Sanal Dolandırıcılık Hk

Konu: Sanal Dolandırıcılık Hk Cuma 04 Mart 2011, 09:42

İnsanoğlunun her daim hızlı bir değişim içinde bulunduğu, çağlar boyunca görülmüş ve kendi doğası içinde hep yeni şeyler arayışını doğurmuştur. İnsanoğlunun eski alışkanlıklarını bıraktığı ve hızla çağa ayak uydurduğu şu günlerde, bunu en güzel yansıtan şey ise şüphesiz ki; İNTERNET. Matbaadan sonra çağımızın mucizesi denilebilecek en büyük icatlardan birisi...

Eskiden bir banka işlemi için saatlerce kuyrukta beklenirken artık bu gibi işlemler saniyelerle ifade edilebilen bir hıza ulaşmış durumda veya saatlerce dolaşılıp alınan bir hediye web sayfalarından anında alınabiliyor. Bu ve benzeri güzelliklerini gördüğümüz internetin ne yazık ki kullanıcı tabanlı olarak kötü yanları da bulunmakta.

Günümüzde internet kullanıcılarının %80 gibi bir kısmının artık olmazsa olmazlarından olan e-posta, internet bankacılığı, e-alışveriş gibi birçok kullanım alanları kötü niyetli internet kullanıcıları tarafından istismar edilmekte.

İşte özellikle ülkemizde şu günlerde bu şekil istismarların başında gelen olay ise: PHISHING yani kısaca bankanızın, e-postanızın veya bunun gibi bilgi girmenizi gerektiren bir kuruluşun web sayfasının bir kopyasını yapıp kullanıcının hesap bilgilerini çalmayı amaçlayan bir İnternet dolandırıcılığı. İngilizce "Balık tutma" anlamına gelen "Fishing" sözcüğünün 'f' harfinin yerine 'ph' harflerinin konulmasıyla gelen terim, oltayı attığınız zaman en azından bir balık yakalayabileceğiniz düşüncesinden esinlenerek oluşturulmuş ve uygulanıyor. ELBETTE BİZ BALIK DEĞİLİZ

Örneğin kullandığınız elektronik posta servisinin giriş ekranının bir kopyası elektronik posta olarak geliyor ve bir şekilde kullanıcı adınızı ve şifrenizi girmenizi istiyor. Dikkatsiz bir şekilde bilgileri verdiğinizde, sayfanın içine gizlenmiş bir kod parçası kullanıcı adınızı ve şifrenizi dolandırıcılara gönderiyor.

NELER ÇALINIYOR?

Phishing yöntemi kullanarak bilgisayar kullanıcılarını tuzaklarına düşüren dolandırıcılar özellikle aşağıda belirtilen işlemleri çalıyorlar

1. Kredi, Debit/ATM Kart Numaraları/CVV2

2. Şifreler ve Parolalar

3. Hesap Numaraları

4. İnternet Bankacılığına Girişte Kullanılan Kullanıcı Kodu ve Şifreleri

PHISHING NASIL İŞLİYOR?

Phishingin ile dolandırıcılar internet kullanıcılarını Fake (sahte) e-posta yöntemi ile ağlarına düşürmeyi deniyorlar ve yukarıda da bahsettiğimiz kullanıcıları bilgilerini alıyorlar.

E-POSTA YÖNTEMİ NEDİR ?

E-posta yöntemini kullanan dolandırıcılar burada da kullanıcıları üç şekilde aldatma yoluna gidiyorlar. Şöyle ki:

a. E-postanıza devamlı temas halinde olduğunuz kuruluşlardan gönderiliyormuş izlenimi verilen sahte bir posta gönderiliyor. Bu e-postalarda kullanıcıya kurumun web sitesine giderek şifresinin süresinin dolduğu söyleniyor ve altta o sayfaya yönlendirileceği bir link(bağlantı yolu) veriyor. Korsan daha önceden hazırladığı ve kuruluşun sitenin aynısı olan bu siteye kurbanına getirdikten sonra, ondan şifreyi girmesini istiyor, sonra da kullanıcı kendi şifresini yeni şifresiyle değiştiriyor (normal de tabii ki değiştirmiyor. Esasen eski şifre hala geçerli olduğu için korsan bu şifre ile internet aracılığı ile para transferi, e-ticaret vb. işler yapabiliyor)

b. Bazı e-postalarda ise; bir yarışma düzenlendiği ve bu yarışmaya katılması teklif edilen kullanıcılara ödül olarak BMW marka bir araç kazandıkları ancak gerekli kişisel bilgileri vermeleri gerektiği söyleniyor. Bu gibi durumlarda bilgilerini veren kullanıcının tüm bilgileri dolandırıcının yani korsanın eline geçiyor.

