TCK’YA GÖRE: KREDİ KARTI HIRSIZLIĞI VE PHISHING

15.03.2009, Çengelköy


İşbu çalışma, ilk olarak 27 Mart 2009 tarihinde – şu an itibariyle yayında bulunmayan hukukçu.com sitesi üzerinde-http://hukukcu.com/modules/smartsection/item.php?itemid=285 adresinde yayınlanmıştır.


Phishing ile Kredi Kartı Bilgisi Hırsızlığı ve TCK’daki Yansıması

Kredi kartları kullanılarak pek çok tipte suç işlenebilmektedir:[1]

1-Sahte kimlik ve belgelerle kredi kartı almak suretiyle nakit para çekmek veya harcama yaparak dolandırıcılık
2-Sahte kimlik ve belgelerle müracat edip Kredi Kartı Üye İşyeri Sözleşmesi imzalamak suretiyle sözde harcama veya satış yapılmış gibi hayali belgeler tanzim etmek suretiyle dolandırıcılık
3-Kayıp ve çalıntı kartların kullanılması yolu ile dolandırıcılık.( Bu konuda bazı zamanlar kart hamili kartını kayıp veya çalıntı bildiriminde bulunduktan sonra kendisi tarafından da kullanıldığı görülmektedir)
4-Sahte kart yapmak suretiyle dolandırıcılık; Boş plastik plakalar üzerine kabartma olarak basılan gerçek kredi kartı numaralarının Imprinter cihazı satış belgesi üzerine aktarılarak bankadan tahsil edilmesi şeklinde işlenen suçtur.
5-Değiştirilmiş kart ile işlenen suçlar; bu tür olaylar kredi kartları üzerindeki numaraların kesilerek değiştirilmesi veya ütülenerek yerine yenisinin basılması suretiyle elde edilen kartlarla işlenmektedir.
6-Manyetik şerit kopyalaması yöntemi ile elde edilen kartlarla dolandırıcılık ; bu olaylarda kartların arka yüzünde bulunan manyetik şerit bilgilerinin Encoder cihazı yardımıyla kopyalanması ve yine aynı cihaz aracılığıyla başka kartların manyetik şeritlerine aktarılması yoluyla elde edilen kartlarla işlenmektedir. Günümüz şartlarında kredi kartı ile yapılan dolandırıcılıkların en teknik ve tehlikeli olanıdır.
7-Bankamatik fareleri tabir edilen şebekelerce ATM makinalarına yapılan hilelerle kartların ATM makinalarınca tutulması ve daha sonra bu kartların alınarak kullanılması suretiyle yapılan dolandırıcılıktır.
8-Posta ve telefonla yapılan mal siparişi ile dolandırıcılık; bu olaylarda kart hamili fiziksel olarak satıcı ile yüz yüze gelmemektedir. Dolandırıcı şahıs başkalarına ait geçerli bir kart numarasını vermek suretiyle önceden belirlenen adreslere mal gönderilmesini sağlayarak yapılan dolandırıcılıktır.

Hukuken dikkat edilmesi gereken husus sanığa isnat edilecek eylemlerin Türk Ceza Kanunu’nda suç olarak tanımlanmış olması gerkir: TCK’da yer almayan bir eylemin suç teşkil ettiğine yönelik karar verilmesi halinde “suçta ve cezada kanunilik” ilkesine aykırı davranılmış olunacaktır. Anayasa’nın 38. Maddesi ve TCK’nın 2. maddesi, suçta ve ceza kanunilik olması gerektiğini vurgulamaktadır. Yine CMK’nın 223. maddesinin 2-a fıkrasına göre, fiilin kanunda suç olarak tanımlanmaması halinde mahkemelerce beraat kararı verilmesi bir zorunluluktur.

Bir kredi kartı şifresinin phishing eylemi ile elde edildiği söz konusu ediliyorsa bunun nasıl, nerede ve ne şekilde yapıldığı belirlenebildiği takdirde dolandırıcılıktan ceza verilebilir ama phishing’in olmadığı durumlarda sanığa dolandırıcılık suçundan ceza verilmesi mümkün değildir. Çünkü örneğin kredi kart numaraları internette para karşılığı temin edilebilmektedir.

Nitelikli dolandırıcılık eyleminin temeli, 157. madde metnidir. Bu maddede, dolandırıcılık eyleminin gerçekleşmesi için eylemin bir kişiye yönelik olması, bu kişinin iradesini yanıltacak hileli hareketlerde bulunulması gerekir. Phishing eylemi bu şartları taşımaktadır.

