I- GENEL BAKIŞ

İnsanlık, tarihi süreç içinde, medeniyet kurmak, kurduğu medeniyetleri geliştirmek, karşılaştığı prob­lemleri kolaylıkla çözebilmek, teknolojiyi geliştirmek, rahat ve konforlu bir hayat sürmek, kendini koru­mak, güç sahibi olabilmek için dönemine ait en yüksek teknolojiye sahip olmaya çalışmıştır. Yüksek hızlı bilgisayar teknolojisi, internet, televizyon, ATM makineleri, cep telefonu, uydu teknolojisi, dijital ka-yıt sistemleri, robotlar, lazer teknolojisi artık hayatımızdan çıkmamacasına ve hergün daha fazla etkin olan bir şekilde hayatımıza girmektedir.

İnternetin doğuşu ve hızla tüm dünya üzerinde yayılması, bir çok kavramın yeniden tartışılması ih-tiyacını doğurmuştur. İnternet, daha önceki medyaların birçok imkanlarını kapsayan yeni bir medya ola­rak sanal dünyanın temelini oluşturmuş ve yeni bin yıla damgasını vuran bir yaşam biçimine dönüş­müştür.

Bu teknolojik ve sosyal değişimin etkisiyle dünya çok boyutlu, köklü ve dinamik bir değişim sürecin­den geçmektedir. Toplumlar, devletler, ekonomiler, kültürler ve insanlar bugüne değin kurmuş oldukla­rı siyasal, kültürel ve ekonomik yapıları bilim ve teknolojinin etkisiyle dönüştürerek günümüze ayak uy­durmaya çalışmaktadırlar.

Şüphesiz bu sektörün genişlemesinin en önemli yan etkilerinden biri, suçların da artık bilgisayar ve iletişim teknolojileri kullanılarak işlenmeye başlanmış olmasıdır. Suç, yeni bir alana sıçramış, yepyeni bir kimlik kazanmıştır. Suç işleme şekilleri, artık teknolojiye paralel olarak gelişmektedir. Yeni ortaya çıkmış bir suç işleme yöntemine karşın önlemler bulunduğu anda, teknolojiyi takip edenler tarafından bir başka teknik kullanılarak farklı bir suç işleme yöntemi karşımıza çıkarılmaktadır.

Bilişim suçlarıyla ilgili olarak karşımıza bir çok tanım çıkmaktadır; Bilgisayar Suçları, İnternet Suçla­rı, Dijital Suçlar, Siber Suçlar, Yüksek Teknoloji Suçları, Bilgisayar Bağlantılı Suçlar v.b. tanımlar konu­sunda terim birliği henüz net olarak belirlenmemiştir.

Bilgisayar vasıtası ile işlenen suçların yanı sıra, elektrik devreleri veya sadece bir kredi kartıyla bile suç işlenebilmektedir. Bu anlamda Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığı bünye­sinde, Başkanlık görev alanı içerisindeki suçların yüksek teknoloji araçları kullanılarak işlenenlerinin soruşturulması ve bu suçların önlenebilmesi için, Yüksek Teknoloji Suçları ve Bilişim Sistemleri Şube Müdürlüğü kurulmuştur.

Yüksek Teknoloji kullanılarak işlenen suçların soruşturulabilmesi amacıyla, bu suçlarla mücadele edebilecek yüksek teknolojik bilgiye sahip personelin yetiştirilebilmesi için Uluslararası İşbirliği ve AB uyum çalışmaları çerçevesinde yurt içi ve yurt dışında olmak üzere bir dizi eğitim programları uygulan-mıştır. Yapılan programlar esnasında; Başkanlığımız ve İl Emniyet Müdürlüklerinde görevli personeli­mize “Bilgisayar ve İnternet Suçları ile Veri Kurtarma ve İnceleme Teknikleri” eğitimleri aldırılmış-tır. Yine AB uyum çalışmaları çerçevesinde, veri kurtarma ve inceleme alanında kullanılacak yazılım ve teknik cihazlar temin edilerek kullanıma sunulmuştur.

Yüksek Teknoloji Suçları ve Bilişim Sistemleri Şube Müdürlüğümüzde bilgisayar hard diskleri, CD-DVD’ler, flash memory’ler, back up kasetleri, v.b. veri taşıyan medya çeşitleri incelemesi yapılabilmektedir.