c. Bir başka kullanılan teknikte ise; gelen e-posta da müşteriye kişisel bilgilerini güncellemesi gerektiği tüm bilgileri tekrar girmesi bunun kendileri açısından daha iyi hizmet verebilmeleri için gerekli olduğu söyleniyor.

d. Son zamanlarda bazı bankaların başlatmış oldukları ve cep telefonları ile para transferine imkân veren sistem kullanılarak banka müşterilerine sanki kendi hesaplarına para gönderilmiş veya alınmış gibi gösterilip sahte banka sitesi linki (bağlantı yolu) verilerek bu paranın tahsil edilebilmesi için bilgi güncelleştirmesi istendiği belirtilmektedir.

Örnek:

Sayın ormanbank Müşterisi
Hesabınıza 24/şubat/2005 tarihinde Albay Sami HAZİNSES tarafından 270 YTL. havale edilmiştir. Yapılan havale ile ilgili ayrıntılar aşağıdadır.

Gönderen: Sami HAZİNSES

Miktar: 270,00 YTL. ( iki yüz yetmis yeni Türk lirası )
Şube: Mardin / Merkez
Açıklama: -
Havale onay ve/veya ret işlemi için aşağıdaki linkten internet bankacılığını kullanabilirsiniz ve/veya hesabınızda gerekli incelemeleri yapabilirsiniz. Size havale gönderen kişinin bilgileri içinde aşağıdaki linki kullanabilirsiniz...

PHISHING SALDIRILARINDAN NASIL KORUNMALIYIZ?

Unutulmaması gereken nokta her türlü online dolandırıcılık, sahtekarlık ve virüslere karşı en büyük korunma aracı, bu konuda bilinçli ve bilgili olmaktır. Bunu aklımızın bir kenarında devamlı bulundurmalıyız.Tabii ki internette güvenli alışveriş yapmayı istiyorsak.

1. E-postanıza gelen mesajların doğruluğunu ispatlayın. Tanımadığınız kimselerden gelen mesajları silin, asla cevap vermeyin. "Aşağıdaki bağlantıya tıklayın" gibi e-posta isteklerine ASLA YANIT VERMEYİN

2. İşlemlerinizi online yaparken, işlem yaptığınız web sayfasının güvenli olup olmadığını MUTLAKA kontrol edin !

İnternet tarayıcınızın üst kısmında bulunan adres bölümünde bulunan adresin "https://" olup olmadığını kontrol edin. “https://”’in sonunda bulunan “s” harfi bu sayfanın güvenli ve çeşitli şifreleme metotları ile işlem yaptırdığını belirtir. Örneğin: Oyakbank internet şubesine girdiğinizde internet tarayıcınızda https adres başlangıcını görürsünüz.

Ek olarak, internet tarayıcınızın sağ alt kısmında yer alan kapalı kilit işareti, yine güvenli ve şifrelenmiş bir sayfada işlem yaptığınızı gösterir.

Bu işaret sayfanın SSL (System Security Lock - Sistem Güvenlik Kilidi) ile şifrelendiğini ve sitenin gerçekten çalıştığınız kuruluşa ait olup olmadığını göstermektedir, üzerine iki kez tıklandığında ise; aşağıdaki örnekte görüldüğü gibi bir mesaj çıkacaktır.

ÖRNEK :
"Issued to: www.ormanbank.com.tr ve "Issued by: www.verisign.com/CPS Incorp.by Ref.DEMIRCAN.LTD.(c)97 VeriSign" bilgileri kontrol edilmelidir.

Unutulmaması gereken noktaların başında ise yukarıda anlatılan bu iki güvenlik önlemi de dolandırıcılar tarafından tekrar oluşturulabiliyor. Bu sebeple; eğer internet bankacılığını veya e-alışveriş yapmak istiyor iseniz yapmanız gereken şey, işlem yapmak istediğiniz sayfaya kendinizin girmesi en güvenilir yoldur. Herhangi bir site reklamı yolu ile girmeyi denemeyin lütfen.

