SİBER SUÇLAR

SİBER SUÇLAR

                                   Hazırlayan Okullar:

             Ayşe ARSLAN – Sabiha Gökçen MTAL

            Halenur ÖZTÜRK – Ulubatlı Hasan Anadolu Lisesi

Siber suç nedir?

Siber suç bilgisayar, bilgisayar ağı veya ağa bağlı bir cihazı hedef alan veya kullanan tüm suç faaliyetleridir. Siber suçların çoğu, para kazanmak isteyen siber suçlular veya bilgisayara korsanları tarafından gerçekleştirilir. Ancak, zaman zaman siber suçlar kazanç sağlamaktan başka amaçlarla bilgisayarlara zarar vermeyi hedefler. Bunlar siyasi ya da kişisel olabilir.

Siber suçlar, bireyler veya gruplar tarafından gerçekleştirilebilir. Bazı siber suçlular organize hareket eder, gelişmiş teknikler kullanır ve yüksek teknik beceriye sahiptirler. Diğerleri ise acemi bilgisayar korsanlarıdır.

Farklı siber suç türleri nelerdir?

Siber suç türleri şunları içerir:

• E-posta ve internet dolandırıcılığı.
• Kimlik dolandırıcılığı (kişisel bilgilerin çalınması ve kullanılması).
• Finans veya kart bilgilerinin çalınması.
• Kurumsal verilerin çalınması ve satılması.
• Siber gasp (saldırı tehdidinde bulunularak para istenmesi).
• Fidye yazılımı saldırıları (bir tür siber gasp).
• Kötü niyetli kripto madenciliği (bilgisayar korsanlarının sahip olmadıkları kaynakları kullanarak kripto para madenciliği yapması).
• Siber casusluk (bilgisayar korsanlarının devlet veya şirket verilerine sızması).
• Ağı tehlikeye atacak şekilde sistemlere müdahale etme.
• Telif hakkını ihlal etme.
• Yasa dışı kumar.
• Yasa dışı ürünleri çevrimiçi olarak satma.
• Çocuk pornografisi talebinde bulunma, üretme ve bulundurma.

Siber suçlar, aşağıdakilerden birini veya her ikisini içerir:

• Virüsler ve diğer türde kötü amaçlı yazılımlar kullanarak bilgisayarları hedef alansuç faaliyetleri.
• Başka suçlar işlemek için bilgisayarları kullanan suç faaliyetleri.

Bilgisayarları hedef alan siber suçlular, cihazlara zarar vermek veya çalışmalarını durdurmak için onlara kötü amaçlı yazılım bulaştırabilir. Ayrıca verileri silmek veya çalmak için kötü amaçlı yazılımları da kullanabilirler. Veya siber suçlular kullanıcıların bir web sitesini veya ağı kullanmasını veya bir işletmenin müşterilerine yazılım hizmeti sağlamasını engelleyebilir (Hizmet Engelleme (DoS) saldırısı).

Bilgisayarları başka suçlar işlemek için kullanan siber suçlar, kötü amaçlı yazılımları, yasa dışı bilgileri veya yasa dışı görüntüleri yaymak için bilgisayarları veya ağları kullanabilir.

Siber suçlular genellikle bu ikisini aynı anda yapar. Önce virüslerle bilgisayarları hedefleyebilir ve ardından bunları kötü amaçlı yazılımları diğer makinelere veya bir ağ üzerinden yaymak için kullanabilirler. Bazı yargı bölgeleri, bir bilgisayarın suçun gerçekleştirilmesi için araç olarak kullanıldığı üçüncü bir siber suç kategorisi de tanımlamaktadır. Çalınan verileri depolamak için başka bir bilgisayarın kullanılması bu duruma örnek gösterilebilir.

Siber suç örnekleri

Siber suçluların kullandığı farklı siber suç saldırı türlerinin bazı bilinen örnekleri şunlardır:

Kötü amaçlı yazılım saldırıları

Kötü amaçlı yazılım saldırısı, bir bilgisayar sistemine veya ağa bilgisayar virüsü veya başka tür kötü amaçlı yazılımların bulaştığı saldırı türüdür. Kötü amaçlı yazılım tarafından ele geçirilen bir bilgisayar, siber suçlular tarafından çeşitli amaçlarla kullanılabilir. Gizli verilerin çalınması, diğer suç eylemlerini gerçekleştirmek için bilgisayarın üs olarak kullanılması veya verilere zarar verilmesi bu amaçlardan birkaçıdır.

