BANKA/KREDİ KARTLARININ KÖTÜYE KULLANMASI SUÇLARI VE SALDIRI YÖNTEMLERİ

BANKA/KREDİ KARTLARININ KÖTÜYE KULLANMASI SUÇLARI VE SALDIRI YÖNTEMLERİ

I. BANKA/KREDİ KARTLARININ KÖTÜYE KULLANMASI VE SALDIRILAR

Banka Kartı ve Kredi Kartı kavramları 5464 sayılı Banka ve Kredi Kartları Kanunu’nun “Tanımlar” başlıklı 3. Fıkrasında izah edilmiş olup, Banka veya Kredi Kartlarının Kötüye Kullanılması Suçları, 5237 sayılı Türk Ceza Kanunu’nun 245. maddesinde düzenlenmektedir. Madde metni altında yer alan ilk üç fıkrada üç farklı suç tipi tanzim edilmiştir. Bu kapsamda maddenin ilk fıkrasında; “gerçek bir banka veya kredi karının kötüye kullanılmasıyla hukuka aykırı yarar sağlama” suçu, ikinci fıkrasında; “sahte banka veya kredi kartı üretme” suçu ve üçüncü fıkrasında ise “sahte banka veya kredi kartı kullanma suretiyle hukuka aykırı yarar sağlama” suçu düzenlenmektedir.

765 sayılı eTCK’nın m.525/b.2 hükmünde düzenlenen “bilişim sistemi aracılığıyla hukuka aykırı yarar elde edilmesi” suçunun; banka kartlarının veya kredi kartlarının kullanılması ile hukuka aykırı yarar elde edilmesi fiillerini de kapsayıp kapsamadığı hususunda çeşitli tartışmalar mevcuttu. Her ne kadar Yargıtay Ceza Genel Kurulunun Kararı (10.04.2001, E.2001/76-30, K.2001/757) ile anılan fiillerin eTCK m.525/b.2 kapsamında olduğu kabul olunsa da banka/kredi kartının ele geçiriliş şekline göre söz konusu fiillerin dolandırıcılık suçu mu bilişim sistemi aracılığıyla hukuka aykırı yarar elde edilmesi suçunu mu oluşturacağı hususunda meydana gelen tartışmalar neticesinde kanun koyucu, TCK m.245 hükmü ile mezkûr tartışmalara ve ayrımlara bir son vermiştir.

Aynı hüküm altında üç ayrı suç tipi düzenlenmiş olması madde gerekçesinde; “Aslında hırsızlık, dolandırıcılık, güveni kötüye kullanma ve sahtecilik suçlarının ratio legis’lerinin tümünü de içeren bu fiillerin, duraksamaları ve içtihat farklılıklarını önlemek amacıyla, bağımsız suç haline getirilmeleri uygun görülmüştür.” şeklinde ifade edilmiştir.

Madde metnindeki suç tiplerini sırası ile inceleyecek olursak;

1. Başkasına ait banka veya kredi kartı ile hukuka aykırı yarar sağlanması suçu (m.245/1)

Söz konusu suç tipi çeşitli şekillerde meydana getirilebilecek olup, bu fiiller yasa koyucu tarafından sınırlandırılmamıştır. Bu bakımdan ilgili suç tipi serbest hareketli ve birleşik şekilde düzenlenmiş; madde metninde, ele geçirme, elde bulundurma, kullanma ve kullandırma hareketlerinin nasıl yapılacağı hususunda bir sınırlama yapılmamıştır. Ayrıca kanun koyucu madde “kart sahibinin veya kartın kendisine verilmesi gereken kişi” ibaresine yer vererek, henüz hamiline teslim edilmeyen kartla yarar sağlanması bakımından Yargıtay’ın eski uygulaması olan klasik dolandırıcılık suçu yerine (Bkz. 6.CD. 24.3.1999, E.1998/12638, K.1999/1628), başkasına ait banka veya kredi kartı ile hukuka aykırı yarar sağlanması suçu kapsamında değerlendirme yapılmasını gündeme getirmiştir.