Teknik ve hukuki açıdan “phishing” nedir, önlem nasıl alınır? :

Günümüzde internet kullanıcılarının %80 gibi bir kısmının artık olmazsa olmazlarından olan e-posta, internet bankacılığı, e-alışveriş gibi birçok kullanım alanları kötü niyetli internet kullanıcıları tarafından istismar edilmektedir. Bu istismarın bir yöntemi de ‘phishing’ dir. 300 kişiyle yüzyüze yapılan anketlerde, phishing’e karşı nasıl korunacağı konusunda hiçbir fikre sahip olmadığını söyleyenlerin oranı ise yüzde 45.8’dir.[2]

Phishing, İngilizce “Balık tutma” anlamına gelen “Fishing” sözcüğünün ‘f’ harfinin yerine ‘ph’ harflerinin yer değiştirilmesiyle ortaya çıkmış bir kelimedir. Türkçe’de tam karşılığı olmamakla beraber “oltayla balık yakalamak” şeklinde çevrilebilir.

Pishing (fishing gibi telafuz edilir), iyi niyetli olmayan kişiler tarafından yapılan sosyal bir mühendislik saldırısıdır. Kredi ya da banka (debit/ATM) kartı numaraları ve CVV2 numaraları, bunlara ait şifreler ve parolalar, hesap numaraları, internet Bankacılığına girişte kullanılan kullanıcı kodu ve şifreleri, kredi kartı detayı, özel kişisel bilgileri dolandırıcılıkla ele geçirme amacıyla gerçekleştirilir.

Phishing’de dolandırıcılar genelde yasal bir bilgi isteğiymiş gibi e-posta göndererek (ya da benzeri başka iletişim yollarıyla örneğin web sayfaları ile) kendilerini güvenilir gösteririler.

Phishing yönteminde köklü bankaların kimliğinin kullanmasının yanında mağazalar veya e-ticaret kurumlarının ve İnternet servis sağlayıcıların kimliklerinin de kullanılması söz konusudur. Tüketicilere, güvenilir kaynaklardan geliyormuş izlenimi verilmiş bilgi güncelleme talebi vb. içeren e-postalar gönderilir. Bu e-postalarda genellikle cevap için e-postanın içindeki linkin (Web sayfası için kısa yol) tıklanarak gerekli siteye geçilebileceği belirtilmektedir. Bazen email çok eksiksiz gözükür ve içerik olarak orijinal kaynaktan alınmış izlenimi uyandırır. Ancak, verilen talimat uygulandığında gidilen site dolandırıcılar tarafında hazırlanmış ve gerçeğini taklit eden sahte bir web sayfası olmaktadır. Olaydan habersiz olan kurban sanki her zaman işlem yaptığı sitedeymiş gibi tüm hesap ve giriş şifrelerini bu sitedeki alanlara girer. Bu sahte sitede hemen kaydedilerek o anda elde edilen bilgiler mahiyetine göre daha sonra çeşitli dolandırıcılık faaliyetlerinde kullanılabilmektedir.[3]

Ebay ve PayPal gibi yasal şirketlerin ya da bankaların asla kullanıcı adı ve şifreleri eposta yoluyla talep etmediği ve, pishing epostalarının yasal gözüken ancak aslında farklı sitelere açıldığı unutulmamalıdır. Her zaman internet bankacılığına ya da diğer online servislere erişirken yeni bir tarayıcı açarak, doğru adresi adres çubuğuna kopyalamak en güvenilir yöntem olacaktır.

Her an posta kutumuza gelebilecek ve bir anlık dikkatsizlik sonucu maddi ve/veya manevi büyük zarar verebilecek dolandırıcılık faaliyetlerinden korunmak için bazı hususlara çok dikkat edilmesi gerekiyor. Şifre girişi yapılan sunucunun da güvenli olması çok önemlidir: kullanılan web sayfasının adres satırı http:// yerine https:// ile başlamalıdır. Banka hesapları, ve ekstrelerin düzenli kontrol edilmesi ve şüpheli görülen durumlarda ya da böyle bir eposta alındığında derhal banka bilgilendirmeli ve ardından TCK’nun dolandırıcılık hükümlerine göre savcılığa dilekçe ile başvurulmalıdır. Burada hem mağdura hem savcıya hem de güvenlik güçlerine düşen görev hayati önemdeki birkaç delilin en kısa zamanda toplanmasını sağlamaktır.