Mayıs 2017’de işlenen küresel bir siber suç olan WannaCry fidye yazılımı saldırısı, kötü amaçlı yazılım saldırısının ünlü bir örneğidir. WannaCry, kurbanın verilerini veya cihazını fidye için rehin tutarak para sızdırmaya çalışan bir fidye yazılımı, kötü amaçlı yazılım türüdür. Fidye yazılımı, Microsoft Windows yüklü bilgisayarlarda bir güvenlik açığını hedef aldı.

WannaCry fidye yazılımı saldırısı, 150 ülkede 230.000 bilgisayarı etkiledi. Bu saldırıda kullanıcıların dosyaları kilitlendi ve dosyalarını kurtarabilmeleri için kullanıcılardan Bitcoin türünde fidye ödemeleri istendi.

WannaCry siber suçunun dünya genelinde 4 milyar dolarlık finansal kayba yol açtığı tahmin ediliyor. Bugüne dek, saldırı, büyüklüğü ve etkisi ile öne çıkıyor.

Kimlik Avı

Kimlik avı kampanyası, kişileri güvenliklerini zayıflatan bir işlem yapmaları için kandırmak amacıyla istenmeyen e-postaların veya diğer iletişim türlerinin gönderilmesidir. Kimlik avı kampanyası mesajları, virüslü ekler veya kötü amaçlı sitelere bağlantılar içerebilir veya alıcıdan gizli bilgilerle yanıt vermesini isteyebilir.

Ünlü bir kimlik avı dolandırıcılığı örneği, 2018’deki Dünya Kupası sırasında gerçekleşti. Raporumuza göre, 2018 Dolandırıcılık Dünya Kupası, Dünya Kupası kimlik avı dolandırıcılığında, futbol taraftarlarına e-postalar gönderilmişti. Bu istenmeyen e-postalarla, Dünya Kupasına ev sahipliği yapan Moskova’ya sahte ücretsiz gezilerle taraftarlar kandırılmaya çalışıldı. Bu e-postaları açıp bağlantılara tıklayan kişilerin kişisel verileri çalındı.

Başka bir kimlik avı kampanyası türü de hedef odaklı kimlik avı olarak bilinir. Bunlar, belirli kişileri çalıştıkları kurumun güvenliğini tehlikeye atmaları için kandırmaya çalışan hedef odaklı kimlik avı kampanyalarıdır.

Çok genel bir stili olan toplu kimlik avı kampanyalarının aksine, hedef odaklı kimlik avı mesajları genellikle güvenilir bir kaynaktan geliyormuş gibi görünecek şekilde oluşturulur. Örneğin, CEO veya BT yöneticisinden geliyormuş gibi görünmeleri sağlanır. Sahte olduklarını gösteren herhangi bir görsel ipucu içermeyebilirler.

Dağıtılmış DoS saldırıları

Dağıtılmış DoS saldırıları (DDoS), siber suçluların bir sistemi veya ağı çalışmaz hale getirmek için kullandıkları bir siber suç saldırısı türüdür. Bazen DDoS saldırılarını başlatmak için bağlı IoT (Nesnelerin İnterneti) cihazları kullanılır.

DDoS saldırısı, standart iletişim protokollerinden birini kullanarak sisteme yüksek sayıda bağlantı isteği gönderip sistemin kaldıramayacağı işlem yüküyle boğulmasına neden olur. Siber gasp gerçekleştiren siber suçlular, DDoS saldırı yöntemini kullanarak para talep edebilir. DDoS saldırısı, diğer türde siber suçlar gerçekleştirilirken dikkat dağıtma taktiği olarak da kullanılabilir.

Bu tür saldırıların meşhur bir örneği, İngiltere Milli Piyango web sitesine yapılan 2017 DDoS saldırısıdır. Bu saldırı sonucunda, piyango idaresinin web sitesi ve mobil uygulaması çöktü, İngiliz vatandaşları uzun bir süre şans oyunları oynayamadı. Saldırının nedeni bilinmezken, Milli Piyango’ya şantaj girişimi olduğundan şüpheleniliyor.

Siber suçların etkisi

Genel olarak siber suçlar yükselişte. Accenture Siber Güvenlik Direnci Durumu 2021 raporuna göre, güvenlik saldırıları 2020 ile 2021 arasında %31 arttı. Şirket başına saldırı sayısı yılda 206’dan 270’e yükseldi. Şirketlere yönelik saldırılar, birçoğu müşterilerden gelen hassas verileri ve kişisel bilgileri sakladığından bireyleri de etkiler.