3. İnternet adresi olarak sayısal rakamlar içeren adresler ile karşılaşırsanız kullanmadan önce MUTLAKA kontrol edin ! Yine aklınızın bir köşesinde bulunsun ki, herhangi bir alan adı almadan, kişisel bilgisayarlarını kullanarak insanlar web sayfası yayımlayabilmektedirler. Genelde numaralı gördüğünüz bu adresler, çoğu kez geçici bir IP (internet protocol) numarasından ibarettir.

Ziyaret ettiğiniz web sitelerinde; adresler çoğunlukla adres kısmı, ardından firmanın ve şirketin ismine ek olarak, com, org, net gibi uzantılar ile biter.

Örneğin; https://www.abidayibank.com.tr

Sahte sitelerde, çoğu zaman sayısal adresler kullanılmaktadır. Eğer bu tür bir durum ile karşılaşırsanız, direkt olarak çalıştığınız KURULUŞ İLE İRTİBATA GEÇİN.
ÖRNEK : Sahte siteler aşağıdaki gibi sayısal bir link verirler

4. Size ulaşan e-posta’nın kimden geldiğinden ve doğruluğundan mutlaka EMİN OLMALISINIZ!

Öncelikle gelen e-postanın kimden geldiğine muhakkak emin olmalısınız eğer ki e-posta’nın kimden geldiğinden emin olamıyor veya gönderilen içerik ile ilgili bazı şüpheleriniz oluyor ise mutlaka direkt olarak sizden bilgi talep ettiğini öne süren gerçek kuruluş ile irtibata geçiniz. ÇÜNKÜ ÇALIŞTIĞINIZ KURUM SİZE ASLA KİŞİSEL BİLGİLERİNİZ VEYA ŞİFRENİZİ SORAN E-POSTA GÖNDERMEZ. BUNU SAKIN UNUTMAYIN!!!

5. Güvenmediğiniz Network (Ağlarda) kesinlikle elektronik işlem yapmayınız. Kullandığınız bilgisayar güvenilir olsa bile eğer network (Ağa) güvenmiyorsanız ELEKTRONİK İŞLEM YAPMAYINIZ!!!

Vesileyle hemen hatırlatayım ki; mümkünse internet kafelerden zorunlu kalmadıkça böylesi bir işleme girmeyiniz. Kullandığınız bilgisayarda öncelikle bir anti-virüs programı, bir firewall ve asgari bir adet Spyware (casus yazılım) programı olmalıdır. (AdAware, Microsoft AntiSpyware vb. gibi.) Bu programlarınızı da sık sık internet üzerinden güncellemeyi unutmayın. Zorunlu hallerde, www.microsoft.com/turkiye adresine girerek en çok yüklenen programlar içerisinden Ms Antispyware (Asgari Windows 2000 işletim sisteminde çalışır) bulup bilgisayara indirip kurmalı ve ve scan (tarama) yapmalısınız. Güvenilir olarak telakki edilen bizim birlik internet bilgisayarlarımızı bile taradığınızda bir çok casus yazılım bulursunuz. LÜTFEN AKLINIZDA BULUNSUN!!!

6. Bankanızdan gelen kart ekstrelerini, hesabınızı düzenli olarak kontrol etmeyi unutmayın. Olası aksiliklerde bankanızla ile KESİNLİKLE İRTİBATA GEÇİN.

7. Sisteminizi düzenli olarak kontrol edin. İşletim sisteminizin güvenlik yamalarını yükleyin, anti-virüs yazılımınızı devamlı olarak güncelleyin. Sadece anti-virüs programınızın varlığı sizi bu anlamda korumaya yetmeyecektir. 5 nci maddede belirttiğim gibi güvenlik asgari bir kaç programın bilgisayarda kurulu olmasına bağlıdır.

8. Çeşitli kurumlardaki hesaplarınızı veya eğer ki birden fazla e-posta adresiniz var ise kesinlikle kendinizi her biri için FARKLI ŞİFRELER BELİRLEYİN.