Phishing suçunun tam tanımı maalesef hem eski yasamızda hem de yeni yasamızda tam olarak bulunmamaktadır. Bu sebeple ancak yorum yoluyla bir sonuca varılabilse de Ceza Hukukunda yorum ancak çok dar bir şekilde yapılabildiği için bu suçun bilişim suçu olarak değerlendirilmesi zordur. Sahte epostalar ile işlenen bu gibi suçlarda korunan hukuki menfaat kişilerin malvarlığı haklarıdır. Olayda mağdur müşteridir. Çünkü malvarlığında azalma meydana gelen kişi , hile ve desiseye maruz kalan kişi müşteridir.

Suçla mücadele için öncelikli olarak yapılması gereken bir adli bilişim biriminin kurulmasıdır. Bu adli tıp içinde de kurulabilir. İkinci olarak hakim ve savcılarımıza yeterli eğitim verilmelidir. Üçüncü husus ise servis sağlayıcılara yasal yükümlülükler getirerek bugün delillendirme de yaşanan problemlerin önüne geçilmesinin gerekliliğidir. Delillendirmede en hayati nokta; gelen sahte elektronik postanın kağıt çıktısının mahkemeye sunulması değil, elektronik versiyonunun savcıya ya da mahkemeye sunularak üzerinde bilirkişi incelemesi yaptırılmasıdır. Ayrıca sahte postanın yönlendirdiği web sitesine ilişkin bilgilerin ve yine sahte elektronik postanın gönderildiği servis sağlayıcısından alınacak bilgilerin dosyaya konulması gerekir.

Dünya, phishing eylemine hazırlıksız yakalandığından dolayı bunu açıkça suç olarak düzenleyen bir yasa maddesi yok. Ancak ABD’de “The Anti–Phishing Act” olarak adlandırılan ve Senatör Patrick Leahy tarafından sunulan yasa tasarısı ile ülkede büyük finansal kayıplara yol açan sahte elektronik posta eylemleri ve bilişim suçları önlenmek isteniyor. Bu suç karşısında diğer ülkelerin genel eğilimi de ceza yasalarındaki bilişim suçlarını düzenleyen hükümlerden faydalanmak yönündedir.

Önlemler konusunda son olarak söylemek gerekir ki: bir virüs ve firewall programının en güncel sürümünün yokluğunda internete dahi girmemenin en doğrusu olacağı hatırdan çıkarılmamalıdır: aksi davranış gece evinizde yatarken sokak kapınızı açık bırakmakla eş olacaktır.[4]

TCK’daki durum :

Türk Ceza Kanunu kredi kartlarının kötüye kullanılması ile ilgili olarak özel bir madde sevketmiştir. 245. madde kredi kartlarının usulsüz kullanımını düzenleyen özel bir madde olduğundan, bu özel madde dışında genel hükümlerle ceza verilmesi mümkün değildir.

Banka veya kredi kartlarının kötüye kullanılması başlıklı TCK md. 245’in birinci fıkrasında, başkasına ait bir kredi ya da banka kartını ele geçirmek veya elde bulundurmak, sahibinden izinsiz kullanmak, ikinci fıkradaysa; sahte kart üretmek, devretmek, satmak, üçüncü fıkrada ise sahte olarak oluşturulan kartı haksız yere kullanılmak gibi eylemler tanımlanarak bunların cezalandırılacağı hükme bağlanmıştır. Madde fıkraları iyi değerlendirildiğinde, ortada fiziki olarak gerçek bir kart veya fiziki olarak sahte üretilmiş bir kart olması gerektiği anlaşılacaktır. Yani, sadece kart numarasının bulunması, kullanılması, bir ürün satın alınması kesinlikle suç değildir. Türk Ceza Kanunu hazırlanırken bu husus, bir çok akademisyen tarafından eleştirilmiş ancak kanun koyucular tarafından bu konu dikkate alınmamıştır. Ne olursa olsun, 245. maddedeki suçun işlenmiş sayılması için ya gerçek bir kredi kartı bulunmalı, ya da sahtesi oluşturulmuş bir kredi kartı olmalıdır. Gerçek bir kart ya da sahtesi imal edilmiş bir kartın bulunmadığı hallerde normu uygulayan yargıcın bu durumu gözetmesi gerektiği açıktır.

