Sosyal Mühendislik Yoluyla Dolandırıcılık

 Dolandırıcılık suçu, failin hileli davranışlarla bir kimseyi aldatması, mağdurun veya başkasının zararına olacak şekilde kendisine veya bir başkasına yarar sağlamasıyla oluşur.

Nitelikli dolandırıcılık suçu ise belli dini, sosyal, mesleki, teknolojik araçların veya kamu kurumlarının araç olarak kullanılması suretiyle işlenir.

Dolandırıcılık suçu 5237 sayılı Türk Ceza Kanunu’nda m.157-158’de düzenlenmiştir. Dolandırıcılık suçu, takibi şikâyete bağlı suçlar kategorisinde değildir. Savcılık suçun işlendiğini öğrenir öğrenmez kendiliğinden soruşturma yapmak ve suçun işlendiği kanaatindeyse kamu davası açmak zorundadır.

Dolandırıcılık suçu için şikâyet süresi yoktur. Ancak suçun en basit halinde dava zamanaşımı süresi 8 yıl olması sebebiyle en geç 8 yıl içinde şikâyet hakkının kullanılarak olayın savcılığa bildirilmesi gerekmektedir.Dolandırıcılık suçunun sadece basit şekli uzlaşmaya tabidir. Nitelikli halleri uzlaşma kapsamı dışındadır.

Dolandırıcılık suçu ile ilgili bu kısa ön bilgi ve sahip olduğumuz hakları hatırlatmamızın ardından Sosyal Mühendislik Yoluyla Dolandırıcılık konusunu ele alacağız. Öncelikle sosyal mühendislik yöntemleri kullanılarak dolandırıcılık suçunun işlenmesi halinde, söz konusu suçunm.158’de düzenlenen nitekli haller kapsamında değerlendirildiğini bilmemiz gerekir.

Ülkemizde teknolojinin ilerlemesine paralel olarak teknoloji okur yazarlığının az olması sebebiyle son verilere göre dolandırıcılığın %87’si Sosyal Mühendislik yöntemiyle gerçekleşmektedir.

SOSYAL MÜHENDİSLİK VE YÖNTEMLERİ NELERDİR?

Sosyal Mühendislik Nedir?

Kişilerin zaaflarından faydalanarak çeşitli ikna ve senaryolarla istenilen bilgileri elde etmeye çalışmaktır. Sosyal mühendislik yöntemlerini kullanan dolandırıcılar genel itibariyle milletimizin önem verdiği değer ve yargılardan; aile, vatan sevgisi, üniformaya olan saygı gibi konuların üzerinden yola çıkarak insanları etkisi altına almayı hedefler.

Sosyal mühendislik yöntemi ile dolandırılan vatandaşların hemen hemen hepsi verdikleri ifadelerinde adeta “hipnotize” olduklarını dile getirirler. Çünkü karşılarındaki dolandırıcılar, mağdurlarının fazla düşünmesine izin vermeyerek karar verme süreçlerini etkilerler. Mağdurlarını telkin almayı kolaylaştıracak ruh haline büründürerek, manipüle ederler. Böylelikle kişiler toplumun hangi sınıfından olursa olsun, sosyo-kültürel durumuna bakılmaksızın mağdur konumuna düşebilirler.

Sosyal Mühendislik Yöntemleri Nelerdir?

Sosyal Mühendislik yöntemlerini kategorize ederek anlatmak da fayda görüyorum. Bunun sebebi dolandırıcı ile mağdur ilişkisinin farklı şekillerde kurulmasıdır.

Sosyal Mühendislik yöntemlerini 2 temel başlık altında inceleyeceğiz;

1) TEMELİ BİLGİSAYAR VE TEKNOLOJİYE DAYANAN SOSYAL MÜHENDİSLİK DOLANDIRICILIK YÖNTEMLERİ:

Bu yöntemi kullanan dolandırıcılar direkt olarak mağdurla birebir iletişim kurmamaktadır. Sosyal mühendislik yönteminde hedef alınan şey sistem değildir, o sisteme giriş yapma yetkisine sahip olan gerçek kişilerdir. Sosyal mühendislik tekniği sisteme giriş yapmaya yetkili kişilere yönlendirildiğinde kötü niyetli kişiler istenilen bilgilere çok kısa bir sürede ulaşabilir. Peki, bu yöntemler nedir?

TRUVA YAZILIMLARI (TROJAN):

Truva yazılımları ismini “Truva Atı’ndan” almaktadır. Bir bilgisayar programına bağlanarak saklanan, tahribatını yaparken ise, programın olağan çalışmasına izin veriyormuş gibi gözüken virüslere “Truva atı” denir.

Bu Truva atı sistemimize nasıl müdahale edebilir? E-mail yoluyla, güvensiz sitelerden indirilen programlarla, ortak ağlardan indirilen içeriklerle bilgisayarınıza bulaşabilir.Sistemimize giren Truva atları, programların çalıştırılması halinde zararlı kodları aktif hale getirecektir. Farkında olmadan aktif hale getirdiğimiz bu zararlı kodlar; kullanıcı adlarımızı, parolalarımızı ve kredi kartı bilgilerimizi kopyalayarak saldırganlara ulaştıracaktır.

Truva atlarından korunmak için güvenli siteler tercih edilmeli, lisanssız program sağlayan sitelerden içerik indirilmemeli ve üçüncü parti lisanslı bir güvenlik yazılımı kullanılmalıdır.

 PHİSHİNG (OLTA SALDIRILARI):

Olta saldırısı internet üzerinde en sık kullanılan dolandırıcılık yöntemlerindendir. Olta saldırı yöntemiyle dolandırıcılar finansal kurumların, alışveriş sitelerinin ödeme bilgileri sayfası ara yüzünü taklit eden linkleri e-posta yoluyla mağdurlara ileterek finansal bilgilerini çalmayı hedefler.