Bu suç tipinin oluşmasına sebebiyet verebilecek başlıca fiiller şu şekildedir;

  1. Başkasına ait kredi kartına bağlı ek kart çıkartılıp kullanılması

  2. Sanal ağlar üzerinde kartla alışveriş yapılması

  3. Kartların hamil ile birlikte belirlenen miktarın üzerinde kullanılması

  4. ATM’lerin haksız yarar sağlamak için kullanılması

  5. Ölen kişinin banka kartını kullanarak hesabından para çekilmesi

  6. Başkasına ait banka veya kredi kartının üye iş yerinde slip çekilerek yahut temassız ödeme ile kullanılması

Bu suç tipinde kullanılan başlıca yöntemler ise şunlardır;

  1. Phising (Oltalama) Saldırıları; son zamanların en gözde saldırı tipi olan phising yöntemi ile kart sahibine banka veya başkaca bir resmi kurum tarafından gönderilmiş gibi gösterilen bir e-posta atılır. Bu ileti vesilesiyle kullanıcı sahte websiteye yönlendirilir. Bu sitede yer alan ilgili kısma bilgilerin girilmesi ise tüm veriler saldırganların eline geçmiş olur. Bu saldırıya karşı tedbir olarak ilgili bankanın internet sitesinin adı, arama motoruna manuel (el ile) yazılmalı ve URL kısmında güvenli anlamına gelen “https” (secure) ibaresinin yer aldığına dikkat edilmelidir.

  2. Trojen Horse (Truva Atı); bu zararlı yazılım, esasen yararlı gözüken bir yazılımın sistem dosyaları içerisinde çok az yer kaplayacak şekilde eklenir ve dosyanın bilgisayara indirilmesiyle kullanıcı farkına varmadan arka planda çalışmaya başlar. Bilgisayarın işletim sistemindeki açıklardan yararlanarak göndericisinin komutlarını yerine getiren Truva atı, tarayıcılar üzerinde kaydedilen veya klavyeden girilen kart bilgilerinin elde edilmesinde kullanılır. Bilişim suçlarının hemen hemen hepsi bu zararlı yazılım vasıtasıyla işlenebilmektedir.

  3. Tuş kaydediciler (Keylogger); en basit anlatımıyla keylogger, klavyenize yaptığınız her vuruşu kaydeden programdır. Bu program bir Truva atı aracılığıyla bilgisayarınıza yüklenerek yazılımsal (iSpyNow, Perfect Keylogger, Phantom yazılımları gibi) veya bilgisayarınıza/cihazınıza eklenecek bir aparat ile donanımsal şekilde sisteminize yerleştirilebilmektedir. Böylece banka/kredi kartı bilgileriniz dahil pek çok verinizin ele geçirilmesi söz konusu olabilmektedir.

  4. Kartın hamilin eline geçmeksizin kullanılması; bu yöntem de ise banka/kredi kartı posta ya da kargo yoluyla hamile ulaştırılırken çalınarak kullanılması söz konusudur. Ayrıca sahte kimlik belgeleri düzenlenerek bankadan kartın bizzat fail tarafından teslim alınıp kullanılması da gündeme gelebilmesi de mümkündür.

  5. Social Engineering (Sosyal Mühendislik); günümüzde revaçta olan saldırı yöntemlerinden biri de sosyal mühendisliktir. Bu yöntem de arkadaşınız adına oluşturulmuş bir sahte profilden yahut direkt bu saldırıya maruz kalmış arkadaşınızın profilinden size gönderilen bir ileti söz konusudur. Bu iletide çoğu zaman içerisinde ilgi çekici veya komik video/görsel yer aldığı iddia edilen bir link yer alır. Bu linke tıkladığınız anda ise ağ solucanını (network worm) sisteminize dahil etmiş olursunuz. Çoğu zaman bu solucan üzerinde taşımış olduğu Truva atı yazılımını sisteminize bırakır ve bununla da kalmayarak kendini çok hızlı biçimde kopyalamaya başlar. Worm kendini başka sistemlere taşımak için e-posta adresinizden veya sosyal medya hesaplarınızdan size gelmiş olan benzer bir iletiyi tüm rehberinize göndermeye başlar. Son olarak eylemlerin tamamlayan bu solucan hareketlerine ilişkin tüm izleri silmekte ve neredeyse izinin takip edilmesini imkânsız hale getirmektedir.

2. Başkasına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üretilmesi, satılması, devredilmesi, satın alınması veya kabul edilmesi suçu (m.245/2)

Birinci ve üçüncü fıkraya nazaran bu fıkrada düzenlenen suç tipi serbest değil seçimlik hareketlidir. Bu halde mezkûr suç tipinin oluşması için failin madde metnin sayılan beş hareketten en az birini gerçekleştirmesi gerekmektedir.

