Günümüzde çokça meydana gelen bilişim sistemlerini araç olarak kullanmak suretiyle araya giren kişi tarafından Uluslararası Banka Hesap Numarası (IBAN) veya SWIFT bilgileri değiştirilerek işlenen dolandırıcılık suçu internet korsanlarının en çok kullandığı dolandırıcılık fiillerinden biri haline gelmiştir. Dijital çağda yaşamanın bir gereği olarak bütün şirketlerde ödeme sistemleri, bankacılık bilgilerinin internet ortamında e-mail üzerinden yürüdüğü bir düzende yaşamaktayız. Bu nedenle gerekli güvenlik önemleri alınmadığı takdirde IBAN veya SWIFT dolandırıcılığına maruz kalınması çalışma alanı fark etmeksizin her şirketin karşılaşabileceği potansiyel bir tehlikedir.
Failler bilişim sistemlerini araç olarak kullanmak suretiyle birden çok yolla dolandırıcılık suç fiilini işlemektedirler. Bunlara örnek olarak sahte linkler/dosyalar içeren olta saldırı mesajları gönderilmesi (Phishing), spam e-mailler, linklerle bilgisayara indirilen truva yazılımlar (Trojan), tuş ve ekran kaydediciler (Keylogger ve Screenlogger), Wi-Fi ağına bağlanmak suretiyle dolandırıcılık ve işbu yazının konusu olup şirketlerin başına en çok gelen "Man InTheMiddle Attack" yani ortadaki adam saldırısı verilebilir.
Suç Nasıl İşleniyor?
Türkiye'de birçok yabancı ortaklı ve/veya yurtdışı ofisine bağlı ya da yurtdışı ile aktif ticari ilişki içerisinde olan birçok şirket bulunmaktadır. Failler özellikle bu şirketleri monitör altına alarak dolandırıcılığı gerçekleştirmeden önce işyerinin olağan iş akışını öğrenmektedirler. Bu izleme faaliyeti genellikle yukarıda bahsedilen yöntemlerden biri ile yetkililerden birinin şirket bilgisayarına, telefonuna erişilmesi suretiyle gerçekleşmekte ve faililer uzun bir süre öncesinden başlayarak şirketin iç işleyişine çalışanların e-mail yazma tarzlarına kadar hakim olmaktadırlar. Dolayısıyla yapılacak ödemelerden ve para giriş çıkışlarından da haberdar olmaktadırlar.
Failler hazır olduklarında yurtdışındaki şirketin e-mail adreslerinden ayırt edilmeyecek şekilde genellikle bir harf değişikliği yapmak suretiyle yeni sahte bir e-mail adresi oluşturup alacaklı şirketin yetkilisi gibi hareket etmektedirler. Bu yöntem o kadar gelişmiştir ki önceki orijinal e-mailler failler tarafından gönderilen e-maillerin altında yer almakta ve cc'de olan çalışanlar dahi aynı gözükmektedir.
Ortadaki adam saldırısı olarak bahsedilen bu saldırı türünde ortadaki adam olan fail her iki tarafla da iletişimde olarak mailleri silmek, değiştirmek suretiyle her iki tarafı da oyalamaktadır. Bir ödemeden haberi olan fail bahsedilen yöntemler ile ödemeyi yapacak kişiye bir e-mail göndererek alıcı şirketin IBAN/SWIFT yani hesap bilgilerinin değiştiğini ve paranın kendi ilettikleri hesaba gönderilmesini istediklerini belirtmektedir. Ödemeyi yapacak kişi gerçek alacaklı şirket ile yazıştığını zannettiğinden belirtilen hesaba ödemeyi yaparak faillere para göndermiş olmaktadır. Failler genellikle yurtdışındaki bir banka hesap bilgisini paylaştığından durumu anlayıp hesaba bloke koyulana kadar para çoktan gitmiş ve ödemeyi yapan şirket dolandırılmış olmaktadır.
Türk Ceza Kanunu Kapsamında İnceleme
Türk Ceza Kanunu ("TCK") madde 157 kapsamında dolandırıcılık suçu, hileli davranışlarla bir kimseyi aldatıp, onun veya başkasının zararına olarak, kendisine veya başkasına bir yarar sağlamak şeklinde tanımlanmıştır. Bu fiili gerçekleştiren faillere bir yıldan beş yıla kadar hapis ve beş bin güne kadar adlî para cezası verilir. Dolandırıcılık suçunun üç ana unsuru bulunmaktadır. Bunlardan ilki, fail tarafından nitelikli yalan söyleme suretiyle hileli hareketlerde bulunulması ve bu hileli hareketlerin mağdura zarar verme amacıyla kasten yapılmasıdır. İkincisi, hileli davranışların somut olay ve mağdurun içinde bulunduğu durum özelinde mağduru aldatabilecek nitelikte olmasıdır. Üçüncüsü ise suç teşkil eden fiil sebebiyle mağdur zarara uğrarken fail kendisi veya bir başkası lehine fayda elde etmelidir. Bu kapsamda meydana gelen zarar ile fiil arasında illiyet bağı olması ve failin kusurlu olması gerekmektedir.
