Trojan denilen truva yazılımlarından sahte çağrı merkezlerine, ‘phishing’ denilen e-dolandırıcılıktan keylogger, screenlogger ve wifi dolandırıcılığına sosyal mühendislik yoluyla dolandırıcılık suçu hakkında en çok merak edilenler…
Deşifre – Sosyal mühendislik / senaryo yoluyla dolandırıcılık
Dolandırıcılar sosyal ortamda da volta atıyor! Dolandırıcılar yüzünden neredeyse canı yanmayan insan kalmadı. Türkiye’de profesörlerden, emniyet müdürlerine kadar herkes dolandırılıyor.
Dolandırıcılar sizinle ilgili hiçbir bilgiye sahip olmadıkları halde senaryolar yazarak, sizin korku ve endişelerinizden faydalanıp ağlarına düşürebiliyorlar. Teknolojinin ilerlemesi faydanın yanında ne yazık ki zararı da birlikte getirmektedir.
Döneminin en büyük dolandırıcılarından olan Sülün Osman şu an yaşasaydı, şimdiki teknolojik olanaklarla Galata Kulesi’ni yüz binlerce kişiye aynı anda satmış olurdu.
Hiçbir banka sizden sözlü ya da yazılı iletişimle müşteri numarası, şifre veya TC Kimlik bilgilerinizi istemez. Polis ya da Kamu Görevlisi olan birinin sizden herhangi bir şey talep etmesi veya size herhangi bir vaatte bulunmasının imkan ve olanağı yoktur.
Emekli Jandarma Albay ve Öğretim Görevlisi Dr. Abdurrahman Yılmaz, dolandırıcılık yöntemleri ile ilgili hazırladığı araştırmada Türkiye’deki dolandırıcılık yöntemlerini tek tek detaylı olarak ele almış ve bunları 15 ana başlık altında toplamıştır.
- Kamudan haksız menfaat (yüzde 18.5)
- Sosyal mühendislik/senaryo (yüzde 16.5)
- Kapıdan satış (yüzde 12)
- Sözde fırsat yatırımı: (yüzde 9)
- Sosyal Güvenlik Kurumu’nun (SGK) dolandırılması (yüzde 8.5)
- Evlendirme veya evlenme yoluyla dolandırıcılık (yüzde 6.5)
- Satış işlemlerinde dolandırıcılık (yüzde 6)
- Çek ve senet değerli kağıt (bilet vb.) ile dolandırıcılık (yüzde 5)
- Ön ödeme ile dolandırıcılık (yüzde 3.5)
- Büyü, muska (yüzde 2.5)
- Kendisine ait olmayan yeri/malı satma/kiralama (yüzde 2.5)
- Kimlik ve kredi kartı dolandırıcılığı (yüzde 2)
- Sigorta (yüzde 1.5)
- Para toplama (yüzde 1.5)
- Diğer yöntemler (yüzde 4.5).
Dr. Abdurrahman Yılmaz’ın çalışması ‘Deşifre’ isimli ‘Dolandırıcılık’ röportaj serisinde yol gösterici olmuştur. Kendisine değerli çalışma için teşekkürlerimizi gönderiyoruz.
Röportaj: Av. Burcu Aslan
Deşifre’de her başlığı farklı bir avukat ile işlemekteyiz. Sosyal Mühendislik Yoluyla Dolandırıcılık konusunu Avukat Burcu Aslan ile işledik.
Dolandırıcılık suçu nasıl oluşur?
Dolandırıcılık suçu, failin hileli davranışlarla bir kimseyi aldatması, mağdurun veya başkasının zararına olacak şekilde kendisine veya bir başkasına yarar sağlamasıyla oluşur.
Nitelikli dolandırıcılık suçu ise belli dini, sosyal, mesleki, teknolojik araçların veya kamu kurumlarının araç olarak kullanılması suretiyle işlenir.
Dolandırıcılık suçu 5237 sayılı Türk Ceza Kanunu’nda m.157-158’de düzenlenmiştir. Dolandırıcılık suçu, takibi şikayete bağlı suçlar kategorisinde değildir. Savcılık suçun işlendiğini öğrenir öğrenmez kendiliğinden soruşturma yapmak ve suçun işlendiği kanaatindeyse kamu davası açmak zorundadır.
Sosyal mühendislik yoluyla dolandırıcılık hangi suçlar kapsamında değerlendirilmektedir?