Sahte kart üretilmesi çok çeşitli yollar ile gerçekleştirilebilmektedir. Uygulamada en çok bilenen ve karşılaşılan yöntem ise Skimming’dir. Türkçe anlamı “kaynağından alma” olan bu yöntem çoğunlukla ATM veya POS cihazları vasıtasıyla gerçekleştirilir.

ATM’nin kart yerleştirme kısmına eklenen ve “papağan” olarak adlandırılan bir alet vasıtasıyla ATM’ye takılan banka/kredi kartının arka yüzünde bulunan manyetik şeritteki veriler kopyalanarak, ele geçirilen bu bilgiler boş plastik kartlara aktarılır. Kartın şifresi ise ATM’nin klavyesine yerleştirilen sanal klavye, hoparlör kapağının içine gizlenen kamera veya sıra bekliyor gibi davranan fail tarafından bizzat öğrenilir.

Aynı işlemler POS cihazına eklenen bir encoder vasıtasıyla da gerçekleştirilebilmektedir.

Yanı sıra bir başka yöntemde, kredi kartı boyutundaki boş plastik plakalara gerçek kredi kartlarına ait numaralar basılarak, müşteri sanki alışveriş yapmışçasına, kart imprinter cihazından geçirilerek satış belgesi düzenlenmekte ve ilgili tutar bankadan tahsil edilmektedir.

3. Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle yarar sağlanması suçu (m.245/3)

Serbest hareketli olarak düzenlenen bu suç tipinde ikinci fıkrada belirtilen, sahte olarak üretilen veya sahteleştirilen kartların kullanılması suretiyle haksız yarar sağlanması cezalandırılmaktadır. Bu suç tipinin oluşmasına sebebiyet verecek başlıca fiiller şu şekildedir;

Gerçeğe aykırı sahte belgeler vasıtasıyla çıkartılan kart üzerinden yarar sağlanması

  1. Sahte kartlar ile gerçek olmayan satış belgesi düzenlenmesi

  2. Sahte kartların alışverişte kullanılması

  3. Sahte banka veya kredi kartının üye iş yerinde slip çekilerek yahut temassız ödeme ile kullanılması.

II. BANKALARA YÖNELİK SALDIRILAR

Bu başlık altında doğrudan bankaların merkezi veri tabanlarına veya banka çalışanlarının cihazlarına yapılabilecek olası saldırıların başlıcaları incelenecektir.

İlk olarak üzerinde durulması gereken saldırı tipi banka çalışanlarına yönelik yapılan “Sosyal Mühendislik” saldırılarıdır. Bu saldırı altında tıpkı normal kişilere yapıldığı gibi bir oltalama denemesi yapılabilmektedir. Çoğu zaman bankanın üst kademeli yöneticilerinden gönderilmiş gibi gösterilen e-postalar vesilesi ile bankanın bilgi güvenliği görevlilerinin veya faillerin ihtiyacı olan gerekli şifrelere sahip personellerinin bilgisayarlarına erişilmeye çalışılmaktadır.

 

Bir diğer yöntem ise Brute Force Attack, Türkçe ifadesiyle kaba kuvvet saldırısıdır. Bu saldırı doğrudan bankanın websitesine yöneltilebileceği gibi çoğu zaman küçük – orta ölçekli e-ticaret sitelerine yönelik gerçekleştirilir. Bu saldırı, en kaba tabiri ile saldırganların bir hesaba erişebilmek için bütün olası kombinasyonları tek tek deneyerek hesabın parolasını kırmasını ifade eder. Bu saldırıdan korunabilmenin en temel yolu ise güçlü parolaların koymasının yanı sıra 2FA yani iki faktörlü doğrulamayı etkinleştirmektir. Bu sayede saldırganlar şifreyi ele geçirseler dahi cep telefonu veya e-posta yoluyla iletilmiş olan tek kullanımlık şifreyi de elde edemedikleri sürece sisteme giriş yapamayacaklardır.

