Makale
Bilişim teknolojilerindeki gelişmeler, banka ve kredi kartı kullanımını artırırken yeni siber saldırı türlerini de beraberinde getirmiştir. Phishing, pharming ve zararlı yazılımlar gibi yöntemlerle gerçek kart bilgilerinin ele geçirilmesi, ceza mevzuatı kapsamında cezalandırılan ciddi bir bilişim hukuku ihlalidir.
Gerçek Kartların Siber Saldırılarla Kötüye Kullanımı
Bilişim ve iletişim teknolojilerindeki hızlı gelişim, bankacılık sektöründe köklü değişiklikler yaratmış ve nakit ödeme sistemlerinin yerini plastik kartlar ile sanal işlemler almıştır. Bu dijitalleşme süreci, kullanıcılara zamandan ve mekandan bağımsız finansal işlem yapma özgürlüğü sunarken, siber suçlular için de yeni ve cazip bir zemin oluşturmuştur. Bilişim hukuku uygulamaları çerçevesinde incelediğimizde, failin gerçek bir banka veya kredi kartının verilerini siber saldırı yöntemleriyle hukuka aykırı şekilde ele geçirmesi ve bu bilgileri kullanarak menfaat sağlaması, uygulamada sıklıkla karşılaştığımız ciddi bir hukuki ihlaldir. Türk Ceza Kanunu'nun ilgili hükümleri, başkasına ait gerçek bir banka veya kredi kartını her ne suretle olursa olsun ele geçirip rıza dışında kullanan ve haksız yarar sağlayan kişilerin cezalandırılmasını öngörmektedir. Özellikle e-ticaretin ve internet bankacılığının yaygınlaşması, fiziki bir kart olmaksızın sadece kart numarası ve güvenlik kodunun kullanılmasıyla finansal işlemlerin gerçekleştirilebilmesine olanak tanımış, bu durum da siber saldırıların odak noktasını kartın fiziksel varlığından ziyade dijital verilerine kaydırmıştır.
Siber Saldırı Yöntemleriyle Kart Verilerinin Ele Geçirilmesi
Failin, mağdurun rızası hilafına kart bilgilerini dijital ortamlarda elde etmesi bilişim suçları bağlamında çok çeşitli tekniklerle gerçekleşmektedir. Geleneksel hırsızlık veya gasp yöntemlerinin aksine, günümüzdeki siber saldırılar sosyal mühendislik ve zararlı yazılımlar gibi sofistike bilişim araçları kullanılarak icra edilmektedir. Kart sahibinin internet bankacılığı şifresi veya kredi kartı numarası gibi hassas finansal verileri, fail tarafından fiziksel bir temasa gerek kalmaksızın ele geçirilmektedir. İlgili mevzuat uyarınca kredi kartının tanımına fiziki varlığı bulunmayan kart numarasının da dahil edilmesi, hukuki anlamda bu verilerin dijital ortamda ele geçirilmesini de suçun hazırlık hareketi olarak nitelendirmemizi sağlamaktadır. Fail, elde ettiği bu verileri e-ticaret sistemlerinde kullanarak haksız menfaat elde ettiğinde gerçek kartın kötüye kullanılması suçu kanuni unsurlarıyla birlikte tamamlanmış olmaktadır.
Phishing ve Pharming Yöntemlerinin Hukuki Analizi
Uygulamada sıklıkla karşılaşılan phishing yani olta saldırısı yöntemi, failin güvenilir bir banka veya finans kurumu gibi davranarak mağduru aldatması esasına dayanır. Mağdura gönderilen e-postalar aracılığıyla, kişinin banka hesaplarına veya kredi kartı bilgilerine ulaşmak amaçlanır. Bu e-postalarda yer alan bağlantılara tıklayan kullanıcı, bankanın resmi web sitesinin birebir kopyası olan sahte bir siteye yönlendirilir ve burada girdiği şifre veya PIN gibi veriler doğrudan failin eline geçer. Daha gelişmiş bir yöntem olan pharming ise, alan adı sistemi odaklı bir siber saldırıdır. Bu yöntemde mağdur, bankanın doğru web adresini yazsa dahi bilgisayarına gizlice yüklenmiş zararlı yazılımlar sayesinde otomatik olarak failin kontrolündeki sahte siteye yönlendirilir. Her iki durumda da mağdurun psikolojik olarak yönlendirilerek hassas finansal verilerini kendi elleriyle failin sistemine girmesi sağlanmakta ve adli makamlar nezdinde failin hukuka aykırı kastı açıkça ortaya konmaktadır.