Sosyal mühendislik yöntemleri kullanılarak dolandırıcılık suçunun işlenmesi halinde, söz konusu suçun m.158’de düzenlenen nitelikli haller kapsamında değerlendirildiğini bilmemiz gerekir.
Ülkemizde teknolojinin ilerlemesine paralel olarak teknoloji okur yazarlığının az olması sebebiyle son verilere göre dolandırıcılığın %87’si Sosyal Mühendislik yöntemiyle gerçekleşmektedir.
Sosyal mühendislik yoluyla dolandırıcılık nedir?
İnternet korsanlarının kişilerin zaaflarından faydalanarak çeşitli ikna ve senaryolarla istenilen bilgileri elde etmeye çalışmalarıdır. Sosyal mühendislik yöntemlerini kullanan dolandırıcılar genel itibariyle milletimizin önem verdiği değer ve yargılardan; aile, vatan sevgisi, üniformaya olan saygı gibi konuların üzerinden yola çıkarak insanları etkisi altına almayı hedefler.
Sosyal mühendislik yöntemi ile dolandırılan vatandaşların hemen hemen hepsi verdikleri ifadelerinde adeta “hipnotize” olduklarını dile getirirler. Çünkü karşılarındaki dolandırıcılar, mağdurlarının fazla düşünmesine izin vermeyerek karar verme süreçlerini etkilerler. Mağdurlarını telkin almayı kolaylaştıracak ruh haline büründürerek, manipüle ederler. Böylelikle kişiler toplumun hangi sınıfından olursa olsun, sosyo-kültürel durumuna bakılmaksızın mağdur konumuna düşebilirler.
Dolandırıcılık suçu için bir şikayet süresi var mıdır?
Dolandırıcılık suçu için şikayet süresi yoktur. Ancak suçun en basit halinde dava zaman aşımı süresi 8 yıl olması sebebiyle en geç 8 yıl içinde şikayet hakkının kullanılarak olayın savcılığa bildirilmesi gerekmektedir. Dolandırıcılık suçunun sadece basit şekli uzlaşmaya tabidir. Nitelikli halleri uzlaşma kapsamı dışındadır.
Sosyal mühendislik yöntemleri nelerdir?
Sosyal Mühendislik yöntemlerini kategorize ederek anlatmak da fayda görüyorum. Bunun sebebi dolandırıcı ile mağdur ilişkisinin farklı şekillerde kurulmasıdır.
Sosyal Mühendislik yöntemlerini 2 temel başlık altında inceleyeceğiz;
- Temeli Bilgisayar ve Teknolojiye Dayanan Sosyal Mühendislik Dolandırıcılık Yöntemleri
- Temeli İnsana Dayanan Sosyal Mühendislik Dolandırıcılık Yöntemleri
Sosyal mühendislik yönteminde hedef nedir?
Sosyal mühendislik yönteminde hedef alınan şey sistem değildir, o sisteme giriş yapma yetkisine sahip olan gerçek kişilerdir. Sosyal mühendislik tekniği sisteme giriş yapmaya yetkili kişilere yönlendirildiğinde kötü niyetli kişiler istenilen bilgilere çok kısa bir sürede ulaşabilirler.
Temeli bilgisayar ve teknolojiye dayanan sosyal mühendislik dolandırıcılık yöntemlerinde nasıl iletişime geçilir?
Bu yöntemi kullanan dolandırıcılar direkt olarak mağdurla birebir iletişim kurmamaktadır. Sosyal mühendislik yönteminde hedef sisteme giriş yapma yetkisine sahip olan gerçek kişilerdir. Sosyal mühendislik tekniği, sisteme giriş yapmaya yetkili kişilere yönlendirildiğinde kötü niyetli kişiler istenilen bilgilere çok kısa bir sürede ulaşabilirler.
Temeli Bilgisayar ve Teknolojiye Dayanan Sosyal Mühendislik Dolandırıcılık Yöntemleri:
Truva yazılımları (trojan) nedir?
Truva yazılımları ismini “Truva Atı’ndan” almaktadır. Bir bilgisayar programına bağlanarak saklanan, tahribatını yaparken ise, programın olağan çalışmasına izin veriyormuş gibi gözüken virüslere “Truva atı” denir.
Truva atı sistemimize nasıl müdahale edebilir?
E-mail yoluyla, güvensiz sitelerden indirilen programlarla, ortak ağlardan indirilen içeriklerle bilgisayarınıza bulaşabilir. Sistemimize giren Truva atları, programların çalıştırılması halinde zararlı kodları aktif hale getirecektir. Farkında olmadan aktif hale getirdiğimiz bu zararlı kodlar; kullanıcı adlarımızı, parolalarımızı ve kredi kartı bilgilerimizi kopyalayarak saldırganlara ulaştıracaktır.
