değerlendirilen açık ve ağır bir maddi ihlal olup failin doğrudan cezai sorumluluğunu doğurur.

Yargıtay Uygulamaları Işığında Hukuki Değerlendirme

Yüksek mahkeme içtihatları incelendiğinde, kart verilerinin fiziksel bir kart olmaksızın sadece iletişim araçlarıyla kullanılması, suçun maddi unsurunun gerçekleşmesi için yeterli görülmektedir. Bir Yargıtay kararına göre, failin internet üzerinden başkasına ait kredi kartı bilgilerini kullanarak sipariş vermesi ve üye işyeri tarafından gönderilen malı teslim almasıyla suç tamamlanmış sayılmaktadır. Burada mağdur, kartı çıkaran kuruluş veya üye işyeri değil, doğrudan hesabından para çekilen veya adına borç yansıtılan gerçek kart hamilidir. Siber saldırı sonucunda elde edilen verilerle yapılan hukuka aykırı harcamaların kart sahibinin kastına dayanmadığı durumlarda, hukuki uyuşmazlıkların çözümünde teknik bilirkişi raporları ile işlem yapılan erişim adresleri ve dijital kayıtların incelenmesi büyük önem taşımaktadır. Suçun faili, bilişim sistemleri üzerinden izini kaybettirmeye çalışsa da, adli makamlarca yapılacak dijital delil analizleri ile sorumluluğun şahsiliği şüpheye yer bırakmayacak şekilde tespit edilebilmektedir.

Siber Saldırı Yöntemi Hedeflenen Veri ve İşleyiş Biçimi Hukuki Yönü ve Suçun Hazırlık Evresi
Phishing E-posta ile sahte banka sitesine yönlendirilerek kart bilgilerinin alınması. Mağdurun iradesinin sakatlanması ile finansal verilerin ele geçirilmesi.
Pharming Zararlı kodlarla alan adı ayarlarının değiştirilip sahte siteye girilmesi. Bilişim sistemi aracılığıyla irade dışı veri sızıntısının sağlanması.
Sesli ve SMS Olta Saldırısı Sahte çağrı merkezi aramaları ile şifre ve kart verilerinin tuşlatılması. İletişim araçları kullanılarak sosyal mühendislik yoluyla ihlal yapılması.
Casus Yazılımlar Bilgisayar klavye vuruşlarının ve ekran görüntülerinin gizlice kaydedilmesi. Donanım ve yazılım zafiyetlerinin kötü niyetli kişilerce suistimal edilmesi.
Bankadan e-posta geldi sanıp şifremi girdim, hesabı boşaltmışlar. Bu bir suç mu? expand_more
Yaşadığınız bu durum, hukuki terminolojide "phishing" (olta saldırısı) olarak adlandırılan ciddi bir bilişim suçudur. Bu siber saldırı türünde failler, güvenilir bir finans kurumu gibi davranıp sahte bir site üzerinden mağdurun iradesini sakatlayarak hassas verilerini ele geçirmektedir. Türk Ceza Kanunu çerçevesinde incelediğimizde, başkasına ait kart verilerini bu gibi hukuka aykırı yöntemlerle elde edip haksız yarar sağlamak doğrudan cezai yaptırım gerektirir. Adli makamlara şikayette bulunduğunuzda, faillerin iradenizi psikolojik olarak nasıl yönlendirdiği ortaya konarak haklarında gerekli yasal süreç işletilecektir.
Kartım cebimde duruyor ama internetten adıma alışveriş yapmışlar. Ne yapmalıyım? expand_more
Kredi kartınızın fiziksel olarak çalınmamış olması, siber saldırganların kart verilerinizi kullanarak suç işlemesine engel teşkil etmemektedir. Yargıtay içtihatları ışığında, fiziki bir kart olmaksızın sadece kart numarası ve güvenlik kodunun kullanılarak internet üzerinden sipariş verilmesi ve haksız menfaat elde edilmesi halinde suç tüm maddi unsurlarıyla tamamlanmış sayılmaktadır. Bu tür olaylarda hukuki olarak suçun mağduru, kartı çıkaran banka değil doğrudan hesabından para çekilen kişi olan sizsiniz. Hak kaybına uğramamanız için derhal Cumhuriyet Başsavcılığına başvurmanız gerekmektedir.
Bilgisayarıma gizlice virüs girmiş ve banka şifremi kopyalamış. Hakkımı nasıl ararım? expand_more
Bahsettiğiniz bu ihlal, siber faillerin cihazınıza tuş kaydedici veya ekran kaydedici gibi zararlı casus yazılımlar yerleştirmesi neticesinde meydana gelmektedir. Geliştirilen bu yazılımlar, sanal klavye gibi güvenlik önlemlerini dahi aşarak bankacılık sistemine girerken ekranda tıkladığınız yerleri kopyalamakta ve failin sistemine aktarmaktadır. Bilişim hukuku bağlamında, bu araçlarla gerçek kart verilerinizin ele geçirilip kötüye kullanılması kanunlarımızca ağır bir cezai sorumluluk doğurmaktadır. Uzman adli bilişim laboratuvarları vasıtasıyla cihazınızda yapılacak incelemeler, bu yazılımların ve siber saldırganların izini sürmek için elzemdir.
İnternetten kartımla alışveriş yapan hırsızı polis nasıl bulacak? expand_more
Bilişim suçu failleri her ne kadar internet ortamında kimliklerini gizlemeye çalışsalar da, hukuki ve teknik süreçler sayesinde tespit edilmeleri mümkündür. Uyuşmazlığın çözümünde adli makamlarca görevlendirilecek uzman bilirkişiler devreye girecek, hukuka aykırı işlemin yapıldığı erişim adresleri (IP numaraları) ve arkasındaki dijital kayıtlar detaylı bir şekilde analiz edilecektir. Bu dijital delil incelemeleri, ceza hukukumuzun temel ilkelerinden olan ceza sorumluluğunun şahsiliğini şüpheye yer bırakmayacak şekilde ispat etmeye yaramaktadır. Dolayısıyla, siber saldırı yöntemleri ne kadar karmaşık olursa olsun, vakit kaybetmeden hukuki süreci başlatmanız maddi gerçeğin ortaya çıkarılmasını sağlayacaktır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir