Telefon dolandırıcılıkları biraz hız kesmiş gibi görünmekle birlikte, bugünlerde SMS ya da WhatsApp üzerinden bazı dolandırıcılıkların yükseldiğini görüyoruz. Bu konuda birkaç yazı ile online dolandırıcılıkların farklı yönlerine bakacağız. Bu bölümde özellikle operatörlerin dediklerine bakalım.

Ülkemizdeki online dolandırıcılar neden bu kadar cüretkâr?

Online dolandırıcılıklar tüm dünyada vites büyüttü ama ülkemizde daha farklı bir eğilim var. Online dolandırıcıların gayet cüretkâr hale geldiklerini görüyoruz. Çeşitli seferlerde görüştüğüm banka yetkilileri, e-ticaret firmaları, SMS firmaları, telekom operatörleri hep "sürece yönelik eksikler"den bahsediyorlar. Online dolandırıcılar da bu eksikliklerden faydalanıyorlar.

İlgili tarafların (kolluk, yargı, operatörler, bankalar, yasa yapıcı) koordine olamadığı, mevzuat açısından eksiklikler olduğu ilgili herkes tarafından söyleniyor. Taraflar arasında koordinasyon, teknik bilgi ve farkındalık eksikliği bulunduğu için dolandırıcılar cirit atıyor. Elverişli vatandaşları giderek daha kolay kandırıyorlar. Mağduriyetler artıyor.

Bu bazen "İcrada dosyanız var" diyen bir SMS oluyor, bazen bir sahte romantik ilişki oluyor, bazen çok ucuz gibi gözüken bir alışveriş imkanı, bazen çok cazip bir iş teklifi ve tabii ki daha çok "Alaaddin'in sihirli lambası" gibi gözüken yatırım olanakları oluyor. Telefonla arayıp, polis-jandarma pozunda size "terör örgütü" soslu hikâyeler anlatanlar da cabası.

Siber güvenlik ile proaktif uğraşan yapı yok

İlgili tarafların eksikliğini duyduğu en önemli şey, hızlı çözüm oluşturacak bir siber güvenlik yapılanması.

BTK altında USOM (Ulusal Siber Olaylara Müdahele Ekibi) var ama sadece bir cins postacı gibi çalışıyor. Yani açıkları ya da yeni açık yamalarını, internet firmalarına raporluyor. Ama dolandırıcılıkları çözecek ya da istihbarat edecek bir kabiliyeti gözükmüyor.

Polisin içinde de bir bölüm olduğunu biliyoruz ama onlar da başvurulduğunda, harekete geçmek açısından hukuk tarafından hareket bekliyorlar.

Hukuk tarafında ise yeterli teknik bilgi olmadığı anlaşılıyor. Örneğin araştırdığım bir dolandırıcılıkta, bankadan alınan IP'nin, ISP'ye sorulduğunu, orada bazı nedenlerle çözüm bulunamadığında sürecin tıkandığını ama aslında biraz koordinasyon ile çözülebileceğini gördük.

Bu nedenle de dolandırıcılar son derece cüretkâr. Ortalıkta fink atıyorlar. Durumu birkaç kere ilgili çeşitli taraflarla konuşmuşluğum var. Bu olayların hemen hepsinde, kurumlar kabahati birbirinin üzerine atıyor. Sonuç olarak olan halka oluyor.

Siber suçlular birkaç katlı bir yapı. Kendilerini her gün geliştiriyorlar, yeni yöntemler geliştiriyorlar ama halkı koruyacak bir şey yok. Oysa operatörler de, "Bu suçluların sonuçta bizde kaydı var. Bizim üzerimizden bu işleri çeviriyorlar. Bir kısmını farkına da varıyoruz ama hukuka sıra gelince elimiz kolumuz bağlı kalıyor" diyorlar.

E-ticaret firmalarından benzer bir şikayet var. Müşterilerinin kandırıldığını (mesela benzer domain ve web sitesi ile) gördüklerinde, hukuk onlara "Sen mağdur değilsin, mağdur olan gelsin" diyebiliyor. Halbuki e-ticaret firmasının başvurusu, sorunu suyun başında kesebilecek ama mevzuat uygun olmayınca, halkın dolandırılması sürüyor gidiyor.

Kişisel verilerin alınıp-satılması

Bu noktada, kişisel verilerin korunması tabii ki önemli bir husus. Ama bu da tersine çalışıyor. Hırsızlar şakır şukur kişisel verileri çalıyor. Buna karşılık süreçler hareket geçirilirken bazen kişisel veriler bir engel olarak ortaya çıkabiliyor. Bu noktada da mevzuatın eksiklikleri olduğunu birçok kişi söylüyor.

Örneğin Kişisel Verileri Koruma Kurulu var ama günümüzde bir duyuru merkezi görevi görüyor. Olmuş, bitmiş çalınmaları duyuruyor ama proaktif bir çalışması yok. Bunu siber güvenlik yapıları ile koordineli yapmalıydı.

Ülkemizde yüksek sesle pek çok kere kişisel verilerin çalınmasından bahsettik. Bunların çalınmasının önlenmesi ya da çalanların yakalanabilmesi konusunda önemli hiçbir hareket göremedik. Daha önce bu alışveriş içinde ilk veriyi çalan hackerdan başlamak üzere, satış yapan kişiye gelene kadar 5-6 kademe olduğunu yazmıştık.

Biz yakalanması gerek derken, son satış yapan daha bilgisiz olanlardan değil ilk çalan hırsızlardan bahsediyoruz. Bunlar e-devlete adeta musluk takmış durumdalar. Ellerindeki bazı veriler son derece güncel. Bunun önemli bir nedeni de yazılımların ara yüzleri (API). Dolayısıyla bu da bir başka sorun.

Oysa benzer bir olayda, ABD'de Menkul Kıymetler kurumu olan SEC'in Solarwinds siber saldırı olayında ilgili yazılım firmasına dava açtığını görüyoruz.

Operatörler iş birliği yapmak istiyor

Geçtiğimiz hafta meydana gelen birkaç olayla ilgili olarak konuştuğum sırada, konuyu taraflardan birine, sektörel bir dernek başkanına sordum. Süreçlerin çok daha hızlı yürütülmesi gerektiğini, dolandırıcılıkların özellikle telekom firmaları tarafında kısa sürede farkına varıldığını ama süreçte bir sürü boşluk olduğunu belirten başkan bakın neler söyledi?

- Online dolandırıcılık yapan şahıs ya da firmaları, hizmet aldıkları telekom firmaları fark edebiliyor mu? Nasıl?

STK Başkanı: Dolandırıcılar doğal olarak iletişim araçlarını ve hizmetlerini kullanıyorlar zaten mağdurlarına da iletişimle kandırarak dolandırıyorlar.

Telekom operatörleri abonelerine sürekli olarak abonelerine gelen şifreleri kimseye vermemeleri konusunda uyarıyorlar.

Bu uyarı sonucunda abonelerin bir kısmı Telekom operatörlerine kendilerine gelen şifreyi "sizin adınıza istediler" diye bilgi veriyorlar. Bu durumda Telekom operatörlerinin dolandırıcılardan haberi olabiliyor.

Bunun dışında burada açıklamamızın uygun olmayacağı çeşitli kullanım şekilleri dolandırıcıları fark etmelerini sağlıyor.

- Dolandırıcılar, sizce dolandırıcılık yapabilecekleri boşlukları nasıl fark ediyorlar?

STK Başkanı: Dolandırıcıların birçoğu bilgisayar teknolojileri konularında uzmanlaşmış kişiler Ayrıca sürekli iletişim sistemlerini kullandıkları için kullandıkları iletişim sistemlerinden doğrudan kendilerine ulaşılmayacak yapıları nasıl kurgulayacaklarını çok iyi öğreniyorlar.

