Konuyla ilgili endişe duyanlar vatandaşlar ise gözlerini siber güvenlik uzmanları ve bankalara çevirirken, hukuki boyut da merak konusu oldu. Siber Güvenlik Uzmanı Ahmet Naci Ünal, Bilişim Hukuku Uzmanı Oğulcan Doğan kullanıcılara uyarılarda bulundu, Türkiye Bankacılar Birliği (TBB) ise bankaların güvenlik çalışmalarına dair yazılı bir açıklama yaptı.
GÖZLER SİBER GÜVENLİK UZMANLARINA ÇEVRİLDİ
Son zamanlarda sahte Instagram destek hesabından kullanıcılara ‘topluluk kurallarının ihlali, telif hakları’ içerikli mesajlar atılmaya başladı. Mesajda yer alan linke tıklayanların sosyal medya hesapları ele geçirilerek, bir coin şirketine para yatırdıkları ve yatırdıkları paranın 4-5 katını kazandığını gösteren banka dekontunun paylaşımı yapılması üzerine gözler siber güvenlik uzmanlarına ve bankalara çevrildi. Sosyal medya hesapları çalınan kişilerin bir kısmından yüklü miktarda para çekilirken, şirket sahibi olduğu iddia edilen Koray adlı kişinin, kullanıcının takip ettiği kişilere de aynı şirkete yatırım yapmaları için mesaj attığı ve işlemlerle ilgili bilgi verdiği görüldü.
İNSANLARIN ZAAFLARINA UYGUN PAYLAŞIMLAR YAPILIYOR
Sosyal medya uygulamalarını kullanırken farkında olarak veya olmayarak yapılan paylaşımlarla, beğenilerle, yorumlarla kişisel anlamda veri paylaşımında bulunulduğunu söyleyen Bahçeşehir Üniversitesi (BAU) Mühendislik ve Doğa Bilimleri Fakültesi Öğretim Üyesi, Siber Güvenlik Merkezi Müdürü Dr. Ahmet Naci Ünal, paylaşılan bu verileri analiz eden kötü amaçlı kişilerin, bu paylaşımları yapan insanların; korkuları, endişeleri, açgözlülükleri, merakları, başkalarına yardım etme isteği gibi kişilik profillerini çıkarabildiğini söyledi. Ünal, bu kişilerin çeşitli sosyal medya uygulamaları, cep telefonu mesajı, e-posta mesajı, hatta doğrudan telefonla arayıp zaaflarına uygun olacak paylaşımlarda bulunabildiklerini kaydetti.
Ünal, “Bu sosyal medya paylaşımları; yangın, sel, deprem gibi doğal afetler sonucunda insanların merhamet ve yardım etme isteğini tetikleyici mesajlar şeklinde, kullanmakta oldukları bazı uygulamaların telif haklarını ödemedikleri için cezai işleme tabii tutulacaklarına dair korkutucu mesajlar şeklinde, bazı ünlü marka sahibi işletmelerin kuruluş yıl dönümleri kapsamında başvuracak belli sayıda insana ödül verileceği şeklinde ya da ödediğimiz bazı harcamalardaki vergilerin iade edileceği şeklinde olabilmektedir. Bu mesajların ortak noktasını paylaşım linki içermeleri oluşturmaktadır. Bu mesajlardan herhangi birini alan insanların çoğu maalesef bu bilgilere inanmakta ve hemen az önce belirttiğimiz linklere tıklamaktadırlar. Bu link aracılığıyla kötü amaçlı kişiler; sizi oluşturulan sahte sitelere yönlendirilmekte, size ait kimlik numarası, banka hesap numarası, bankacılık şifreleriniz gibi çeşitli kişisel verilerinizi yine size girdirmektedirler. Bu şekilde kişisel verileriniz, sizin tarafınızdan kötü amaçlı bu kişilerle paylaşılmış olmaktadır” dedi.
VERİLER KULLANILMAZ HALE GETİRİLİP FİDYE İSTENİYOR
Bu tür siber saldırıların “oltalama saldırıları” olarak adlandırıldığını aktaran Ünal, “Bu saldırı tipinin amacı, kullanıcıların bazı cezbedici mesajlarla ya da kişisel zaaf noktalarını kullanarak bireysel verilerini, şifrelerini, kredi kart numaralarını elde edebilmek. Bu faaliyeti gerçekleştirirken de gönderilen mesajın, e-postanın, sosyal medya mesajının; banka, resmi bir kurum ya da bir şirketten gönderildiğinin sanılmasının sağlanması. Bu saldırı yönteminde kişisel verilerin ele geçirilmesinin yanında, hedef alınan bilgi sistemindeki verilerin kullanılamaz hale getirilecek şekilde şifrelenmesi ve bu şifrenin çözülmesi için fidye istenmesine kadar gidebilen süreçlerle karşılaşılması da mümkün” sözleriyle uyardı.