Sigorta şirketi Hiscox’agöre, ister veri ihlali, kötü amaçlı yazılım, fidye yazılımı veya DDoS saldırısı olsun, tek bir saldırı her büyüklükteki şirketlere ortalama 200.000 dolara mal oluyor ve etkilenen birçok şirket saldırıdan sonraki altı ay içinde iş yapamaz hale geliyor.

Javelin Strategy & Research, 2021’de bir Kimlik Dolandırıcılığı Çalışması yayınladı ve bu yıl için kimlik sahtekarlığı kayıplarının toplamda 56 milyar dolar olduğunu buldu.

Hem bireyler hem de şirketler için siber suçların etkisi derin olabilir – öncelikle finansal hasar, aynı zamanda güven kaybı ve itibar kaybı.

Siber suçlara karşı kendinizi koruma

Yaygınlığı göz önüne alındığında, siber suçları nasıl durduracağınızı merak ediyor olabilirsiniz. Bilgisayarınızı ve kişisel verilerinizi siber suçlardan korumak için bazı mantıklı ipuçları:

Yazılımınızı ve işletim sisteminizi güncel tutun

Yazılımınızı ve işletim sisteminizi güncel tutmak, bilgisayarınızı korumak için en yeni güvenlik yamalarından faydalanmanızı sağlar.

Antivirüs yazılımı kullanın ve daima güncel tutun

Antivirüs veya Kaspersky Total Security gibi kapsamlı bir internet güvenliği çözümünü kullanmak, sisteminizi saldırılardan korumanın akıllıca bir yoludur. Antivirüs yazılımı, tehditleri bir sorun haline gelmeden taramanızı, tespit etmenizi ve yok etmenizi sağlar. Bu koruma, bilgisayarınızı ve verilerinizi siber suçlara karşı korumanıza yardımcı olarak içinizin rahat etmesini sağlar. En iyi seviyede koruma sağlamak için yazılımınızı güncel tutun.

Güçlü parolalar kullanın

İnsanların tahmin edemeyeceği güçlü parolalar kullanın ve bunları hiçbir yere kaydetmeyin. Alternatif olarak, güvenilir bir parola yöneticisi kullanarak güçlü parolalar oluşturabilirsiniz.

Spam e-postalardaki ekleri asla açmayın

Bilgisayarların kötü amaçlı yazılım saldırılarından ve diğer türlerdeki siber suçlardan etkilenmesinin yaygın yollarından biri, spam e-postalardaki e-posta eklerinin kullanıcılar tarafından açılmasıdır. Tanımadığınız bir göndericiden gelen bir eki asla açmayın.

Spam e-postalardaki veya güvenilmeyen web sitelerindeki bağlantılara tıklamayın

Kullanıcılar, spam e-postalar veya diğer mesajlar ya da tanınmayan web sitelerindeki bağlantılara tıkladıklarında da siber suç kurbanı olabilirler. Çevrimiçi ortamda güvende kalmak için bu bağlantılara tıklamayın.

Güvenli olmadığı sürece kişisel bilgilerinizi vermeyin

Hattın veya e-postanın güvenli olduğundan tam olarak emin olmadığınız sürece hiçbir zaman telefon veya e-posta üzerinden kişisel verilerinizi vermeyin. Karşıdaki kişinin kim olduğunu bildiğinizden emin olun.

Şüpheli taleplerle karşılaştığınızda doğrudan ilgili şirketlerle iletişime geçin

Sizi arayan bir şirketten kişisel bilgileriniz veya verileriniz istenirse, telefonu kapatın. Bir siber suçluyla değil de doğru kişiyle konuştuğunuzdan emin olmak için resmi web sitelerindeki numarayı kullanarak onları geri arayın. İdeal olarak, farklı bir telefon kullanın çünkü siber suçlular hattı açık tutabilir. Bir numarayı tekrar aradığınızı sandığınızda, bu kişiler, konuştuğunuzu sandığınız bankanın veya başka şirketin bir çalışanıymış gibi davranabilir.

Hangi web sitelerinin URL adreslerini ziyaret ettiğinize dikkat edin

Tıkladığınız URL adresleri takip edin. Gerçek ve resmi duruyorlar mı? Bilmediğiniz veya spam gibi görünen URL adreslerine sahip bağlantılara tıklamaktan kaçının. İnternet güvenliği ürününüzde çevrimiçi işlemleri güvenceye alma özelliği bulunuyorsa çevrimiçi finansal işlemleri gerçekleştirmeden önce bu özelliğin etkinleştirildiğinden emin olun.

