PAYTR Product Owner İbrahim Kudret Elçiboğa, Fintechtime Şubat sayısı için yazdı “Sosyal Mühendislik Yöntemi ile Dolandırıcılığın Hukuki Boyutu”.

Sosyal mühendislik, insan zafiyetlerini hedef alarak, ikna ve kandırma yoluyla istenen bilgileri elde etme sanatıdır. Bu yöntemler, insanların önyargılarını ve güvenliğin zayıf halkası olan insan davranışlarını manipüle etmeye dayanır. Sosyal mühendislik, temelde bilgisayar-teknolojiye veya insana dayalı olabilir. Teknolojiye dayalı yöntemler arasında Truva atları, keylogger’lar ve phishing saldırıları bulunurken, insana dayalı yöntemlerde sahte çağrı merkezleri ve ön ödeme dolandırıcılığı gibi teknikler kullanılır.

 

Sosyal Mühendislik Yöntemi ile Dolandırıcılığın Hukuki Boyutu

Sosyal Mühendislik; insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. Tüm sosyal mühendislik yöntemleri, insan davranışlarındaki önyargılar üzerine kurgulanır ve temeli insanı kandırmaya dayanır.

İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir. Çünkü insan güvenliğin en zayıf halkası olarak bilinir ve sosyal mühendislik de hedefe en zayıf halkayı aşarak ulaşmayı amaçlar.

Sosyal mühendislik dolandırıcılığında kullanılan genel yöntemler; sosyal mühendislik yoluyla dolandırıcılık, TEMELİ İNSANA ve BİLGİSAYAR-TEKNOLOJİYE dayanan olmak üzere iki temel kategoride değerlendirilir.

Temeli bilgisayar ve teknolojiye dayanan sosyal mühendislik olaylarında kişiye ait bilgiler teknoloji kullanılarak elde edilir. Örnek olarak “Truva Yazılımları (Trojan), Tuş ve Ekran Kaydediciler (Keylogger ve Screenlogger), Phishing (Olta Saldırıları), Wi-Fi Dolandırıcılığı, Spam E-Postalar, Man InTheMiddle Attack” gibi olay ve uygulamalar örnek gösterilebilir.

Temeli insana dayanan sosyal mühendislikte ise kişiden bilgi almak ya da istenilen işlemleri yapmasını sağlamak amacıyla taklit, etkileme ve ikna etme kabiliyetleri kullanılır. “Sahte Çağrı Merkezleri, Çöp Karıştırma, Omuz Sörfü ve Kulak Misafirliği, Ön Ödeme Dolandırıcılığı” gibi olay ve uygulamalar örnek gösterilebilir.

Güven kurumu bankaların ya da Telekom operatörlerinin veyahut bilgisayar yazılımı üreticilerinin tüm bu olaylarla uzaktan yakından alakası bulunmamaktadır. Son yılların en popüler sosyal mühendislik yöntemi, Sahte Çağrı Merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla Sahte Çağrı Merkezlerine yönlendirilme suretiyle dolandırmaktır. Polis ya da kamu görevlisi (Savcı, Hâkim) olarak arama, ödül kazandın diye mesaj atarak yönlendirme, kredi kartı aidatı ve banka hesap işletim ücretini geri almak vadiyle kandırılma, **** takip numaralı kargonuz geldi ama adres yetersizliğinden teslim edilmedi diye mesaj atarak yönlendirme gibi veya birçok benzer yöntemler ile yapılan dolandırıcılığa günümüzde çok sık rastlıyoruz.

İlk yıllarda kontör/TL transferi şeklinde görülen bu tarz dolandırıcılık yöntemleri, daha sonra, gelişen teknoloji ve yeni ikna yöntemleri ile, bankaların ürün yelpazesindeki gelişmeler ve hizmet kalitesinin artmasına paralel olarak (kartsız para transferi, cepten cebe para transferi, hızlı kredi tahsisi, internet ve mobil bankacılığı kullanımının artması vb.) para transferine, şubeden ve ATM’den nakit çektirilerek dolandırıcıya teslim etme yöntemlerine dönüşmüştür. Burada amaç kart bilgilerini veya internet/mobil bankacılık kişiye özel şifre ve parolalarını ele geçirmektir.

Gelen aramaya inanan kişiler telefondaki dolandırıcıya tüm kart bilgilerini (16 haneli kart numarası, kartın son kullanma tarihi ve CVV kodu) veya internet/mobil bankacılık ile ilgili kişiye özel bilgilerini sözlü olarak verir. Dolandırıcı tarafından ele geçirilen bu bilgiler ile karttan harcama yapılmak veya internet/mobil bankacılık üzerinden para transferi yapılmak suretiyle mağdurlar dolandırılır.

Bu durumda, zarar gören mağdurların en kısa sürede bankasına bilgi vermesi, kolluk kuvvetlerine bildirmesi veya savcılığa şikâyette bulunması, ile ilgili süreci başlatması önerilir. Gerekli tahkikatlar sağlanır ve olay çözümlenmeye çalışılır.