Zararlı Yazılımlar ile Gerçekleştirilen İhlaller
Phishing yönteminin telefon ve mobil cihazlar üzerinden gerçekleştirilen varyasyonları olan sesli olta saldırısı ve SMS olta saldırısı, bankacılık sistemlerini hedef alan güncel siber tehditlerdir. Saldırılarda fail, banka çağrı merkezi gibi davranan otomatik ses kayıt sistemleri kurarak mağdurun tuşlama yoluyla kart numarasını ve şifresini ele geçirmeyi hedefler. Diğer yandan, teknolojik müdahalenin en üst seviyede olduğu zararlı yazılım saldırılarında, mağdurun cihazına gizlice yerleştirilen tuş kaydediciler ve ekran kaydediciler kullanılır. Özellikle sanal klavye gibi güvenlik önlemlerini aşmak için geliştirilen ekran kaydedici yazılımlar, kullanıcının internet bankacılığına girerken ekranda tıkladığı yerlerin görüntülerini alarak failin sunucusuna iletir. Bilişim hukuku perspektifinden, failin bu siber araçlarla elde ettiği gerçek kart bilgilerini hukuka aykırı işlemlerde kullanması, yasal mevzuatımız kapsamında değerlendirilen açık ve ağır bir maddi ihlal olup failin doğrudan cezai sorumluluğunu doğurur.
Yargıtay Uygulamaları Işığında Hukuki Değerlendirme
Yüksek mahkeme içtihatları incelendiğinde, kart verilerinin fiziksel bir kart olmaksızın sadece iletişim araçlarıyla kullanılması, suçun maddi unsurunun gerçekleşmesi için yeterli görülmektedir. Bir Yargıtay kararına göre, failin internet üzerinden başkasına ait kredi kartı bilgilerini kullanarak sipariş vermesi ve üye işyeri tarafından gönderilen malı teslim almasıyla suç tamamlanmış sayılmaktadır. Burada mağdur, kartı çıkaran kuruluş veya üye işyeri değil, doğrudan hesabından para çekilen veya adına borç yansıtılan gerçek kart hamilidir. Siber saldırı sonucunda elde edilen verilerle yapılan hukuka aykırı harcamaların kart sahibinin kastına dayanmadığı durumlarda, hukuki uyuşmazlıkların çözümünde teknik bilirkişi raporları ile işlem yapılan erişim adresleri ve dijital kayıtların incelenmesi büyük önem taşımaktadır. Suçun faili, bilişim sistemleri üzerinden izini kaybettirmeye çalışsa da, adli makamlarca yapılacak dijital delil analizleri ile sorumluluğun şahsiliği şüpheye yer bırakmayacak şekilde tespit edilebilmektedir.
| Siber Saldırı Yöntemi | Hedeflenen Veri ve İşleyiş Biçimi | Hukuki Yönü ve Suçun Hazırlık Evresi |
|---|---|---|
| Phishing | E-posta ile sahte banka sitesine yönlendirilerek kart bilgilerinin alınması. | Mağdurun iradesinin sakatlanması ile finansal verilerin ele geçirilmesi. |
| Pharming | Zararlı kodlarla alan adı ayarlarının değiştirilip sahte siteye girilmesi. | Bilişim sistemi aracılığıyla irade dışı veri sızıntısının sağlanması. |
| Sesli ve SMS Olta Saldırısı | Sahte çağrı merkezi aramaları ile şifre ve kart verilerinin tuşlatılması. | İletişim araçları kullanılarak sosyal mühendislik yoluyla ihlal yapılması. |
| Casus Yazılımlar | Bilgisayar klavye vuruşlarının ve ekran görüntülerinin gizlice kaydedilmesi. | Donanım ve yazılım zafiyetlerinin kötü niyetli kişilerce suistimal edilmesi. |