 

Salam Tekniği ise doğrudan bankaların bilişim sistemlerini hedeflemektedir. Burada temel amaç çok fazla hesaptan çok az miktarda hukuka aykırı yarar sağlanmasıdır. Her bir hesaptan çok küçük miktarda kaynak sağlandığı için gerek Banka gerekse hesap sahipleri tarafından söz konusu yetkisiz işlemler kolay kolay fark edilmemektedir. Örneğin banka bilişim sistemi yazılımı tarafından otomatik olarak, bir Türk lirasının 0.0081 miktarı üzerinde olan her tutar bir üst sayıya yuvarlanarak mevduat hesabı sahibine ödenmekte iken altında kalan tutar alt sayıya yuvarlanarak aradaki meblağ bankanın hesabına eklenmekte olduğunu varsayalım. Bu işleyişi fark eden banka personelince sisteme eklenen bir yazılım vasıtasıyla aşağı yuvarlanan tutarın Banka hesabına değil de kendi açtığı bir hesaba yönlendirmesi ile Salam Tekniği başarıyla uygulanmış olacaktır.

Bir başka saldırı yöntemi ise Sniffing (Ağı Koklama – Gizlice Dinleme)’dir. Verilerin bilişim ağı cihazları arasındaki iletimi hedef alan saldırganlar, veri paketlerini taşıyan network ve bilgisayar cihazları üzerinde sniffing ya da spoofing (aldatma) yöntemlerini uygulayarak ilgili kart bilgileri/verileri ele geçirebilmektedirler.

III. SALDIRIDAN SONRA İZLENECEK YOL

1. TCK m.245 de Sayılı Suçun Mağduru Olanlar Bakımından

Bu suçun mağduru olan kişilerince söz konusu fiile hızlı tepki verilmesi oldukça önemlidir. Günlük hayatta kişiler, genellikle bankaları tarafından kendilerine gönderilen bir bildirim, SMS veya e-posta vesilesi ile aslında yapmamış oldukları belli meblağ harcamanın kartlarından tahsil edildiğini öğrenirler. Bu noktada süratle mobil veya internet bankacılığı üzerinden banka ile iletişime geçip durumu izah etmek ve ilgili kartın bloke edilmesini talep etmek yapılması gereken ilk işlemdir. Zira Banka Kartları ve Kredi Kartları Hakkında Yönetmeliğin 17.maddesinin 2.fıkrasının b bendinde “kartın kaybolması, çalınması halinde veya iradesi dışında gerçekleşmiş herhangi bir işlemi öğrenmesi durumunda kart çıkaran kuruluşa derhal bildirim yapmak zorunda olduğu” düzenlenmiştir. Böylece aynı maddenin 2.fıkrasının c bendi kapsamında kart hamilinin bildirimden önceki yirmi dört saat içindeki hukuka aykırı kullanımdan doğan zarardan sorumluluğu 150₺ ile sınırlı olacaktır.

Kartı bloke/iptal ettirdikten sonra yapılması gereken işlem ise en yakın karakola giderek söz konusu olay ile ilgili tutanak tutulması veya doğrudan en yakın Cumhuriyet Savcılığına başvurulması olacaktır.

Son olarak polis tutanağının veya suç duyurusunun bir örneği ile bankaya başvurulup harcama itiraz formunun doldurulması gereklidir.

2. Saldırıya Uğrayan Bankalar Bakımından

Öncelikle maruz kalınan saldırı doğrultusunda bankanın veri tabanına erişilmiş veya başkaca bir şekilde müşterilere ya da banka personeline ait bilgiler/kişisel veriler ele geçirilmiş ise Kişisel Verileri Koruma Kanunun 12.maddesinin 5.fıkrası kapsamında ve Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararı doğrultusunda 72 saat içerisinde, Kurula veri ihlali bildiriminin yapılması gerekmektedir.

Daha sonrasında ise en kısa sürede siber güvenlik biriminden saldırıya ilişkin detaylı bir rapor alınması, durumun müşterilere bildirilmesi ve gerekmekteyse konuya ilişkin BDDK’ya bilgilendirme yapılması ve Bankanın ilgili birimlerince süratle konunun uzmanı hukukçulardan danışmanlık alınarak Cumhuriyet Savcılığına başvurulması suretiyle suç duyurusunda bulunulması gerekmektedir.

Stj. Av. Can AKGÜL

KAYNAKÇA

Dülger, Murat Volkan, Bilişim Suçları ve İnternet İletişim Hukuku, 8.Baskı, Ankara, 2020, s.103-122; 367-481

Orta, MeSut, Bilişim Suçları (Adli Bilişim), Ankara, 2015, s.96-105, 120-123.

Gürkaynak, Muharrem / İren, Adem Ali, Reel Dünyada Sanal Açmaz: Siber Alanda Uluslararası İlişkiler <https://dergipark.org.tr/en/download/article-file/194491>

https://www.bilgiustam.com/kart-kopyalama-skimming/