TCK md. 245’deki bu suçlara ilişkin dosyaların Asliye Ceza Mahkemelerinde görülmeleri gerekir. Öyle ki 5235 sayılı Kanun’un 14. Maddesine göre mahkemelerin görevlerinin belirlenmesinde ağırlaştırıcı veya hafifletici nedenler gözetilmeksizin kanunda yer alan suçun cezasının üst sınırı göz önünde bulundurulur ve aynı kanunun asliye ceza mahkemesinin görevini düzenleyen 11. Maddesine göre de kanunların ayrıca görevli kıldığı haller saklı kalmak üzere, sulh ceza ve ağır ceza mahkemelerinin görevleri dışında kalan dava ve işlere Asliye Ceza Mahkemelerince bakılır.

Ancak bu suçla benzer olan banka veya kredi kartı kullanmadan kişilerin hesap numaralarını veya şifrelerini öğrenerek hesaplarından para çekilmesine veya internetten banka ve kredi kart numaralarının öğrenilerek alışveriş yapılmasına TCK 245 uygulanmayacak, bunlara 142/2. maddedeki hırsızlık ve 158. Maddedeki dolandırıcılık hükümleri uygulanacaktır.

Sisteme yanlış veya eksik bilgiler verilmek sureti ile faile yarar sağlayacak şekilde veriler elde edilmek üzere girişilen eylemlere bilgisayar dolandırıcılığı denilmektedir. Ancak bilgisayarlar insanlar gibi irade sahibi oluşumlar olmadıklarından, iradesi etkilenip, hile, yalan ve desise ile yanıltılamayacaklarından bu eylemler klasik dolandırıcılık cürümünün unsurlarını oluşturamazlar.

Nitelikli dolandırıcılık başlıklı TCK md. 158/1’deki “Dolandırıcılık suçunun; bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi halinde, iki yıldan yedi yıla kadar hapis ve beşbin güne kadar adli para cezasına hükmolunur. “ şeklindeki hüküm açıktır. Ancak dolandırıcıIık suçunun işlenebilmesi için eylemin gerçek insan ya da insanlara yönelmiş olması gerekir, fail sadece sistemi aldatmaya yönelik harekette bulunmuşsa TCK md. 244/3 uygulanabilir. TCK md. 244/1 de anılan “Bir bilişim sisteminin işleyişini engellemek veya bozmak ve 2. Fıkrada anılan “Bir bilişim sistemindeki verileri bozmak, yok etmek, değiştirmek veya erişilmez kılmak, sisteme veri yerleştirmek, var olan verileri başka bir yere göndermek fiillerinin 3. Fıkraya göre bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır. Aynı maddenin son fıkrası ise diğer fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başkaca bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur diyerek hükmün amacını ortaya koymuştur.

Kredi kartlarına ilişkin suçların işlenme şekillerinden ötürü: zincirleme suç mefhumunu düzenleyen TCK 43’ü de incelemek yerinde olacaktır: bir suç işleme amacının gerçekleştirilmesi için değişik zamanlarda bir kişiye ya da mağduru belli bir kişi olmayanlara karşı aynı suçun birden fazla işlenmesi durumunda, bir cezaya hükmedilir. Ancak bu ceza, dörtte birinden dörtte üçüne kadar artırılır. Bir suçun temel şekli ile daha ağır veya daha az cezayı gerektiren nitelikli şekilleri, aynı suç sayılır. Aynı suçun birden fazla kişiye karşı tek bir fiille işlenmesi durumunda da, birinci fıkra hükmü uygulanır.

Ayrıca bir eylemle TCK’nun bir maddesinde anılan birden fazla suç gerçekleştirilebilir. Bu durumda Ceza Hukuku genel teorisine göre karma suç kapsamında birden fazla suç oluşmaz, en ağır cezası olan suçun cezası verilir, “her bir suç ayrı ayrı işlendi” denerek ayrı cezalar verilemez.

Stj. Av. Serhat Koç

Kaynakça:

[1]http://www.bartin.pol.tr/emn/index.php?option=com_content&task;=view&id;=482&Itemid;=9

[2] http://turk.internet.com/haber/yazigoster.php3?yaziid=10920

[3] http://www.olympos.org/belgeler/turkiyede-phishing-126266.html

[4] http://www.olympos.org/belgeler/phishing/phishing-rehberi-126276.html

 

Yararlanılan Kaynaklar:

http://www.antiphishing.org/

http://mali.iem.gov.tr/index.php?option=com_content&task;=view&id;=36

http://www.atonet.org.tr/turkce/bulten/bulten.php3?sira=303

http://turk.internet.com/haber/yazigoster.php3?yaziid=10920