Esasında soruda belirtilen boşluklar bilgi teknolojileri ve iletişim kurumu tarafından kapatıldığı için boşluktan söz etmek yerine kurgudan söz etmek daha doğru olur. Çünkü ülkemizde resmi abonelik yapılmadan iletişim hizmeti almak mümkün değildir. Kamuoyunda düşünüldüğü gibi merdiven altı firma diye bir şey söz konusu değildir iletişim hizmeti veren operatörler mevzuata aykırı hizmet vermeleri halinde kısa sürede bu durum ortaya çıkmaktadır.

O nedenle dolandırıcılıkların çoğu kandırılarak ele geçirilen aboneliklerden veya bizlerin "patates abone" dediği her şey gerçek ama aboneliği yapan kişilerin sorumluluk bilincinde olmayanlardan oluşan aboneliklerdir. Son zamanlarda buna özellikle kullanıcıların internet web tarayıcılarına girdikleri ve kaydettikleri şifreleri toplayan ve İnternet ortamında açık olarak yayımlanan durumların etkisi de önemli ölçüde problemi artırmıştır. (Bu konu çok önemli olup, tüm internet kullanıcıların web browserlerine kaydettikleri şifreleri en kısa sürede mutlaka değiştirmelerini öneriyoruz.)

- Bu dolandırıcılar, nasıl dolandırıcılık işleri yapıyorlar? Kullandıkları kişisel verileri nereden buluyorlar?

STK Başkanı: İnternette gezen bu bilgiler son zamanlarda kişisel verilere ulaşmalarının ana unsurlarından olmuştur.

Özellikle SMS gönderimlerinde ise excel ortamında ürettikleri numaralara SMS göndermeleri söz konusu olduğu için kişisel verileri bilmelerine de çok gerek yoktur.

Telekom operatörlerine giren tüm personelin güvenlik ve adli kayıtları BTK ya bildirilmektedir. Dolayısıyla personel güvenliği için de önlemler alınmaktadır.

Dolandırıcılık temelinde kandırma, kurgu, menfaat veya korkutma vardır. Bu durum esasında hayatın her kademesinde söz konusu olabilmektedir.

İletişim kanalları kullanılarak çok sayıda kişi kısa süre içerisinde çeşitli kurgularla manipüle edilebilmektedir. Dolayısıyla dikkat çekicidir.

- Fark ettiğiniz dolandırıcı şahıs/firma olduğunda telekom operatörü olarak nasıl davranıyorsunuz?

STK Başkanı: Esasında iletişim hizmeti veren telekom operatörlerinde dolandırıcıların izleri söz konusudur. Demek istiyorum ki adli ve emniyet mercileri, telekom operatörleri ile hızlı davranacak şekilde bir iş birliğine girerlerse dolandırıcıları yakalamak söz konusu olur.

Bu konuda operatörler arasında kurduğumuz online iletişim kanalları ile hızlı aksiyon alarak oluşan dolandırıcılık ve firmalarımıza iletilen olaylara müdahale ederek dolandırıcılık vakasına karışan abonelikleri hızlıca geçici sürelerle bloke ediyoruz. Yapılan uygulamaya göre gerek BTK USOM'a bildirerek gerekse kendi Fraud ekiplerimize ulaşarak gerekli önlemleri alıp tüketicileri korumaya çalışıyoruz.

Burada BTK'nın öncülüğünde yapılması gereken önemli konulardan birisi numara taşıma sistemine benzer şekilde tüketicinin giriş yapabileceği ve kendi iletişim numarasına yasaklayacağı arayan numara engelini sağlayacak haberleşme gelmesin uygulaması toplumu rahatlatacaktır.

- Peki, sizce ne yapmak lazım?

STK Başkanı: Dolandırıcıların yakalanması için mutlaka telekom operatörlerinden oluşturulacak bir ekip ile büyük şehirlerde savcı hakim polis üçlüsünden oluşturulacak ve hızlı hareket edebilecek özel ekiplerin koordineli çalışması çok faydalı olacaktır. Üç ay içerisinde de toplumdaki iletişim kanallarını kullanarak yapılan yaygın dolandırıcılık vakaları asgariye düşecektir.

Bu dosyaya siber suçların farklı yönlerini göstererek devam edeceğiz.