Türkiye’de siber suç soruşturmaları – Sözlük
Genel
İnternet ve bilişim teknolojilerinin giderek hayatımızın büyük bir parçası haline gelmesi avantaj ve dezavantajlarına sahiptir. Bağlanmak daha kolay ve bankacılık, yatırım ve alışveriş gibi birçok işlem çevrimiçi olarak yapılabilirken, tüm verilerimiz bilgisayarlarda ve çevrimiçi olarak saklandığından insanlar siber suçlara karşı daha savunmasızdır.
Oxford Sözlüğü siber suçu şöyle tanımlar: “İnternet kullanılarak işlenen bir suç, örneğin birinin kişisel veya bankacılık verilerini çalmak veya bilgisayarına virüs bulaştırmak”[1]. Elbette, İnternet ve bilgi teknolojisinin artan önemi ile birlikte, failler başkalarından bilgi elde etmek için daha karmaşık ve takip edilmesi daha zor yöntemler bulmuşlardır.
Bu makale, Türk hukukunda düzenlenen başlıca siber suç türlerini, en yaygın siber dolandırıcılık yöntemlerini ve bu suçların Türkiye’de nasıl soruşturulacağını tanıtmayı amaçlamaktadır.
Türk yasalarına göre düzenlenen siber suçlar
5237 Sayılı Türk Ceza Kanunu (“TCK”) en yaygın siber suç türlerini düzenler. Nitekim E-Ticaret Kanunu’nun 10. Bölümü “Bilgi Sistemlerine İlişkin Suçlar” başlığını taşımaktadır.
Bu bölümdeki ilk suç, Elektronik Ticaret Kanunu’nun 243. maddesi uyarınca “Bilgi Sistemine Erişim” başlığını taşımaktadır. Bu nedenle, bir bilgi sistemine kısmen veya tamamen hukuka aykırı olarak giren veya bu sistemde kalan kişi bir yıla kadar hapis veya adli para cezası ile cezalandırılır. Bu fiillerin ücretli olarak erişilebilen bir sistemle bağlantılı olarak işlenmesi veya bu fiiller nedeniyle herhangi bir verinin silinmesi veya değiştirilmesi halinde, fail altı aydan iki yıla kadar hapis cezası ile cezalandırılır. Bir bilgi sistemi içinde veya bu sistemlere erişimi olmayan teknik cihazlarla bilgi sistemleri arasındaki veri aktarımlarını izleyenler bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.
“Sistemin çalışmasının engellenmesi ve verilerin silinmesi, değiştirilmesi veya yok edilmesi” başlıklı 244. madde, bilgi sisteminin çalışmasının engellenmesini veya bu sistemin işlevsiz hale getirilmesini suç olarak düzenlemekte ve bir yıldan beş yıla kadar hapis cezası öngörmektedir. Verilerin silinmesi, değiştirilmesi, bozulması veya bunlara erişimin engellenmesi, bir sisteme veri girişi veya başka bir yerde bulunan verilerin iletilmesi altı aydan üç yıla kadar hapis cezasına tabidir. Bu fiillerin banka, kredi kuruluşu veya kamu kurumu sistemine karşı işlenmesi hâlinde, verilecek ceza yarı oranında artırılır.
Unutulmamalıdır ki, yukarıda sayılan suçları işleyen faillerin çoğu genellikle aynı zamanda özel hayatın gizliliğinin ihlali, iletişimin gizliliğinin ihlali, hukuka aykırı veri toplama, hırsızlık vb. başka suçları da işlemektedir.
E-Ticaret Kanunu’nun 245. maddesi bankaların veya kredi kartlarının kötüye kullanılmasını düzenlemektedir. Buna göre, hak sahibinin muvafakati olmaksızın bir başkasını elinde bulundurarak, bulundurarak veya kullandırarak veya başkasının kredi veya banka kartını başkasına kullandırarak veya kullandırarak kendisi veya başkaları için her ne suretle olursa olsun menfaat sağlayan kişi hapisle cezalandırılır. üç yıldan altı yıla kadar ve beşbin güne kadar adli para cezası. Bu arada, başkasının hesabına ait sahte kredi veya banka kartı üreten, devreden, satan, kabul eden veya satın alan kişi üç yıldan yedi yıla kadar hapis ve on bin güne kadar adli para cezası ile cezalandırılır.
Dolandırıcılık en yaygın ve zararlı siber suçtur. Türk Ceza Kanununun “Dolandırıcılık” başlıklı 157. maddesine göre, hileli davranışlarla başkasını aldatan, kendisine veya başkalarına menfaat sağlayan ve mağdurun veya başkasının zararına neden olan kişi, Beş yıl. hapiste. 158. madde, “bilgi sistemleri, bankalar ve kredi kuruluşları kullanarak dolandırıcılık yapmak” da dahil olmak üzere ağırlaştırılmış dolandırıcılık biçimlerini düzenlemektedir. Bu durumda fail dört yıldan on yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır. Ancak verilecek adlî para cezası, suçtan elde edilen faizin iki katından az olamaz.