Amiyane tabir ile ‘Dandik’ olarak nitelendirebileceğimiz sitelere farklı amaçlarla üye olduysanız, büyük olasılıkla bir çok sitede aynı şifreyi kullanmak gibi bir yanılgıya düşmüş olduğunuz anlaşılır. Örneğin; www.necomp3.com gibi bir siteye üye oldunuz ve şifre olarak neco2005 kullandınız. Bu şifreniz www.necomp3.com sitesindeki yönetici (webmaster) tarafından muhakkak biliniyordur. Faraza, bu site yöneticisinin art niyetli bir tipleme olduğunu düşünürsek, hele ki sizi sitesine üye yaparken bazı bilgilerinizi de almış ise, başta yahoo, msn, Hotmail vb. gibi sitelerden başlamak üzere, sizin e-postalarınızı kısa bir sürede ele geçirebilir. Ele geçirdiğini size hissettirmek gibi acemi bir HACKER (korsan) davranışı sergilemez ve CRACKER (bilgi casusu) tarzında hareket eder ise, kısa bir süre sonra özel hayatınıza dair bir çok bilgiye sahip olabilir.

Şifrenizi unuttuğunuzda size sorulması gereken bir gizli soru ve bu soruya cevabınız vardır ve siz bütün iyi niyetinizle, üye olduğunuz tüm internet sitelerine aynı gizli soruyu ve cevabı yazarsınız J Aklınızın bir köşesinde olsun, gayri ciddi sitelere üye olurken, bankalarda, ciddi e-posta servis sağlayıcılarında kullandığınız gizli soru ve cevaplarınızı asla kullanmayın.

9. Belirlediğiniz şifreleri belli aralıklar ile muhakkak değiştirin. Bunu ALIŞKANLIK HALİNE GETİRİN.

10. PHİSHİNG SALDIRILARINA ARACI OLMAYIN!

Dolandırıcılığı gerçekleştirecek kişi veya kişiler phishing yöntemi ile ele geçirdikleri kurumsal veya finansal bilgileri kullanarak hesaplar üzerinden paraları ele geçirme imkânına sahip olurlar. Paranın hesaptan çekilmesi aşamasında kendilerinin tespitini zorlaştırmak yada hiçbir şekilde tespit edilmemelerini sağlamak için ise şüphelenilmeyecek kişilere Internet üzerinde iş ilanları sunmaktalar. Bu ilanlarda çaba harcamadan kolay para kazanılacağı bunun çok kolay bir iş olduğu şeklinde bilgi verilmektedir.

İnternette verilen bu ilan ile bulunan kişilerin banka hesapları kullanılarak phishing yöntemi ile çalınan hesaplardan para transferi yapılmaktadır. Yine ilan ile bulunan kişiler hesaplarından bu paraları çekmek ve belirli bir komisyon karşılığı dolandırıcılığı gerçekleştiren kişilere parayı uluslararası para transferi yapan şirketler aracılığı ile transfer etmek için kullanılmaktadırlar. Böylece dolandırıcılığı gerçekleştiren kişi yada kişiler kimliklerini gizlemiş olup, ilan aracılığı ile bu işe başvuran kişilere suçu atmış olmaktadırlar.

Bu tip belirli bir parayı alıp, komisyon karşılığında başka bir yere transfer etmek şeklindeki iş ilanları konusunda ÇOK DİKKATLİ olunması gerekmektedir. Bu şekilde yapılan işlem kara para aklama işlemi olup, sonucu kanuni takibata varacak şekilde nihayete ermektedir.

11. Eğer böyle bir eyleme maruz kalırsanız size gelen e-postayı kesinlikle silmeyin ve yönlendirdiği web sitesiyle ilgili bilgileri toplamayı deneyin. Örneğin www.ripe.net ten whois (kim) sorgulaması yapıp ilk bilgileri toplamaya çalışın. Şayet birlik interneti kullanıyorsanız, derhal bilgi işlem kısmına haber verin (inşallah onlar da : “Git işine kardeşim, sen bilgisayarcımısın ki bu işlerle uğraşıyorsun ?” Ya da : “senin branşın ne ola ki?” demezler J ).

Eğer bireysel kullanıcıysanız bir dilekçe ile hemen savcılığa başvurup ilgili polis birimlerine elden havale alın ve yazıyı polise götürün. Bu tür suçlarda zamanın çok önemli olduğunu hiçbir zaman AKLINIZDAN ÇIKARTMAYIN.