Truva atlarından korunmak için güvenli siteler tercih edilmeli, lisanssız program sağlayan sitelerden içerik indirilmemeli ve üçüncü parti lisanslı bir güvenlik yazılımı kullanılmalıdır.
Phishing (olta saldırıları) nedir?
Olta saldırısı internet üzerinde en sık kullanılan dolandırıcılık yöntemlerindendir. Olta saldırı yöntemiyle dolandırıcılar finansal kurumların, alışveriş sitelerinin ödeme bilgileri sayfası ara yüzünü taklit eden linkleri e-posta yoluyla mağdurlara ileterek finansal bilgilerini çalmayı hedefler.
Olta saldırılarından korunmak için finansal aplikasyonlarda karşılama mesajı ve resmi belirlenmeli, en önemlisi ödeme sayfalarında ve online (çevrimiçi) bankacılık işlemlerinde tarayıcının adres satırında bulunan asma kilit simgesinin “yeşil renkte” olduğuna dikkat edilmelidir. Günümüzde e-posta sağlayıcılarının güvenlik protokollerinin gelişmesiyle birlikte zaten bu tür zararlı link içeren e-postalar “SPAM” klasörüne düşmekte ve zararlı olarak işaretlenmektedir.
Tuş ve ekran kaydediciler (Keylogger ve Screenlogger) nedir?
Tuş kaydediciler, bilgisayarda, klavye vuruşlarını anlık olarak kopyalayabilen ve bunları kaydederek e-posta yoluyla dolandırıcının eline geçmesini sağlayan programlardır.
Ekran kaydediciler ise, ekran görüntülerini kopyalayan ve bunları e-posta ile yine dolandırıcıya ulaştıran programlardır. Yakalanan anlık görüntüler sayesinde o anda ekranda ne yapıldığı veya şifrelerin nereye yazıldığı kolaylıkla görünebilir.
Bu zararlı içerikler yine yukarıda belirtmiş olduğum yollarla sistemimize bulaşır. Bunlardan korunmak için güvenilmeyen sitelerden uygulama, video, müzik benzeri lisanslanmamış içerikler indirilmemeli, tanınmayan göndericilerden ulaştırılan e-postalardaki linkler açılmamalıdır.
Wi-Fi dolandırıcılığı nedir?
Bu yöntemde dolandırıcılar, otel kafe gibi ortak kullanım alanlarında herkesin ulaşabileceği Wİ-Fİ ağları oluşturarak, mağdurların kişisel bilgilerini ücretsiz Wİ-Fİ ağı arayüzüyle çalmaktadır. Yine bu yöntem hassas bilgileri ele geçirmeyi hedefler.
Bu tür dolandırıcılık yöntemlerinden korunmak için internet kullanıcıları GSM şirketlerinin ya da internet sağlayıcılarının kendilerine sağladığı güvenli ağlardan internete bağlanmayı tercih etmeli ya da ortak kullanıma açık wi-fi ağlarının arayüzlerini yetkililere teyit ettirmelidir.
Temeli insana dayanan sosyal mühendislik dolandırıcılık yöntemlerinde nasıl iletişime geçilir?
Bu dolandırıcılık yönteminde dolandırıcı ile mağdur birebir etkileşim içinde olur. Dolandırıcılar, kişisel bilgileri çalmak veya istenilen işlemleri yaptırmak amacıyla mağduru çeşitli ikna yöntemleri ve taklit yoluyla etkisi altına almayı amaçlarlar.
Temeli İnsana Dayanan Sosyal Mühendislik Dolandırıcılık Yöntemleri:
Sahte çağrı merkezleri / sahte kimlik üretmeden bahseder misiniz?
Son zamanlarda sıkça kullanılan sosyal mühendislik yöntemi sahte çağrı merkezleri aracılığıyla yapılan aramalar veya cazip teklifler sunularak atılan mesajlar şeklinde görülmektedir.
Kendisini polis ya da kamu görevlisi olarak tanıtarak yapılan aramalar, ödül kazandınız içerikli mesajlar, kredi kartı aidatı ve banka hesap işletim ücretini geri alma vaadi, bir senaryoyla ATM’den nakit çektirilerek dolandırıcıya teslim etme gibi çeşitli yöntemlerle dolandırmayı hedefler. Öncelikle şunu hemen belirtmek de fayda görüyorum: Polis ya da Kamu Görevlisi olan birinin sizden herhangi bir şey talep etmesi veya size herhangi bir vaatte bulunmasının imkan ve olanağı yoktur.