Siber suçların en yaygın yöntemleri
Hemen hemen tüm kurum ve şirketler bir şekilde internete bağlı olduklarından, kötü niyetli siber saldırılara kolayca av olabilirler. En yaygın siber saldırılardan bazıları fidye yazılımı saldırıları, kimlik avı ve ortadaki adam saldırılarıdır.
fidye yazılımı Bir bilgisayara bulaşan ve kullanıcıların sistemlerine ve verilerine erişmesini engelleyen kötü amaçlı yazılım veya kötü amaçlı yazılım. Genellikle ekranda sisteme erişimi yeniden sağlamak için ücret ödenmesini isteyen bir mesaj görüntülenir. Ödemeyi seçen kişinin gerçekten bir bilgisayar şifre çözme alacağının garantisi yoktur. Fidye yazılımlar, Türk Ceza Kanunu’na göre ağırlaştırılmış bir “dolandırıcılık” ve “sistemin işleyişini engelleme ve verileri silme, değiştirme veya bozma” biçimlerini içermektedir.
orta atakta adam Aynı suçluyu, diğer tarafla iletişim kurmak için bir tarafın bilgi ve posta sistemlerine erişerek iki taraf arasında bir konuşmaya sokmayı içerir. Failler genellikle bankaların ve şirketlerin sistemlerine girer ve bağlı kuruluşlardan veya müşterilerden görünüşte meşru ödemeler talep eder. Bu isteklerin alıcıları, gerçek göndericilerle değil, saldırganlarla konuştuklarının farkında olmadan, isteklere uyarlar ve bilgisayar korsanlarının hesaplarına para gönderirler. Ortadaki adam saldırısı, Türk Ceza Kanunu’na göre ağırlaştırılmış bir “dolandırıcılık” ve “bilgi sistemine erişim” biçimlerinden oluşuyor.
e-dolandırıcılık Mağdurun posta, telefon, sosyal medya vb. aracılığıyla iletişim aldığı ve kişisel bilgilerini paylaşmaya özendirdiği bir yöntemdir. Tipik olarak, suçlu, bir yetkili veya kuruluş gibi mağdurun tanıdığı birini taklit ederken veya mağdurun bilgisayarına ve verilerine erişmesini sağlayan bir URL’ye tıklaması için mağduru kandırırken bir ödeme talep eder. Kimlik avı, Türk Ceza Kanunu uyarınca ağırlaştırılmış bir “dolandırıcılık” biçiminden oluşur.
Genellikle işletmeleri ve kuruluşları hedef alan en popüler kimlik avı dolandırıcılığı, suçlunun mağdurun iş ortağı, iştiraki veya müşterisi gibi davrandığı ve e-posta yoluyla ödeme talep ettiği “iş e-postası ele geçirilmesidir”. E-posta adresinin etki alanı, gerçek varlığın etki alanından (örneğin, bir karakter değişikliği) genellikle biraz farklıdır, bu nedenle kurban saldırıyı tanımaz. Postaya eklenen faturalar genellikle o kadar gerçekçi, ancak sahtedir ki, kurban postayı gönderenin gerçek kimliğinden şüphelenmez bile.
Türkiye’de siber suçlarla nasıl başa çıkıyorsunuz ve nasıl araştırılıyor?
Bir şirket dolandırıldığında ve Türkiye’deki bir banka hesabına para göndermeye özendirildiğinde veya siber saldırı yoluyla veri hırsızlığı sonucu hesaplardan para çekildiğinde ne olur? Saldırı devam ediyorsa elbette öncelik onu durdurmak olmalıdır. Ardından, siber saldırının durumuna ve türüne bağlı olarak, mağdurlara etkilenen bilgisayarların ve kayıtların adli bir görüntüsünü oluşturmalarını, e-posta yazışmalarının ekran görüntülerini kaydetmelerini ve işlemlerin banka kayıtlarını almalarını öneriyoruz.
Hem gönderen hem de alan bankalara dolandırıcılık bildiriminde bulunmak ve suç duyurusunda bulunmak çok önemlidir. Savcılık, alıcı bankaya bir senet mektubu gönderirse, bankanın hesabı geçici olarak bloke etmesi olasıdır. Bu adımı erken bir aşamada almak, suçlunun parayı geri çekmesini önleyecektir.
Ancak, bu belirsiz ve geçici bir prosedürdür. Soruşturma sırasında bir banka hesabına el konulması için haciz kararının alınması gerekir. Ceza Muhakemesi Kanunu’nun 128. maddesine göre, soruşturma konusu bir suçun işlendiğinden şüphelenmek için sebeplerin bulunması halinde banka hesaplarına el konulabilecek.