Genel olarak sahte site ile gerçeğini ayırt etmek için aşağıdaki şekli inceleyebiliriz.

KEYLOGGER

Dolandırıcılar phishing yöntemiyle kullanıcının gizli bilgilerini elde etmenin yanı sıra bu bilgilere birde başka bir yöntem olan keylogger adı verilen klavye ve ekran görüntülerini kopyalayabilen programlar vasıtası ulaşabilmekteler. İsterseniz bundan da biraz söz edelim :

KEYLOGGER YÖNTEMİ

İnternet kullanan banka müşterilerinin veya internet üzerinden ticaret yapan kullanıcıların online işlem şifrelerinin çalınmasının bir diğer yöntemi ise keylogger yani klavye tuş girdilerini kayıt eden yazılımlar vasıtasıyla gerçekleşmektedir. Kullanıcıların bilgisayarlarına yerleştirilen keylogger adlı yazılım, bilgisayarda yapılan her türlü işlemlerin bir kaydını tutar ve bu kayıtlar klavyeden girilen bilgilerin yanı sıra ekran görüntüleri de olabilir. Bu kayıtlar ya sistemde bir txt (metin) dosyası olarak tutulur ya da klavye girdileri e-posta ile saldırgana (HACKER-CRACKER) gönderilir.
KEYLOGGER TÜRÜ YAZILIMLAR SİSTEME NASIL GİRİYOR?

1. Kötü niyetli kişiler tarafından yazılan ve işletim sistemlerinin açıklarından yararlanılarak hedef bilgisayarın kısmen veya tamamen yönetici haklarını saldırgana teslim eden truva atı (trojan) adlı yazılımlar aracılığıyla keylogger yazılımları sisteme yüklenirler.

2. Keylogger yazılımı bilgisayara kullanıcı tarafından yüklenebilir:

Örneğin; güvenilmeyen bir bilgisayarda bilgisayar sahibi tarafından sisteme başkaları tarafından giriş yapılması halinde (login olunması) ne gibi işlemler yapıldığı bilgisayar sahibi tarafından bilinmek istenebilir. Bu durumda sisteme yüklenecek bir keylogger yazılımı ile bilgisayarda başka kullanıcıların yaptıkları bütün işlemler kaydedilmiş olur. Eğer bilgisayar pek çok kişiye açık bir ağda ise bilgisayarda yapılan bütün işlemler keyloggerı yükleyen kişi tarafından öğrenilebilir.

Ayrıca işletim sistemlerinde tespit edilen açıklarla sisteme rahatlıkla uzaktan müdahale edilebilmekte ve bu müdahalelerin başında sisteme dosya aktarma, aktarılan dosyayı çalıştırma gibi işlemlerle sonrasında kullanıcılar takip edilebilmektedir. Bu tür açıklar, yamalarla kapanmış olmakla birlikte sistemlerini güncellemeyen kullanıcılar halen büyük bir tehlike altında.

Keyloger ve benzeri programlardan etkilenmemek için:

• Mutlaka işletim sisteminizin güncelleştirmelerini yapın

• Güncel ve aktif anti-virüs programı, firewall ve Anti Spyware yazılımlarını mutlak surette bilgisayarınızda bulundurun,

• Bankacılık ve önemli işlemlerinizi güvenli olmayan bilgisayarlardan yapmayın, sadece anti-virüs programı yüklü kendi bilgisayarınıza bile yukarıda sıralı diğer programlar yüklü olmadan pek fazlaca güvenmeyin,

• Kullandığınız bilgisayarın web browserı (internet tarayıcısı)’nın otomatik tanımlama özelliğindeki “Formlarda kullanıcı adları ve parolalar” ile ilgili kısmın işaretsiz olmasına dikkat edin.

Yukarıda bahsettiğimiz “Formlarda kullanıcı adları ve parolalar” bölümüne şu şekilde giriş yapılmalıdır

ŞEKİL 1: İnternet Explorer 6.0 için ( Araçlar->İnternet Seçenekleri->İçerik->Otomatik Tamamla)

ŞEKİL 2: Firefox 1.0 PR İçin ( Araçlar -> Seçenekler -> Gizlilik)

KANUNLARDA BU SUÇ HANGİ MADDELERDE BELİRTİLİYOR?