A- Banka veya Kredi Kartlarının Özellikleri

Şekil: 1

Banka ve Kredi Kartlarının arka yüzünde bulunan manyetik şeritler, Track adı verilen alanlarda ISO 7811/1~6 standardında Text ve Sayısal bilgi içermektedir. Genelde bu bigiler Track 1, 2, 3 şeklinde üç ayrı alana bölünmüş vaziyettedir.

Şekil: 2

CCV2 nedir?:

CVC2-Card Validation Code (Kart Onay Kodu), Master Card ibareli, CVV2-Card Verification Value (Kart Doğrulama Değeri) ise Visa ibareli kredi kartlarının arkasında yer alan ve 16 haneli kredi kartı nu-marasının devamında yazılı olan 3 haneli koddur. İnternet işlemlerinde güvenliği arttırıcı ek önlem ola­rak kullanılmaktadır.

B- Bilişim Yoluyla Gerçekleştirilen Sahtecilik ve Dolandırıcılık Olayları

Bilişim yoluyla kartlı ödeme sistemlerindeki sahtecilik ve dolandırıcılık alanında işlenmiş birçok suç ile karşılaşılmıştır. Şu ana kadar karşılaşılan başlıca suç tipleri şunlardır:

1- Suç Tipleri

2- Kart Bilgilerinin Temin Edilme Yöntemleri
a) Manyetik kopyalama cihazları vasıtasıyla kopyalama yöntemleri

• Alışveriş esnasında kopyalama yöntemi:Kart sahiplerinin alışveriş yaptıkları yerlerde, kredi kartları pos cihazlarından geçirilmeden önce veya sonra Şekil-4’de görülen manyetik kart okuyucu ci-hazlarından geçirilerek, kartın manyetik şeridinde bulunan (Track 1, 2, 3) bilgileri bu cihazların hafıza-sına kaydedilir.

Şekil: 4

.                      • ATM makinalarının kullanımı esasında ele geçirme yöntemi:ATM cihazları üzerindeki kart yuvasına yerleştirilen minik okuyucu cihazlar vasıtasıyla kart kopyalanmaktadır.

.                      • Alışveriş sırasında kart bilgilerinin izlenmesi yöntemi:Genellikle profesyonel olmayan suçlu­lar tarafından uygulanan bu yöntemde, suçlular kullanıcısına fark ettirmeden alış veriş esnasında veya diğer zamanlarda kartın ön ve arka yüzlerindeki yazılı numaraları (kart numarası, son kullanma tarihi, ccv2) not ederek veya akılda tutmak suretiyle ele geçirmektedirler.

b) Sahte e-mail yöntemi

İnternet üzerinden sahte olarak gönderilen e-mailler ile kredi kartı ve internet bankacılığı kullanıcı-larının kart bilgilerinin elde edilmesi yöntemidir. Bu şekilde sahte gönderilen e-maillere spam mail, kul-lanılan bu yöntemde oltalama (phishing) adı verilir. Bu yöntem de kendi arasında 4 bölüme ayrılır:

.                      • Hedef şahsın, daha önceden irtibatlı olduğu bir kuruluşun web sayfasının sahtesi yapılarak, içine dolandırıcıların sayfasına yönlendirilmiş bir link (bağlantı yolu) konulur. Daha sonra, kullanıcıya şifresinin süresinin dolduğu söylenen bir e-mail gönderilerek, web sayfası üzerindeki link adresi tıklanarak kurumun web sitesine gidilmesi ve şifresini değiştirmesi istenir. Web sitesinde, kullanıcının öncelikle eski şifresini girmesi istenir ve eski şifresini yazıp, arkasından yeni şifresini almaya çalıştığı-nı sanan kullanıcı, şifresini ve diğer kart bilgilerini dolandırıcıya teslim etmiş olur.

.                      • Hedef şahsa, bir yarışma düzenlendiği ve bu yarışmaya katılması teklif edilen kullanıcılara ödül olarak araba, bilgisayar, cep telefonu gibi maddi değe-ri olan bir hediye kazanacakları, ancak “talihlilerin” gerekli kişisel bilgileri verme­leri gerektiği söylenen bir e-mail gönderilir. Kazanacağı hediyelerin hevesine kapılan kullanıcı istenen bilgilerini gönderir.