Banka hesap özetlerinizi düzenli olarak inceleyin

Siber suç kurbanı olduğunuzun hemen farkına varmanız çok önemlidir. Banka hesap özetlerinizi inceleyin ve bilmediğiniz şüpheli işlemler görürseniz bankanızla görüşün. Bankanız, dolandırıcılığın söz konusu olup olmadığını araştırabilir.

Bilişim suçu nasıl ispat edilir?

• TCK madde 243 hükmünde düzenlenmiş olan Bilişim Sistemine Girme suçu; ikrar, mağdur beyanları, tanık beyanları, IP bildirimleri, bilgisayar kayıtlarının incelenmesi ile ispat edilebilmektedir.
• TCK madde 244 hükmünde düzenlenmiş olan Sistemi Engellemek, Bozmak, Verileri Yok Etmek Veya Değiştirmek Suçu; ikrar, mağdur beyanları, tanık beyanları, IP bildirimleri, bilgisayar kayıtlarının incelenmesi ile ispat edilebilmektedir.

• TCK madde 245 hükmünde düzenlenmiş olan Banka Veya Kredi Kartlarının Kötüye Kullanılması Suçu; ikrar, mağdur beyanları, tanık beyanları, IP bildirimi, bilgisayar kayıtlarının incelenmesi, arşivlere ilişkin fatura ve dekont, bankalara yazılan müzekkere cevapları, telefon kayıtları, HTS raporları ile ispat edilebilmektedir.
• TCK madde 245/A hükmünde düzenlenmiş olan Yasak Cihaz Veya Programlar ise; ikrar, mağdur beyanları, tanık beyanları, IP bildirimi, bilgisayar kayıtlarının incelenmesi, arşivlere ilişkin fatura ve dekont, bankalara yazılan müzekkere cevapları, telefon kayıtları, HTS raporları ile ispat edilebilmektedir.

Siber Suçların (Bilişim suçlarının) Cezası nelerdir?

• Bilişim sistemine girme suçunun taksirle işlenmesi mümkün değildir, kast ile işlenebilmektedir. TCK madde 243 hükmünde düzenlenmiş olan Bilişim Sistemine Girme Suçunun cezası bir yıla kadar hapis veya adli para cezasıdır. Bu cezanın bedeli karşılığında yararlanılabilen sistemler hakkında işlenmesi halinde nitelikli hal söz konusu olup ceza yarı oranında artırılacaktır. Sistemin içerdiği verilerin yok olması veya değiştirilmesi halinde ise fail hakkında altı aydan iki yıla kadar hapis cezasına hükmolunacaktır.

• Türk Ceza Kanunu’nun 244. Madde hükmünde düzenlenmiş olan Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme suçunda ise fail hakkında bir yıldan beş yıla kadar hapis cezasına hükmedilir. Maddenin ikinci fıkrasında yer alan verileri bozma, yok etme, değiştirme, var olan verileri başka bir yere gönderme halinde ise fail hakkında altı aydan üç yıla kadar hapis cezası söz konusu olacaktır. Yine maddenin üçüncü fıkrasında yer aldığı üzere banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde bahsedilen eylemlerin gerçekleştirilmesi halinde suçun nitelikli hali söz konusu olacak olup verilecek ceza yarı oranında artırılacaktır. Söz konusu eylemler ile failin kendisi veya üçüncü bir şahsa haksız kazanç elde etmesi durumunda da iki yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezasına hükmedilecektir

• Türk Ceza Kanunu’nun 245. maddesinde düzenlenmiş olan Banka veya Kredi Kartlarının Kötüye Kullanılması Suçunda ise verilecek ceza üç yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasıdır. İkinci fıkrada yer alan sahte banka veya kredi kartı üretilmesi, satılması, devredilmesi, satın alınması veya kabul edilmesi halinde üç yıldan yedi yıla kadar hapis ve on bin güne kadar adli para cezasına hükmedilir. Üçüncü fıkrada yer alan durumda ise failin kendisi veya üçüncü bir şahsa haksız kazanç elde etmesi durumu söz konusu olup fail hakkında dört yıldan sekiz yıla kadar hapis ve beş bin güne kadar adli para cezasına hükmedilir. Belirtmek gerekir ki suçun kanunda düzenlenen kişilere karşı işlenmiş olması veya etkin pişmanlığın söz konusu olması halinde ise şahsi cezasızlık sebeplerinin varlığına ilişkin hükümler ve etkin pişmanlık hükümleri uygulanacaktır.
• Türk Ceza Kanunu’nun 245/A maddesi ile eklenen bilişim suçunun işlenmesi halinde ise fail hakkında bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezasına hükmedilecektir.