İsterseniz kanunumuzda bu suçlar hangi maddelerde ve nasıl işleniyor sorularının cevaplarına aşağıdaki soru-cevapları okuyarak ulaşalım

1. Bu suçun tam tanımı nedir ? (Yeni ve Eski TCK'ya göre)

Bu suçun tam tanımı maalesef hem eski yasamızda hem de yeni yasamızda tam tanımlanmamış. Bu sebeple ancak yorum yoluyla bir sonuca varılabiliyor. Ama ceza hukukunda yorum ancak çok dar bir şekilde yapılabildiği için bu suçun bilişim suçu olarak değerlendirilmesi zordur. Ama bu suça Yeni TCK’da Madde:158/f uygulanabilir.

2. Bu gibi suçlar da korunan hukuki menfaat nedir?

Fake (Sahte) mailler ile işlenen bu gibi suçlarda korunan hukuki menfaat kişilerin malvarlığı haklarıdır.

3. Bu olayda Mağdur kimdir( Banka mı yoksa Müşterimi?)

Olayda mağdur müşteridir. Çünkü malvarlığında azalma meydana gelen kişi , hile ve desiseye maruz kalan kişi müşteridir.

4. Bu olayın faili kimdir?

Olayın faili herkes olabilir. Fail olabilmek için yasa herhangi bir özel şart aramamıştır.

5. Suçla mücadelede hukuki olarak nasıl bir yöntem izlenmelidir?

Suçla mücadele için öncelikli olarak yapılması gereken bir adli bilişim biriminin kurulmasıdır. Bu adli tıp içinde de kurulabilir. İkinci olarak hakim ve savcılarımıza yeterli eğitim verilmelidir. Üçüncü husus ise servis sağlayıcılara yasal yükümlülükler getirerek bugün delillendirme de yaşanan problemlerin önüne geçilmelidir.

6. Delillendirme nasıl yapılmalıdır?

Delillendirme de en hayati nokta gelen sahte elektronik postanın kağıt çıktısının mahkemeye sunulması değil, elektronik versiyonunun savcıya ya da mahkemeye sunularak üzerinde bilirkişi incelemesi yaptırılmasıdır. Ayrıca sahte postanın yönlendirdiği web sitesine ilişkin bilgilerin ve yine sahte elektronik postanın gönderildiği servis sağlayıcısından alınacak bilgilerin dosyaya konulması gerekir.

7. Başvuru yolları nelerdir?

Böyle bir eyleme maruz kalan kişi derhal bankasını bilgilendirmeli ve ardından TCK'nun dolandırıcılık hükümlerine göre savcılığa dilekçe ile başvurmalıdır. Burada hem mağdura hem savcıya hem de güvenlik güçlerine düşen görev hayati önemdeki birkaç delilin en kısa zamanda toplanmasını sağlamaktır.

8. Uluslar arası hukukta bu olay ne boyuttadır uluslararası hukuk bunu ne olarak görüyor ?

Dünya bu eyleme hazırlıksız yakalandı ve bu sebeple bunu açıkça suç olarak düzenleyen bir yasa maddesi yok. Ancak ABD’li hukukçuların “The Anti – Phishing Act” olarak adlandırdıkları ve Senatör Patrick Leahy tarafından sunulan yasa tasarısı ile ABD’de büyük finansal kayıplara yol açan sahte elektronik posta eylemleri ve bilişim suçları önlenmek isteniyor. Diğer ülkelerin genel eğilimi ceza yasalarındaki bilişim suçlarını düzenleyen hükümlerden faydalanmak yönünde.

SÖZÜN ÖZÜ :
İnternet üzerinden bankacılık ve alışveriş işlerine dair konulara vakıfız, sitelerin SSL korumalı olduklarına bakıyoruz, anti-virüs, firewall ve antiSpyware yazılımlarımız bilgisayarımızda yüklü, aktif ve güncellemeleri tam. İlgili ilgisiz sitelere üye oluyorsak farklı şifreler kullanıyor, gizli soru ve cevaplarımızı birbirinden farklı veriyoruz. Olur olmaz sitelere (!) girmek gafletinde bulunmuyoruz (crack anlamında şifre veren, mp3 vb. downlaad siteleri, eğlence, oyun vs.)