 

BDDK TEBLİĞİ VE İKİ FAKTÖRLÜ KİMLİK DOĞRULAMA

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından, 14 Eylül 2007’ de Resmî Gazete’ de yayınlanarak yürürlüğe giren ve 01 Ocak 2010 itibarıyla bankaların yükümlü olduğu, “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” in, İnternet Bankacılığı bölümünde, Kimlik Doğrulama başlığı altında düzenlenen 27. Maddesinin 4. Fıkrasında, “Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir.” diyerek iki faktörlü doğrulamayı ifade etmiştir.

Yine aynı maddede, “Müşterinin “bildiği” unsur olarak parola/değişken parola bilgisi gibi bileşenler, “sahip olduğu” unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir.” denilerek, faktörler örneklenmiş ve daha da önemlisi, “sahip olunan” unsur olarak, BDDK tarafından kabul ve tebliğ edilen yöntemler tanımlanmıştır.

Burada, “kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir” ifadesi ile halen bankaların internet şubesi kanalında, kullanıcı/müşteri kimliğini doğrulama amacıyla, en yaygın şekilde kullanılan aslında tercihe bırakıldığı için, güvenlik algısı gelişmemiş ve farkındalığı tam oluşmamış ortalama internet kullanıcısı müşterilerin “kolay” olduğu için tercih ettiği – banka tarafından üretilip GSM hatlarına (cep telefonlarına), müşterinin abonesi olduğu GSM İşletmecisi firma aracılığı ile Kısa Mesaj Servisi (SMS) mesajı olarak iletilen Tek Kullanımlık Parola’ların (şifre) “müşterinin sahip olduğu” bir unsur olarak kabul edildiği açıkça belirtilmektedir.

 

GÜVENLİK İHMALERİ VE KUSURLAR

“Telefon Şubesi”,  ”Internet Şubesi” ,“Çağrı Merkezi”, ”Mobil Şube” , ”ATM/BTM” gibi bankaların müşterilerine sundukları birden fazla iletişim ve işlem kanalı bulunmaktadır. Bankanın müşterilerine atadığı müşteri numarası sabittir. İnteraktif bankacılık şifresi 3/6 aylık dönemler dâhilinde müşterilerin sadece kendilerinin bileceği şekilde değiştirilmesini sağlar.

Tüm bunlara ek olarak mecrasına göre değişen güvenlik önemleri vardır. ”ATM/BTM” kanalı üzerinde fiziksel banka kartı ile işlem yapılacaksa ilgili kart şifresi kullanılır. ”ATM/BTM” kanalı üzerinde kartsız olarak müşteri numarası ve İnteraktif bankacılık şifresi kullanılarak da işlemler yapılabilir.

Her bankacılık hizmet kanalının güvenli olarak kendine has erişim izni ve iletişim güvenliği bulunmaktadır. Banka müşteri, işlem ve bilgi veri tabanını korumakla yükümlüdür. Karşılıklı olarak müşterinin de bankanın kendisine tahsis ettiği banka/kredi kartının fiziksel güvenliğini, tüm şifre güvenliklerini ve kendi iletişim güvenliğini korumakla görevlidir.

Günümüzde Internet’te e-posta mecrası üzerinden İstenmeyen kötü niyetli zararlı e-postalar (SPAM) ile banka müşterileri sanki bankalardan e-posta almış gibi şifre işlemi yapabilmektedir. Hiçbir banka müşterisine e-posta göndererek şifre güncellemesi veyahut cep telefonu modeli sorup kullanıcı adı ve şifresini yazdırıp SMS gönderimi yaptıktan sonra mobil uygulama yüklemesi yapmasını talep etmez. Hiç banka müşterisini aradığında müşterinin bilgisini paylaşmaz zaten banka müşteri temsilcisi müşteri bilgilerini göremez.

Banka müşteri temsilcisi doğum tarihini, bana adını veyahut anne kızlık soyadının sistemin o an uygun gördüğü çeşitli kelimelerini sorabilir. Örneğin ”anne kızlık soyadınızın 3.ve 5. harfini söyleyeniz” diye soru sorar ve müşteri bilgileri Banka müşteri temsilcisi paneline gelir. Bu panel içerisinde de müşteri neyi talep ediyorsa işlemler halinde talepler yerine getirilir.

 

BANKACILIK TEKNOLOJİSİ İŞLEM GÜVENLİĞİ DEĞERLENDİRMESİ

Bankalar özü itibariyle güven kurumlarıdır. Bankacılık çalışma prensipleri gereği, bir banka mevduat ve kredi müşterileri ile kamu, maliye, Merkez Bankası gibi diğer paydaşlarına, yaptıkları işlemler ve uygulamalarla güven telkin etmelidir.