Sahte çağrı merkezleri / sahte kimlik üretme şeklindeki dolandırıcılıkta genelde hedef kitle kimlerdir?
Dolandırıcılar belli bir yaş grubuna hitap etme seçimine gitmese de mağdur genellemesi yapıldığında; mağdurların hep yaşının büyük olduğu görülmektedir. Bunun sebebi gelişen teknolojiye ayak uyduramayan veya uydurmak istemeyen büyüklerimizin bu konudaki tecrübesizliğinden faydalanmaktır.
Teknolojinin ilerlemesiyle birlikte bu yöntem çok korkutucu boyutlara ulaşmış, öyle ki Emniyet Genel Müdürlüğü gibi kurum ve kuruluşlar birçok uyarı mesajları göndermeyi gerekli görmüşlerdir. Bu dolandırıcılık halinde, dolandırıcılar bazen sizinle ilgili hiçbir bilgiye sahip olmayıp tamamen doğaçlama bir senaryo üretir, bazen de önceden küçük araştırmalar yapıp sizin korku ve endişelerinizden faydalanmaya çalışır.
Bu tip dolandırıcılıklardan nasıl korunabiliriz?
Bu dolandırıcılık yöntemine karşı koyabilmemizin en temel şartı bilinçtir. Polis, asker veya savcı gibi kişiler sizden para istemez, isteyemez. Bunu aklımızdan çıkarmamız gerekir.
İlgili kurum ve kuruluşların attığı uyarı mesajları, kamu spotları ve bizlerin sürekli bu konuda yapacağı uyarıları dinamikleştirilerek bu yöntem ekarte edilecektir.
Bu tip dolandırıcılığa maruz kaldığımızda ne yapmalıyız?
Bu yöntemle zarar gören mağdurların varlığı halinde hiç vakit kaybetmeden yaşanan olay örgüsüne göre; ivedilikle bankasına bilgi vermesi, kolluk kuvvetlerine bildirmesi veya savcılığa şikayette bulunması gerekir.
Biyografi: Av. Burcu Aslan
26 Kasım 1992 yılında Konya’nın Beyşehir ilçesinde dünyaya geldim. Hekim bir baba ve ev hanımı bir annenin dört çocuğunun en küçüğüyüm. Bekarım. İlköğretimimi Beyşehir Gazi İlköğretim Okulu’nda tamamlayıp devamında lise tahsilimi aynı ilçede bulunan Ali Akkanat Anadolu Lisesi’nde yaptım, Hukuk konusundaki lisansımı ise Cyprus International University (CIU)’de aldıktan sonra meslekte kendimi geliştirmek adına Ankara’ya yerleştim.
Staj dönemim ve devamında “Bilişim Hukuku” üzerine çalıştım. Hali hazırda Bilişim Hukuku, Sosyal Medya Hukuku, Kişisel Verilerin Korunması Hukuku, Sağlık Hukuku, İş ve Sosyal Güvenlik Hukuku üzerine çalışmalarımı sürdürmekteyim. Meslekte üçüncü yılımı bitirdim. Ankara Barosu Kadın Hakları Merkezi’ne üye olmamın yanısıra yardıma muhtaç olduğundan emin olduğum mağdur kadın arkadaşlarımın da gönüllü olarak avukatlığını yapmaktayım.
Mesleğime ideallerim doğrultusunda, hırsla, bağlı olmamla birlikte hukukun çizdiği sınırlar içerisinde, mesleğin etik kurallarına uygun olarak yoğun bir çalışma temposu gerçekleştirmekteyim. Kişisel hayatımda spor yapmayı, kitap okumayı, yeni yerler ve insanlar keşfetmeyi, şahit olduğum insan hikayelerinden ilgi çekici deneyimler kazanıp notlar almayı seviyorum. Küçük yaşımdan itibaren hukuka ve adalete olan saygım sayesinde meslek seçimimi bu doğrultuda yapmış bir birey olarak kişisel hobim şu ana kadar dünya üzerinde gerçekleşen ilginç sonuçlu davaları incelemektir.
Av. Burcu Aslan’a verdiği değerli bilgiler için teşekkür ederiz. Şimdiye kadar işlediğimiz diğer dolandırıcılık türlerine ait röportajlara da buradan ulaşabilirsiniz.
