PHİSHİNG YÖNTEMİ NEDİR ?

Phishing, dolandırıcıların rastgele kullanıcı hesaplarına e-mail gönderdikleri veya İnstagram, Facebook, X (Twitter) gibi sosyal medya platformlarına reklam vererek muhatap mağdurların zararına menfaat temin etmeye çalıştıkları çevrimiçi bir saldırı türüdür. E-postalar veya sosyal medya reklamları, bilinen web sitelerinden veya kullanıcının müşterisi olduğu bankadan, e-posta veya internet hizmeti sağlayıcısından gönderilmiş gibi gözükür. Mağdur kişide güvenin oluşabilmesi ve yönlendirmelere uygun davranması için dolandırıcılar tarafından kullanıcının şüphelenmeyeceği benzerlikte site ve reklamlar hazırlanır. Bu aşamada mağdura genellikle hesapları güncelleyebilmek için kredi kartı numarası veya şifre gibi kişisel bilgileri sorulur. Bu e-postalarda yahut reklamlarda kullanıcıları bir başka web sitesine yönlendiren URL bağlantısı yer alır. Bu site aslında dolandırıcılar tarafından ya sahte olarak oluşturulmuş ya da değiştirilmiş bir web sitesidir. Kullanıcılardan da bu siteye gittiklerinde phishing saldırısını yapan kişiye iletilmek üzere kişisel bilgilerini girmeleri istenir.

Phishing, genelde bir kişinin şifresini veya kredi kartı bilgilerini öğrenmek amacıyla kullanılır. Bir banka veya resmi bir kurumdan geliyormuş gibi hazırlanan e-posta ve reklam yardımıyla mağdurlar sahte sitelere yönlendirilir. Phishing saldırıları için bankalar, sosyal paylaşım siteleri, e-posta servisleri, online oyunlar vb. sahte web sayfaları hazırlanmaktır. Burada bilgisayar kullanıcısından kimlik bilgileri, kart numarası, şifresi vb. istenir. E-posta mesajındaki ve sahte sitedeki talepleri dikkate alan kullanıcıların bilgileri çalınır.

Tam bir aldatmacadır. Saldıran kişi “oltayı” hazırlar ve bu oltaya “balıkların” takılmasını bekler.

GÜNÜMÜZDE GÖRÜLEN SOMUT ÖRNEKLERİ NELERDİR ?

Özellikle son yıllarda ülkemizde en çok rastlanılan phishing yöntemlerinden bazılarını değerli okurlarımızın fikir edinmesi amacı ile kısaca izah edelim;

1- SAHTE OTO KİRALAMA SİTESİ KURULARAK DOLANDIRICILIK

Bu yöntem son yıllarda ülkemizde oldukça sık karşılaşılan bir dolandırıcılık yöntemidir. Dolandırıcı şahıslar, ülkemizde tanınan büyük oto kiralama firmalarının internet sitelerinin birebir aynısını (klonunu) tasarlayarak oltayı hazırlar, yıllardır tanıyıp bildiği, bir şekilde reklamlarını gördüğü oto kiralama firmasından araç kiralamak isteyen mağdur, habersizce dolandırıcıların internet sitesine girer. Genelde bu tarz dolandırıcı sitelerinde fiyatlar, piyasa şartlarına ve klonunu ürettikleri gerçek kiralama firmasının fiyatlarına göre son derece uygun olmaktadır. Fiyatın ne denli uygun olduğunu gören mağdur, ‘’fırsatı’’ kaçırmamak için hızlıca işlemleri gerçekleştirir, tüm kart ve kişisel bilgilerini dolandırıcıların açmış olduğu internet sitesine bildirir ve neticesinde ele geçirilen bu bilgiler doğrultusunda dolandırılır.

2- SAHTE REKLAM YOLUYLA DOLANDIRICILIK

Bu yöntemde dolandırıcı şahıslar, genellikle sosyal medya siteleri üzerinden banka yahut bakanlık görünümünde ücretli reklam vererek kredi kartlarına ücret iadesi yaptıklarını, kredi puanı nedeniyle kredi alamayan şahıslara kredi verdiklerini, faizsiz kredi verdiklerini, e-devlet sistemi üzerinden burs ve yardım dağıtıldığı gibi duyurular yaparlar. Reklama tıklayan mağdur, dolandırıcıların hazırlamış olduğu sahte banka sitesine yahut sahte e devlet sitesine yönlendirilir. Durumun farkında olmayan mağdur, banka şubesine yahut e devlet sistemine girebilmek için kendi kişisel bilgilerini siteye girer. Bu işlemin akabinde mağdurun kişisel bilgilerini elde eden dolandırıcılar tarafından mağdur dolandırılır.