.                      • Hedef şahsa, kişisel bilgilerini güncellemesi gerektiği tüm bilgilerini tekrar girmesi gerektiği bunun kendileri açısından daha iyi hizmet verebilmeleri için gerekli olduğu söylenen bir e-mail gönderilir.

.                      • İnternet üzerinde bulunan bir çok online alış veriş sitesi kredi kartı ile online para transferi yapmak suretiyle müşterilerine hizmet vermektedir. Bu hizmetler sırasında müşterilerine ait bazı bilgileri de ve-ritabanlarında tutmakta, bunları kaydetmektedirler. Bu bilgiler arasında müşterinin satın aldığı ürün, teslimat adresi, müşterinin telefonu, e-mail adresi, ürünü aldığı tarih ve bazı sitelerin veritabanlarında ise müşterinin kredi kartı numarası ile kartın son kullanma tarihi de tutulmaktadır. Bu veri tabanlarını, sistemdeki güvenlik açıklarını kullanarak ele geçiren dolandırıcılar, kart kullanıcısına elde ettikleri bilgi­lerin tamamını göndererek, kendi güvenlikleri için yaptıkları alışverişi teyit etmesi ve bazı bilgileri tekrar girmesini isterler. Kart kullanıcısı ise, gelen e-maildeki bilgilerinin tamamının doğru olduğunu ve bu bil­gilerinin sadece ilgili bankada bulunabileceğini zannederek, istenen bilgileri vermekte veya kendine ge-len e-mail linklerini takip ederek talep edilen işlemleri yapmakta hiç şüphe etmez. Bu işlemlerin sonun­da, kart kullanıcısı pin kodu dahil bütün istenen bilgilerini dolandırıcılara vermiş olur.

c) İnternet üzerindeki sohbet kanallarının kullanılması yöntemi

Internette IRC (Internet Relay Chat) adı verilen sohbet alanlarında, suçlular buluşarak “Kart bilgile­rinin temin edilme yöntemleri” başlığı altında anlatılan usullerle elde ettikleri kart bilgilerini karşılıklı ola­rak paylaşmaktadırlar. Bu yöntemde sulçular genellikle uluslararası çalışmakta ve örneğin bir ülkede el-de edilmiş kart bilgileri diğer ülkede bulunan ortaklarına göndererek nakite çevirip yarı yarıya paylaşmak-tadırlar. Burada elde edilen haksız gelir, genellikle Western Union para transfer şirketi vasıtası ile karşı-lıklı gönderilmektedir.

d) Truva Atı (Trojen) yazılımı yöntemi

İnternet bankacılığı işlemlerini genellikle kütüphane, internet kafe gibi yerlerden gerçekleştiren ve iş­lem yapan kişilerin, internet bankacılığı şifreleri, bilgisayar içine önceden yerleştirilmiş çeşitli yazılımlar aracılığıyla çalınmaktadır.

Diğer kullanıcılar bu yazılımı kolay fark edemeyeceklerinden, bu bilgisayarları kullanarak internet bankacılığı işlemi için web sitesini açar ve tüm bilgilerini girerler. Bu bilgiler klavye takip programı (key logger) / ekran fotoğraflama (screen shot) yazılımlarıyla truva atı yazılımı içine kaydedilir. Bu bilgiler tru­va atı yazılımını yükleyen kişi tarafından ele geçirilir.

II- OPERASYONEL FAALİYETLER

Suçla etkin bir şekilde mücadele eden Yüksek Teknoloji Suçları ve Bilişim Sistemleri Şube Müdür-lüğümüzün taşra birimleriyle ortaklaşa yaptığı çalışmalar neticesinde, kredi kartı sahteciliği/dolandırıcı-lığı suçlarıyla mücadele çerçevesinde, 2004 yılı içerisinde başarılı sonuçlar elde edilmiştir.

Daire Başkanlığımız koordinesinde il birimlerimiz tarafından gerçekleştirilen önemli kredi kartı sah-teciliği ve dolandırıcılığı operasyonları ile ilgili bilgiler aşağıya çıkartılmıştır.