Bu çok ihtiyatlı bir önlemdir. Buna göre aynı maddede, suç gelirlerine ilişkin olarak yetkili makamdan rapor alınması gerektiği hükme bağlanmıştır. Bu durumda, söz konusu raporun Bankacılık Düzenleme ve Denetleme Kurumu tarafından alınması gerekir, bu da uzun sürebilen ve failin parayı geri çekmesini önlemek için çok geç olabilir.
Bu nedenle suçun soruşturulması sırasında, davanın konusuna ilişkin olarak yetkili mahkemeye başvuruda bulunulması ve Hukuk Muhakemeleri Kanunu’nun 390. maddesi uyarınca ihtiyati tedbir kararı alınması önem arz etmektedir.TBM). Geçici tedbirin şartları Ceza Muhakemesi Kanunu’nun 389 ve 390. maddelerinde düzenlenmiştir. Buna göre, (i) bir hakkın elde edilmesinin daha zor veya imkansız olacağı veya (ii) gecikme nedeniyle ciddi bir zararın meydana geleceği gösterilmelidir. Başvuran, davayı esas yönünden de ileri sürmekte haklı olduğunu kabaca ispat etmelidir. Geçici tedbir kararı genellikle başvurunun yapılmasından kısa bir süre sonra verilir.
Geçici mahkeme kararı alındıktan sonra hesaptan para çekilemez. Ceza Muhakemesi Kanunu’nun 397. maddesi uyarınca ihtiyati tedbir talebinden itibaren iki hafta içinde zarardan doğan zararın tazmini talebinin yapılması gerektiğini, aksi takdirde ihtiyati tedbir kendiliğinden iptal edildiğini belirtmek gerekir.
Bu arada, Cumhuriyet Başsavcılığının Polis Gücü Siber Suçlarla Mücadele Birimi ile yakın işbirliği içinde çalışarak şüphelinin/zanlıların yakalanması ve ifadelerinin alınmasıyla ceza soruşturması devam edecek. Şüphelilerin kimliği tespit edilemediği takdirde, Başsavcılık, gerekirse kayıtları ortaya çıkaran ve IP adreslerini izleyen bir bilirkişi raporu alarak şüphelinin kimliğini ortaya çıkarmaya çalışacaktır.
Soruşturma sonunda Cumhuriyet savcısı bilişim suçlarının işlendiğine dair yeterli şüphenin bulunduğu kanaatinde ise kamu davası açar. Aksi takdirde davacının itiraz edebileceği kovuşturmaya yer olmadığı gerekçesiyle karar verirler.
Anlaşılacağı gibi, savcılıklar ve ceza mahkemeleri resen delil toplamak zorunda olsalar bile, şikayette bulunmadan önce mümkün olduğunca çok sayıda belge ve kayıt toplamak yine de önemlidir, çünkü savcının gerekçesiz bir tespit sunma şansını azaltır. Soruşturma. Ayrıca yukarıda açıklandığı üzere ihtiyati tedbir kararı verilirken yaklaşık olarak davanın esasının hukuka uygunluğunun kanıtlanması açısından da gereklidir.
Başsavcı, kamu davası açmak için olayları ve toplanan delilleri özetleyen ve suçları ve yargılanacak şüphelileri özetleyen bir iddianame düzenler. Duruşma, davanın açıldığı suça göre ya Asliye Ceza Mahkemesi’nde ya da Ağır Ceza Mahkemesi’nde görülür.
Böylece siber saldırı için bir hukuk davası ve bir ceza davası açılacak. Hukuk davası failden tazminat talep etmeyi, ceza davası ise onu cezalandırmayı amaçlar. Ceza mahkemesi suçluyu mahkum etmişse, hukuk mahkemesi davacı lehine karar verme eğilimindedir. Bu, her iki durumun da dikkatli ve dikkatli bir şekilde takip edilmesi gerektiği anlamına gelir.
Çözüm
İnsanlar internete ve bilgisayarlara daha bağımlı hale geldikçe, daha fazla veri paylaşırken, bilgisayar korsanları hem bireylere hem de işletmelere büyük zarar veren çeşitli siber saldırı yöntemleri geliştiriyor. Failler genellikle kurbanları hesaplarına para aktarmaya ikna eder. Saldırı tespit edildikten sonra, suçlunun para çekememesi için alıcı hesabın bloke edilmesi çok önemlidir.
Görünen o ki, doğru adımları erken bir aşamada takip etmek, mağdur için çok fazla zaman ve para tasarrufu sağlayabilir. Türkiye’de hukuk ve ceza yargılaması prosedürleri genellikle paralel ilerler, bu nedenle gereksiz zararlardan kaçınmak için doğru iddia ve dosyaların sunulması önemlidir. Bu nedenle, eksiksiz bir hizmet sunacak ve tüm süreç boyunca size yardımcı olacak hukuk uzmanlarıyla çalışmak çok önemlidir.
“Web hayranı. Tipik düşünür. İçine kapanık. Amatör iletişimci. Pop kültürü meraklısı.”