1 YILDAN 6 YILA KADAR HAPİS VEYA PARA CEZASI
Konunun hukuki boyutuyla ilgili bilgi veren Bilişim Hukuku Uzmanı Avukat Oğulcan Doğan, “Türk Ceza Kanunu Madde 142’de; mal varlığına karşı işlenen suçlar karşısında hırsızlığın, nitelikli hal olarak bilişim sistemlerinin kullanılması suretiyle işlenmesi durumu söz konusu. Yine aynı şekilde Türk Ceza Kanunu’nun 157’nci maddesinde düzenlenen ve nitelikli hali olarak devamı niteliğinde 158’inci maddesi düzenlenen bilişim sistemlerinin banka ve kredi kartlarını araç olarak kullanması suretiyle de dolandırıcılık yapılması, dolandırıcılığın nitelikli hali olarak öngörülmüştür. Bunların haricinde herhangi bir hırsızlık veya dolandırıcılık yapılması dahil, sadece bilişim sistemine girmek bile suç olarak kabul ediliyor. Türk Ceza Kanunu’nun 243’üncü maddesine göre bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren ve orada kalmaya devam eden bir kimseye de 1 yıla kadar hapis veya adli para cezası veriliyor. Türk Ceza Kanunu’nun 244’üncü maddesinde kişinin sistemi engelleme, bozma, verileri yok etme veya silme, sisteme girdikten sonra herhangi bir şey paylaşma, değiştirme gibi bir durumda da 5 yıla kadar hapis cezasına çarptırılabileceği öngörülüyor” dedi.
Doğan, sözlerini şöyle sürdürdü:
“Ayrıca bilişim sistemlerinde banka veya kredi kartı kurumu, kamu kurumunun kuruluşuna ait bilişim sistemi üzerine işlenmesi durumunda ceza, yarı oranında arttırılıyor. Yine bilişim sistemine girerek, bir kişinin kendisi veya başkası yararına haksız bir çıkar sağlaması durumunda da cezası 2 yıldan 6 yıla kadar hapis cezası veya 5 bin lira kadar adli para cezası olarak değişebiliyor. Bu da yine bilişim alanındaki suçlarda 243 ve 244’üncü maddeler kapsamında değerlendiriliyor.”
TÜRKİYE BANKALAR BİRLİĞİ’NDEN AÇIKLAMA
Türkiye Bankalar Birliği’nin siber saldırılarda bankaların ve kullanıcıların üzerine düşen sorumluluklar olduğunu belirterek gündemdeki saldırıya dair DHA’ya yaptığı yazılı açıklamada şöyle denildi:
“Müşterilerin yakınlarına ait sosyal medya hesaplarının ele geçirilerek, yakını adına ‘çekilişe katılma amacıyla kart bilgilerini isteme’, ‘para isteme’, ‘bir hesaba para gönderilmesi isteme’ gibi vakalar yaşanabilmektedir. Bu tür vakalarda sosyal medya üzerinden gelen talepler dikkate alınmamalı, mutlaka ilgili kişi ile farklı bir kanaldan iletişime geçilerek bu talebi kendisinin yapıp yapmadığı sorgulanmalıdır. Sosyal medya hesaplarının güvenliğine dikkat edilmeli, tanıdıkları bir kişiden gelse dahi, sosyal medya mesajlarına istinaden başkalarına para gönderilmemelidir. Sosyal medya üzerinden kart aidatı/sigorta iadesi, ödül kazandırma gibi vaatlerle, banka ya da resmi kurum logosu kullanarak kart bilgilerini ve şifreleri ele geçirmeyi amaçlayan, sahte kampanya mesajlarına itibar edilmemeli, bu konuda şüpheci davranılmalıdır.
“Para veya hediye vaat eden kısa mesaj (SMS), sosyal medya reklamları, anlık haberleşme uygulamalarından gelen mesajları ve e-posta iletileri açılmamalı ve ilgili linklere tıklanmamalıdır. E-posta ayarları yapılırken eklerin otomatik olarak açılmaması için ayar yapmak da bir güvenlik önlemi olarak kullanılabilir.
“Türkiye Bankalar Birliği olarak sosyal medya hesaplarımızda kullanıcılara sosyal medya üzerinden banka ve kredi kartı bilgilerini paylaşmamaları hususunda bilgi veriyor, yakınlarının veya tanıdıklarının hesaplarının dolandırıcılar tarafından ele geçirilmiş olabileceğini hatırlatıyoruz. Hazırladığımız Bankacılıkta Dolandırıcılık Eylemleri Tespit ve Önlemleri ve Korunma Yöntemleri kitabında sosyal medyanın dolandırıcılıkta kullanılabildiğine dikkat çekerek, nelere yapılması gerektiğine işaret ettik. Bu kitaba Birliğimizin www.tbb.org.tr adresinden ulaşılabilmektedir.
“Bankalar, müşterilerine hesaplarından yapılan riskli işlemlere ilişkin anlık SMS, e-posta ve push mesajı göndererek bilgilendirme yapabilmektedir. Ayrıca riskli işlemler için bankaların kontrol mekanizmaları bulunmaktadır ve güncel dolandırıcılıklara karşı bu sistemler sürekli geliştirilmektedir. Bu mekanizmalar sayesinde hesap ve kart sahibine ait olmadığı düşünülen riskli işlem hakkında anında ulaşıp müdahale edilebilmektedir.”