• Beyaz Dalga Operasyonu

2004 yılının başından itibaren özellikle Alman vatandaşları olmak üzere ülkemize gelen yabancı tu­ristlere ait kredi kartı bilgilerinin ve PIN kodlarının yasadışı yollarla temin edilmesi ve temin edilen bu bilgilerin “Beyaz Plastik” denilen kartlara aktarılması suretiyle, ülkemizdeki veya yurtdışındaki ATM’lerden para çekilmesi olaylarında artış gözlenmesi, Almanya irtibat görevlisi tarafından söz konu­su kredi kartlarına ve bu kredi kartlarının kullanıldığı yerlere ilişkin bilgilerin gönderilmesi üzerine, Baş-kanlığımız ve Antalya İl Emniyet Müdürlüğü görevlilerinden oluşan bir çalışma grubu oluşturulmuştur.

Yapılan çalışmalar ve tespitler neticesinde; ülkemize tatil amaçlı gelen yabancı uyruklu şahısların, turizmin yoğun olduğu Alanya, Manavgat ve Serik İlçeleri’nde kurulan ve yetkisiz döviz işlemleri yapan Post Office tabelalı işyerlerinde döviz ve kredi kartına ilişkin işlemler yaptığı sırada, kredi kartlarının kopyalandığı ve şifrelerinin elde edildiği, dolandırıcı şahısların organize bir şekilde hareket ettikleri, şa-hıslara ait şirketlerin Antalya’nın değişik yerlerinde “Post Office” işlettiği, “Post Office”lere gelen yaban­cı müşterilere ait kredi kartı bilgilerinin kopyalandığı ve kopyalanan kart bilgilerinin çeşitli marketlerin kartlarına ve boş plastiklere aktarıldığı, bu şekilde değişik yerlerdeki ATM’lerden Ocak-Temmuz 2004 tarihleri arasında yaklaşık 650.000 EURO tutarında para çekildiği tespit edilmiştir.

Söz konusu kredi kartı dolandırıcılığını gerçekleştiren grubun bazı üyelerine yönelik olarak, Kırkla-reli İl Emniyet Müdürlüğü görevlilerince yapılan operasyon sonrası, bahse konu dolandırıcılık olayına karışan şahısların tümünün kimlik ve yer tespitleri yapılmış, daha sonra Antalya Cumhuriyet Başsavcı-lığı’nın koordinesinde Daire Başkanlığımız, Antalya İl Emniyet Müdürlüğü ve Antalya İl Jandarma Ko­mutanlığı görevlileri tarafından 01 Eylül 2004 tarihinde başlatılan eş zamanlı operasyonlar gerçekleşti­rilmiştir. Bu operasyonlar neticesinde; cürüm işlemek için teşekkül oluşturmak, oluşturulan teşekkül va-sıtasıyla kredi kartı bilgilerini teknik cihazları kullanmak suretiyle yasadışı kopyalamak ve şifrelerini al­mak, bu bilgileri hazırlamış oldukları boş kartlara yüklemek kartları kullanmak suretiyle uluslararası dü­zeyde dolandırıcılık yapmak ve kart bilgilerini başka suç gruplarına satarak haksız menfaat temin et­mek suçlarından, ikisi yabancı uyruklu olmak üzere toplam 29 şahıs yakalanmış ve bu şahıslardan 15’i çıkarıldıkları adli mercilerce tutuklanmıştır.

Söz konusu olayda;

3 adet kart kopyalama işinde kullanılan Encoder ve adaptörü ile bilgisayar sistemi, 3 adet bilgisa­yar, 1 adet hard disk, 2 adet yazar kasa, şahıslara ait kimlik bilgilerinin kopyalanması için kullanılan 854 adet boş beyaz kart, 5 adet farklı bankalara ait POS cihazı, 19 adet alışveriş kartı, 12 adet disket, 7 adet CD, 21 adet çeşitli bankalara ait hesap cüzdanı, 8 adet mağdur şahısların isimleri yazılı slip, 6 adet değişik bankalara ait dekont, 33 adet üzerinde şifre yazılı kağıtlara sarılmış kart, bir miktar esrar maddesi, 1 adet sahte kimlik, 10 adet başka şahıslara ait kredi kartları, 15 adet kopyalanmış kartlar, 22 adet değişik şahıslar adına ve meblağlarda tanzim edilmiş senet, 1 tomar çeşitli tarihli slipler,1 adet ta­rihi eser niteliğinde el yazması Kuran-ı Kerim, bir miktar sahte para, bir miktar eroin, 2 adet encoder program CD’si, 10 sayfa kart döküm listesi, 3000 adet Ecstasy hap ele geçirilmiştir.

