Iban ve swift dolandırıcılığına dikkat!
Iban veya swift dolandırıcılığına maruz kalınması çalışma alanı fark etmeksizin her şirketin karşılaşabileceği potansiyel bir tehlike. savcılık nezdinde bu ‘bilişim sistemlerine girme suçu’ olarak görülürken bir kısmı da daha ağır suç tipi olan ‘bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçu’ olarak da değerlendirilir.
Günümüzde teknolojinin ve bilişim araçlarının kullanılmasının yaygınlaşması, para transferleri işlemlerinin internet, elektronik posta vb vasıtalar kullanılarak yapılmasından kaynaklı Uluslararası Banka Hesap Numarası (IBAN) veya SWIFT bilgileri değiştirilerek işlenen dolandırıcılık suçu internet korsanlarının en çok kullandığı dolandırıcılık fiillerinden biri haline geldi. Gerekli güvenlik önemleri alınmadığı takdirde IBAN veya SWIFT dolandırıcılığına maruz kalınması çalışma alanı fark etmeksizin her şirketin karşılaşabileceği potansiyel bir tehlike oldu maalesef. Failler bilişim sistemlerini araç olarak kullanmak suretiyle birden çok yolla dolandırıcılık suç fiilini işlemektedirler. Bunlara örnek olarak sahte linkler/dosyalar içeren olta saldırı mesajları gönderilmesi (Phishing), spam e-mailler, linklerle bilgisayara indirilen truva yazılımlar (Trojan), tuş ve ekran kaydediciler (Keylogger ve Screenlogger), Wi-Fi ağına bağlanmak suretiyle dolandırıcılık ve işbu yazının konusu olup şirketlerin başına en çok gelen "Man InTheMiddle Attack" yani ortadaki adam saldırısı verilebilir.
Türkiye'de yabancı ortaklı /veya yurt dışı ofisine bağlı ya da yurt dışı ile aktif ticari ilişki içerisinde olan birçok şirket bulunuyor. Failler özellikle bu şirketleri monitör altına alarak dolandırıcılığı gerçekleştirmeden önce işyerinin olağan iş akışını öğreniyorlar. Bu izleme faaliyeti genellikle yukarıda bahsedilen yöntemlerden biri ile yetkililerden birinin şirket bilgisayarına, telefonuna erişilmesi suretiyle gerçekleşmekte ve faililer uzun bir süre öncesinden başlayarak şirketin iç işleyişine çalışanların e-mail yazma tarzlarına kadar hakim olunuyor. Dolayısıyla yapılacak ödemelerden ve para giriş çıkışlarından da haberdar oluyorlar.
Failler hazır olduklarında yurt dışındaki şirketin e-mail adreslerinden ayırt edilmeyecek şekilde genellikle bir harf değişikliği yapmak suretiyle yeni sahte bir e-mail adresi oluşturup alacaklı şirketin yetkilisi gibi hareket ediyor. Bu yöntem o kadar gelişmiş ki önceki orijinal e-mailler failler tarafından gönderilen e-maillerin altında yer almakta ve cc'de olan çalışanlar dahi aynı gözüküyor.
Ortadaki adam saldırısı olarak bahsedilen bu saldırı türünde ortadaki adam olan fail her iki tarafla da iletişimde olarak mailleri silmek, değiştirmek suretiyle her iki tarafı da oyalıyor. Bir ödemeden haberi olan fail bahsedilen yöntemler ile ödemeyi yapacak kişiye bir e-mail göndererek alıcı şirketin IBAN/SWIFT yani hesap bilgilerinin değiştiğini ve paranın kendi ilettikleri hesaba gönderilmesini istediklerini belirtiyor. Ödemeyi yapacak kişi gerçek alacaklı şirket ile yazıştığını zannettiğinden belirtilen hesaba ödemeyi yaparak faillere para göndermiş oluyor. Failler genellikle yurt dışındaki bir banka hesap bilgisini paylaştığından durumu anlayıp hesaba bloke koyulana kadar para çoktan gitmiş ve ödemeyi yapan şirket dolandırılıyor.