Olta saldırılarından korunmak için finansal aplikasyonlarda karşılama mesajı ve resmi belirlenmeli, en önemlisi ödeme sayfalarında ve online (çevrimiçi) bankacılık işlemlerinde tarayıcının adres satırında bulunan asma kilit simgesinin “yeşil renkte” olduğuna dikkat edilmelidir. Günümüzde e-posta sağlayıcılarının güvenlik protokollerinin gelişmesiyle birlikte zaten bu tür zararlı link içeren e-postalar “SPAM” klasörüne düşmekte ve zararlı olarak işaretlenmektedir.

TUŞ VE EKRAN KAYDEDİCİLER (KEYLOGGER VE SCREENLOGGER):

Tuş kaydediciler, bilgisayarda, klavye vuruşlarını anlık olarak kopyalayabilen ve bunları kaydederek e-posta yoluyla dolandırıcının eline geçmesini sağlayan programlardır.

Ekran kaydediciler ise, ekran görüntülerini kopyalayan ve bunları e-posta ile yine dolandırıcıya ulaştıran programlardır. Yakalanan anlık görüntüler sayesinde o anda ekranda ne yapıldığı veya şifrelerin nereye yazıldığı kolaylıkla görünebilir.

Bu zararlı içerikler yine yukarıda belirtmiş olduğum yollarla sistemimize bulaşır. Bunlardan korunmak için güvenilmeyen sitelerden uygulama, video, müzik benzeri lisanslanmamış içerikler indirilmemeli, tanınmayan göndericilerden ulaştırılan e-postalardaki linkler açılmamalıdır.

Wİ-Fİ DOLANDIRICILIĞI

Bu yöntemde dolandırıcılar, otel kafe gibi ortak kullanım alanlarında herkesin ulaşabileceği Wİ-Fİ ağları oluşturarak, mağdurların kişisel bilgilerini ücretsiz Wİ-Fİ ağı arayüzüyle çalmaktadır. Yine bu yöntem hassas bilgileri ele geçirmeyi hedefler.

Bu tür dolandırıcılık yöntemlerinden korunmak için internet kullanıcıları GSM şirketlerinin ya da internet sağlayıcılarının kendilerine sağladığı güvenli ağlardan internete bağlanmayı tercih etmeli ya da ortak kullanıma açık wi-fi ağlarının arayüzlerini yetkililere teyit ettirmelidir.

2) TEMELİ İNSANA DAYANAN SOSYAL MÜHENDİSLİK DOLANDIRICILIK YÖNTEMLERİ:

Bu dolandırıcılık yönteminde dolandırıcı ile mağdur birebir etkileşim içinde olur. Dolandırıcılar,  kişisel bilgileri çalmak veya istenilen işlemleri yaptırmak amacıyla mağduru çeşitli ikna yöntemleri ve taklit yoluyla etkisi altına almayı amaçlarlar.

SAHTE ÇAĞRI MERKEZLERİ/ SAHTE KİMLİK ÜRETME

Son zamanlarda sıkça kullanılan sosyal mühendislik yöntemi sahte çağrı merkezleri aracılığıyla yapılan aramalar veya cazip teklifler sunularak atılan mesajlar şeklinde görülmektedir.

Kendisini polis ya da kamu görevlisi olarak tanıtarak yapılan aramalar, ödül kazandınız içerikli mesajlar,kredi kartı aidatı ve banka hesap işletim ücretini geri alma vaadi, bir senaryoyla ATM’den nakit çektirilerek dolandırıcıya teslim etme gibi çeşitli yöntemlerle dolandırmayı hedefler. Öncelikle şunu hemen belirtmek de fayda görüyorum: Polis ya da Kamu Görevlisi olan birinin sizden herhangi bir şey talep etmesi veya size herhangi bir vaatte bulunmasının imkân ve olanağı yoktur.

Teknolojinin ilerlemesiyle birlikte bu yöntem çok korkutucu boyutlara ulaşmış, öyle ki Emniyet Genel Müdürlüğü gibi kurum ve kuruluşlar birçok uyarı mesajları göndermeyi gerekli görmüşlerdir. Bu dolandırıcılık halinde, dolandırıcılar bazen sizinle ilgili hiçbir bilgiye sahip olmayıp tamamen doğaçlama bir senaryo üretir, bazen de önceden küçük araştırmalar yapıp sizin korku ve endişelerinizden faydalanmaya çalışır. Dolandırıcılar belli bir yaş grubuna hitap etme seçimine gitmese de mağdur genellemesi yapıldığında; mağdurların hep yaşının büyük olduğu görülmektedir. Bunun sebebi gelişen teknolojiye ayak uyduramayan veya uydurmak istemeyen büyüklerimizin bu konudaki tecrübesizliğinden faydalanmaktır.

Bu dolandırıcılık yöntemine karşı koyabilmemizin en temel şartı bilinçtir. Polis, asker veya savcı gibi kişiler sizden para istemez, isteyemez.  Bunu aklımızdan çıkarmamız gerekir. İlgili kurum ve kuruluşların attığı uyarı mesajları, kamu spotları ve bizlerin sürekli bu konuda yapacağı uyarıları dinamikleştirilerek bu yöntem ekarte edilecektir.Bu yöntemle, zarar gören mağdurların varlığı halinde hiç vakit kaybetmeden yaşanan olay örgüsüne göre; ivedilikle bankasına bilgi vermesi, kolluk kuvvetlerine bildirmesi veya savcılığa şikâyette bulunması gerekir.

Av. Burcu ASLAN