Yapılan soruşturmalarda suç örgütü mensuplarının, ele geçirilen bu Encoder cihazlarından birini Al-manya’da yaşayan bir bayan Alman vatandaşından temin ettikleri, ayrıca turistlerden elde ettikleri kart bilgilerinden bazılarını İngiltere’ye gönderdikleri, İngiltere’deki elemanları vasıtasıyla bu kart bilgilerini boş plastik kartlara yükleyerek bu kartlardan İngiltere’de çektikleri paraları yine havale yöntemi ile ül­kemizdeki suç örgütü mensuplarına gönderdikleri belirlenmiştir.

Beyaz Dalga Operasyonu, kredi kartı dolandırıcılığı gibi uluslararası sahada işlenen suçlarla müca­delede işbirliğinin önemine güzel bir örnek teşkil etmektedir. Başkanlığımızca işbirliği, başarının anah­tarı olarak değerlendirilmektedir.

• ATM Cihazlarına Kamera ve Okuyucu Cihaz Yerleştirilmesi Yoluyla Yapılan Dolandırıcılık

Ülkemizin değişik bölgelerinde ve özellikle İstanbul ilinde ATM makinelerine kopyalama cihazı ve vi­deo kamera yerleştirmek suretiyle kredi/banka kartı hamillerinin, kart bilgilerinin ve şifrelerinin kopyala­narak sahte kart üretildiği ve üretilen bu kartlarla ATM’lerden nakit para çekimi yapıldığı tespit edilmiş ve konuyla ilgili olarak İstanbul İl Emniyet Müdürlüğü görevlilerince 06 Haziran 2004 ve 10 Haziran 2004 tarihlerinde yapılan operasyonlar neticesinde;

ATM cihazlarına kamera ve okuyucu cihaz koyarak kart hamillerinin kartlarını kopyalayıp dolandırı-cılık yaptığı tespit edilen Romanya uyruklu 5 şahıs yakalanmıştır.

Söz konusu olayla ilgili olarak;

6 adet kart kopyalayıcı (reader), 3 adet florasan lamba içerisine monte edilmiş mini kamera ve ve­ricisi, 3 adet görüntü almaya yarayan alıcı (receiver), 2 adet görüntüleri izlemekte kullanılan video ka­mera, 1 adet kart bilgilerini başka bir karta yüklemek için kullanılan cihaz (encoder), 1 adet dizüstü bil­gisayar ve 140 adet boş plastik kart ele geçirilmiştir.

Konuyla ilgili olarak yapılan soruşturmalar neticesinde; florasan lamba şeklinde hazırlanan düzene-ğin ATM cihazının üzerine, şifre girilen klavyeyi görecek şekilde monte edildiği, florasan lamba içerisine yerleştirilen mini kamera yardımıyla ATM’yi kullanan kart hamillerinin kendilerine özel olan şifrelerinin iz-lendiği, mini kameranın çektiği görüntülerin, yine lambanın içine monte edilen verici tarafından başka bir yerde bulunan alıcıya (receiver) kablosuz olarak ulaştırıldığı, alıcıya bir kablo ile bağlanan el kamerasın-dan mini kameranın çektiği görüntülerin izlendiği ve bu şekilde kartların şifresinin tespit edildiği, aynı za­manda ATM kart giriş yuvasına monte edilen okuyucu (reader) cihaz yardımıyla kart hamillerinin kart bil­gilerinin kopyalandığı, daha sonra okuyucu cihazın yerinden alındığı, cihazın içerisindeki bilgiler alındık-tan sonra kartlara yüklendiği ve kartların ikizinin yapıldığı, yapılan ikiz kartlar ve daha önce tespit edilen şifreler vasıtasıyla kart hamillerinin hesaplarından doğrudan para çekildiği tespit edilmiştir.

• İnternet Üzerinden Kredi Kartı Bilgilerinin Temin Edilmesi Yoluyla Yapılan Dolandırıcılık

Kastamonu ilinde sahte kredi kartıyla para çekildiği duyumları alması üzerine Başkanlığımız ve Kas­tamonu İl Emniyet Müdürlüğü Kaçakçılık ve Organize Suçlar Şube Müdürlüğü görevlileri tarafından yü­rütülen geniş çaplı çalışmalar neticesinde 30 Haziran 2004 günü bir operasyon gerçekleştirilmiştir.