Günümüz dünyasında özellikle bireysel bankacılık işlemlerinin internet bankacılığı uygulamalarıyla yürütüldüğü düşünülürse, kötü niyetli kimselerin bu işlemlerden kendi menfaatlerine yararlanma ve diğer suç alanlarını elektronik ortamda da yaygınlaştırma çabası içinde oldukları da gözlenebilir. Bu durum nedeniyle sıradan bir banka müşterisinin bankacılık işlemlerini yaparken korunması, hesaplarının güven içinde tutulması da önem taşımaktadır.

Sıradan bir banka müşterisinin dijital bankacılık işlemlerini yaparken kötü niyetli hareketlerden korunması için gereken önlemleri tek başına alması beklenemez. İşlem yaptıkları platformları, bilgisayarlarını, cep telefonlarını ya da tablet bilgisayarlarını güncel tutmaları, kaliteli anti virüs yazılımları kullanmaları, herkese açık bilgisayarlarda işlem yapmamaları, şifrelerini başkalarıyla paylaşmamaları, bankalarının internet sitelerine girerken gelen SMS şifrelerinin ele geçmemesi için gerekli özeni göstermeleri vs. gibi alınması gereken temel önlemleri alan bir banka müşterisinin, daha ileri bilişsel ve muhasebe teknikleriyle de korunması gerekmektedir.

Bu konuda sorumluluk başta bankalar olmak üzere suçla mücadelede görevli olan merci ve otoritelere düşmektedir. Nitekim bu konularda bankanın sorumluğuna dikkat çeken çok sayıda Yargıtay kararı bulunmaktadır. Bilindiği gibi ülkemizde bir süredir elektronik bankacılık kanallarına giriş işlemi bankaca müşterilerinin cep telefonlarına gönderilen tek kullanımlık şifrelerle sağlanmaktadır. Bununla birlikte alınan her türlü teknik önleme karşın banka müşterilerinin önde gelen sorumluğu ise, bankaca kendilerine verilmiş giriş parola ve şifrelerini korumak ve tek kullanımlık şifrelerini başkalarıyla paylaşmamaktır.

Buna aykırı hareket edilmesi, şifre ve parolaların ya da tek kullanımlık SMS şifrelerin paylaşılması veya cep telefonlarına indirilen bazı korsan yazılımlarla başka telefonlara aktarılmasından korunmak dava konusu olaylara sebep olabilmektedir. Böyle bir durumda, milyarlarca liralık yatırım yaparak elektronik güvenlik önlemleri alan bankaların tümüyle sorumlu tutulması beklenemez.

 

İLİŞKİLİ YARGITAY KARARLARI

Yargıtay 11. Hukuk Dairesi, 2003/8280E. 2003/7705K. K. sayılı, 12.9.2003 tarihli kararı

İnternet bankacılığı sözleşmesinde, sonradan bankaca eklenecek internet hizmetlerinden de davacının yararlanacağının öngörülmüştür. Banka tarafından verilen internet şifresinin özenle saklanma yükümlülüğü davacı banka müşterisine ait olduğundan, şifrenin başkası tarafından kullanılarak hesaptan para havale edilmesi sonucu ortaya çıkan zarardan banka sorumlu tutulamaz.

Yargıtay 19.Hukuk Dairesi, 2004/10991E. 2005/6080K. K. sayılı, 31.05.2005 tarihli kararı

Havale işleminin davacının internet bankacılık işlemlerini gerçekleştirmek amacıyla kullandırıldığı, şifrenin bilinmesi suretiyle gerçekleştiği, gerçekleştirilen havale işlemlerinde kayıt konulmadığından dava konusu havale işlemlerinde bankanın ayrıca davacıdan teyit alması gerekmediği havale işlemlerini de davalı bankanın herhangi bir kusuru bulunmadığı davacının şifresini iyi koruyamaması nedeni ile davanın reddine dair hüküm onanmış olmakla bu nedenle davacının açmış olduğu davanın reddi cihetine gidilmiştir”

Yargıtay 19.Hukuk Dairesi, 2007/7397 E. 2007/3029 K. sayılı, 27.03.2008 tarihli kararı

Taraflar arasında imzalanan sözleşmeye göre davacı, şifrenin gizli kalması için gerekli dikkat ve özeni göstereceğini, şifresini üçüncü kişilere açıklamayacağını, şifresinin üçüncü kişiler tarafından kullanımının sonuçlarından tamamıyla kendisinin sorumlu olduğunu kabul ve taahhüt etmiştir. Dava, internet bankacılığı işleminden kaynaklanan menfi tespit istemine ilişkindir. Banka müşterisinin kimsenin bilmemesi gereken ve korumakla yükümlü olduğu şifre gibi kişisel bilgileri koruyamaması ve bunun sonucu kişisel bilgilerin kötü niyetli üçüncü kişilerin eline geçmesinden doğan zarardan bankanın sorumlu olduğu kabul edilemez.”