Türk Ceza Kanunu Kapsamında
Türk Ceza Kanunu (TCK) madde 157 kapsamında dolandırıcılık suçu, hileli davranışlarla bir kimseyi aldatıp, onun veya başkasının zararına olarakw, kendisine veya başkasına bir yarar sağlamak şeklinde tanımlanıyor. Bu fiili gerçekleştiren faillere bir yıldan beş yıla kadar hapis ve beş bin güne kadar adlî para cezası veriliyor. Dolandırıcılık suçunun üç ana unsuru var. Bunlardan ilki, fail tarafından nitelikli yalan söyleme suretiyle hileli hareketlerde bulunulması ve bu hileli hareketlerin mağdura zarar verme amacıyla kasten yapılması.
İkincisi, hileli davranışların somut olay ve mağdurun içinde bulunduğu durum özelinde mağduru aldatabilecek nitelikte olması. Üçüncüsü ise suç teşkil eden fiil sebebiyle mağdur zarara uğrarken fail kendisi veya bir başkası lehine fayda elde edilmesi. Bu kapsamda meydana gelen zarar ile fiil arasında illiyet bağı olması ve failin kusurlu olması gerekmekte.
Bahsettiğimiz gibi şirketlerin veya şahısların e-mail adreslerine girilerek takip edilmesi ve bu suretle suçun işlenmesi ise bilişim sistemlerinin araç olarak kullanılması suretiyle dolandırıcılık suçu işlenmesi TCK madde 158 kapsamında dolandırıcılık suçunun nitelikli hali olarak değerlendiriliyor. Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girmek veya orada kalmaya devam etmek, işleyişini engellemek veya bozmak ise TCK madde 243 ve 244 kapsamında bilişim alanında suçlara giriyor. Nitelikli dolandırıcılık suçunu gerçekleştiren failler hakkında üç yıldan on yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunurken (alt sınırı dört yıldan, adli para cezasının miktarı suçtan elde edilen menfaatin iki katından az olamaz), bilişim sistemlerine girme suçundan bir yıla kadar hapis veya adlî para cezasına ve sistemi engelleme, bozma, verileri yok etme veya değiştirme suçundan bir yıldan beş yıla kadar hapis cezasına hükmolunur.
Savcılık nezdinde bu gibi dosyalar TCK madde 243 kapsamında bilişim sistemlerine girme suçu olarak değerlendirilebilirken TCK madde 158 kapsamında daha ağır suç tipi olan bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçu olarak da değerlendiriliyor.
Ne Gibi Önlemler Alınabilir?
Her şeyden önce şirketlerde kullanılan sistemlerin siber ataklara karşı güvenliğinin sağlandığından emin olunmalı. Başta finans ve satış departmanında çalışanlar dahil olmak üzere tüm şirket çalışanları bu gibi potansiyel risklere karşı düzenli olarak bilgilendirilmeli, özellikle ödeme ile ilgili gelen e-maillerde e-mail adreslerinin kontrol edilmesi gerektiği belirtilmelidir.
Bir şirket uygulaması olarak paranın gönderileceği hesap bilgilerini teyit etmek için e-mail dışında bir yolla örneğin özel mobil telefon, videokonferans, masaüstü telefon ile konfirmasyon almak ve hesap bilgilerin doğruluğunu, her zaman ödeme yapılan hesap olup olmadığını, hangi ülkeye bağlı bir hesap olduğunu kontrol etmek suçun önlenmesi kapsamında faydalı olacaktır. Konuya ilişkin daha birçok önlem sayılabilecek olup her hâlükârda bir bilişim uzmanı veya uzman avukat ile görüşülmesinde yarar vardır.
Başta finans ve satış departmanında çalışanlar dahil olmak üzere şirket çalışanları siber ataklara karşı düzenli olarak bilgilendirilmeli, özellikle ödeme ile ilgili gelen e-maillerde gönderen adreslerinin kontrol edilmesi oldukça önemli.