İşbu yazıda bahsedilen şekilde şirketlerin veya şahısların e-mail adreslerine girilerek takip edilmesi ve bu suretle suçun işlenmesi ise bilişim sistemlerinin araç olarak kullanılması suretiyle dolandırıcılık suçu işlenmesi TCK madde 158 kapsamında dolandırıcılık suçunun nitelikli hali olarak değerlendirilmektedir. Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girmek veya orada kalmaya devam etmek, işleyişini engellemek veya bozmak ise TCK madde 243 ve 244 kapsamında bilişim alanında suçlara girmektedir. Nitelikli dolandırıcılık suçunu gerçekleştiren failler hakkında üç yıldan on yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunurken (alt sınırı dört yıldan, adli para cezasının miktarı suçtan elde edilen menfaatin iki katından az olamaz), bilişim sistemlerine girme suçundan bir yıla kadar hapis veya adlî para cezasına ve sistemi engelleme, bozma, verileri yok etme veya değiştirme suçundan bir yıldan beş yıla kadar hapis cezasına hükmolunur.
Savcılık nezdinde bu gibi dosyalar TCK madde 243 kapsamında bilişim sistemlerine girme suçu olarak değerlendirilebilirken TCK madde 158 kapsamında daha ağır suç tipi olan bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçu olarak da değerlendirilmektedir. Bu gibi suçlarda failler genelde yurtdışında olduğundan veya yurtdışı üzerinden suç fiillerini gerçekleştirdiklerinden dolayımaalesef soruşturma kapsamında IP adresinin tespiti, banka hesabının tespiti gibi hususlarda sorun yaşanmaktadır.
Türk mahkemelerinden bir karar ile örnek vermek gerekirse; İstanbul BAM 22.C.D. 14/04/2022 K.T. 2022/1184 E. 2022/1119 K. Azerbaycan'da faaliyet gösteren katılan şirketin Türkiye'de faaliyet gösteren X şirketi ile ticaret yaptığı, ticari ilişkiyi elektronik posta yoluyla gerçekleştirdikleri, X şirketinin elektronik posta adresinin birkaç harfinin değiştirilerek oluşturulan elektronik posta adresi üzerinden X şirketinin düzenlediği proforma fatura kullanılarak kopyalanmış kase ve imzası ile katılan şirkete sanığa ait isim bilgilerinin yer aldığı sahte kimlik ve atama belgesi gönderildiği, gönderilen e-postada ayrıca sanığa ait banka hesabına ait IBAN numarası gönderilerek, paranın bu hesaba gönderilmesi gerektiğinin bildirildiği, buna inan katılan şirket yetkilileri tarafından kendilerine bildirilen sanığa ait banka hesabına 31.820 Sterlin gönderildiği, satışa konu emtianın gönderilmemesi üzerine katılan şirket tarafından yapılan araştırmada dolandırıldıklarını anlayarak şikâyette bulunmaları üzerine yapılan soruşturmada, katılan şirket tarafından paranın gönderildiği söz konusu IBAN numarasının sanığa ait olduğu ve incelenen kamera görüntülerinde paranın sanık tarafından şube içerisinden gönderildiğinin anlaşıldığı, bu şekilde sangın Bilişim sistemleri banka veya kredi kurumlarının araç olarak kullanılması suretiyle dolandırıcılık suçunu islediği sabit görülmüştür.
Ne Gibi Önlemler Alınabilir?
Her şeyden önce şirketlerde kullanılan sistemlerin siber ataklara karşı güvenliğinin sağlandığından emin olunmalıdır. Başta finans ve satış departmanında çalışanlar dahil olmak üzere tüm şirket çalışanları bu gibi potansiyel risklere karşı düzenli olarak bilgilendirilmelidir, özellikle ödeme ile ilgili gelen e-maillerde e-mail adreslerinin kontrol edilmesi gerektiği belirtilmelidir.
Bir şirket uygulaması olarak paranın gönderileceği hesap bilgilerini teyit etmek için e-mail dışında bir yolla örneğin telefon ile konfirmasyon almak ve hesap bilgilerin doğruluğunu, her zaman ödeme yapılan hesap olup olmadığını, hangi ülkeye bağlı bir hesap olduğunu kontrol etmek suçun önlenmesi kapsamında faydalı olacaktır. Konuya ilişkin daha birçok önlem sayılabilecek olup her halükarda bir bilişim uzmanı veya uzman avukat ile görüşülmesinde yarar vardır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.