BU YÖNTEMLERLE MAĞDUR OLMAMAK İÇİN NELER YAPILABİLİR ?

Bu yöntemlerden korunmak için en ideal yöntemler;

1- Girilen sitenin tam Url’sini kontrol etmek,

2- Sitede görülen teklifi, oto kiralama firmasının, bankanın yahut karşıdaki muhatap her kimse bilinen kurumsal hattı aranmak suretiyle teyit etmek,

3- Ödeme için gönderilen banka mesajında ödeme yapılacak firmayı kontrol etmek olduğu söylenebilir.

MAĞDUR HAKLARI NELERDİR ?

Phishing yöntemi ile mağdur edilen kişiler için başvurulabilecek bazı hukuki yollar mevcuttur. Bu yollardan bazıları şunlardır;

1- Dolandırıcılar tarafından mağdur bilgilerinin ele geçirilmesi sonrasında mağdurun hesabından yapılan ödemelerin ulaştığı yerlerin tespiti ile iadesi için bu muhataplar aleyhine hukuki ve icrai başvuru yapılabilir.

2- Mağdurun, bulunduğu yer Cumhuriyet Başsavcılığı’na müracaat etmesiyle dolandırıcı veya dolandırıcıların tespit edilerek cezalandırılması ve etkin pişmanlık hükümlerinden faydalanabilmeleri maksadıyla mağdur zararının giderilmesi sağlanabilir.

PHİSHİNG YÖNTEMİ İLE HAKSIZ MENFAAT TEMİN ETME EYLEMİ TCK’NUN HANGİ MADDESİ KAPSAMINDA DEĞERLENDİRMELİDİR ?

Esasında bu husus başlı başına ayrı bir yazı konusu olsa da yeri gelmişken kısaca değinmek isterim. Ülkemiz genelinde yerleşik uygulama doğrultusunda phishing yöntemi ile haksız menfaat temin etme suçu bakımından  TCK’nun 142/2-e veya 158/1-f maddeleri kapsamında mahkumiyet hükmü tesis edilmektedir. Düzenlenen her iki maddenin temelini de bilişim sistemlerinin araç olarak kullanılması olgusu oluştursa da her iki suç teknik anlamda birbirlerinden oldukça farklılık arz etmektedir. Bunun yanında 142/2-e maddesi Asliye Ceza Mahkemelerinin görev alanına girmekte iken 158/1-f maddesi yönünden hüküm vermek Ağır Ceza Mahkemesinin Görev alanına girmektedir.

Bu hususta doktrinde maalesef ki hukuki bir görüş birliği mevcut değildir. Bir kısım görüş söz konusu suç ile ilgili TCK 142/2-e maddesinde düzenlenen nitelikli hırsızlık suçu kapsamına girdiğini düşünürken bizim de katıldığımız bir diğer görüş ise TCK 158/1-f maddesinde düzenlenen nitelikli dolandırıcılık suçu kapsamına girdiğini düşünmektedir.  Zira anlatmış olduğumuz eylem içerisinde mağdur, iradesinin sakatlanması neticesinde kişisel bilgilerini dolandırıcılara vermiş olmaktadır. Bu irade sakatlığı ise dolandırıcıların hilesi neticesinde meydana gelmektedir. Örnek vermek gerekirse yurt içinde faaliyet gösteren bir banka sitesinin birebir aynısını (klonunu) üreten dolandırıcılar, bu hile yöntemi ile mağdurun iradesini sakatlamakta ve müşterisi olduğu bankanın sistemine bilgi girdiğini düşünen mağdurun aleyhine menfaat temin edilmektedir.

Nitekim Yargıtay 17. Ceza Dairesi’nin 06.01.2020 tarih 2019/13155 Esas, 2020/114 Karar sayılı ilamında da görüşümüz ile aynı doğrultuda olarak somut olayda TCK’nun 158/1-f maddesinin uygulanması gerektiği hüküm altına alınmıştır.

KAYNAKÇA

-Yargıtay 17. Ceza Dairesi’nin 06.01.2020 tarih 2019/13155 Esas, 2020/114 Karar sayılı ilamı

https://bim.aku.edu.tr/phishing-oltalama-nedir/