Yapılan operasyonda; internet vasıtasıyla başkalarına ait kredi/banka kartı bilgilerini ve şifrelerini alan ve aldığı bu bilgileri, kullandığı çeşitli cihazlarla boş beyaz plastik kartlara yükleyerek ATM’lerden para çeken 1 şahıs yakalanmıştır.

Söz konusu olayla ilgili olarak; sahte kredi kartı yapımında kullanılan 2 adet bilgisayar, 1 adet yurt-dışından sipariş edilerek satın alınmış kart kopyalayıcı cihaz (encoder), 1 adet sahte kartların üzerine bankalara ait kredi kartı amblemlerini basmakta kullandığı tespit edilen yazıcı – tarayıcı – fotokopi ma­kinesi, sahte kredi kartlarının kopyalanmasına yardımcı olan bol miktarda program CD’si ve disketler, 98 adet okunmamış ve kopyalamaya hazır beyaz plastik kartlar ile birlikte 2863 Sayılı Kanun kapsa-mında tarihi eser ele geçirilmiştir.

Yakalanan şahsa ait bilgisayarlarda yapılan incelemeler neticesinde; şahsın, Türkiye’deki birçok ka-mu kurum ve kuruluşu ile özel sektör ve üniversitenin sunucularına (server) Türk Ceza Kanunu’nun 525. maddesine aykırı olarak girdiğine, girdiği tüm kuruluşlardaki kişilere ait kullanıcı hesapları da da­hil tüm bilgilere illegal olarak ulaştığına, internet üzerinden kredi kartı bilgileri elde ettiğine ve bunları kullanarak kendisine maddi menfaat temin ettiğine dair iz ve delillere rastlanmıştır.

• Kredi Kartı Sahteciliği ve Dolandırıcılığı

Antalya ilinde gerçekleştirilen “Beyaz Dalga Operasyonu” ve Kastamonu ilinde gerçekleştirilen inter­net üzerinden kredi kartı bilgilerinin temin edilmesi yoluyla yapılan dolandırıcılık ile ilgili operasyonda adı geçen bir şahıs üzerinde yoğunlaşılması sonucunda Daire Başkanlığımız bünyesinde bir çalışma başlatılmıştır.

Yapılan çalışma neticesinde; hedef şahsın ve çetesinin yerli ve yabancı kullanıcıların kredi kartı bil­gilerinin paylaşıldığı bir internet sitesinden, Amerika, Vietnam, Rusya, Mısır ve Fas gibi ülkelerde irti­batlı oldukları şahıslardan elde ettikleri yabancı menşeli kredi kartı bilgi ve şifrelerini teknik cihazlar kul­lanarak sahte kimliklerle aldıkları kredi kartlarına ve hazırlamış oldukları plastik kartların manyetik şerit bölümüne yüklemek suretiyle kullandıkları, bu yolla yüklü miktarda para elde ettikleri anlaşılmıştır. Ça-lışma derinleştirilerek şahsın liderliğini yaptığı diğer şebeke üyeleri de netleştirilmiş ve 08 Aralık 2004 tarihinde Daire Başkanlığımız tarafından Ankara ve Yozgat illerimizde eş zamanlı olarak bir operasyon düzenlenmiştir.

Yapılan operasyonda; sahte kredi kartlarını kopyalamak, hazırlamak ve kullanmak yoluyla dolandı-rıcılık yaptığı tespit edilen 7 şahıs yakalanmış ve çıkarıldıkları mahkemece 4 kişi tutuklanarak cezaevi­ne gönderilmiştir.

Söz konusu olayla ilgili olarak;

256 adet beyaz plastik kart, 1 adet kart kopyalayıcı cihaz (encoder), 1 adet okuyucu cihaz (reader) ve çok sayıda bilgisayar ele geçirilmiştir.

III- SUÇ ÖNLEYİCİ ÇALIŞMALARIMIZ ve GÜVENLİK TEDBİRLERİ

Başkanlığımız sadece suçun işlenmesinden sonra meydana gelen olaylarla değil, suç önleme an-layışı içerisinde vatandaşlarımızın bilinçlendirmesi ve eğitimi konusunda da çeşitli çalışmalarda bulun-maktadır.

Özellikle dolandırıcılık ve sahtecilik olaylarıyla mücadele etmek amacıyla, vatandaşlarımızın kredi kartı ve interaktif bankacılık kullanımı konusunda bilinçlendirilmesi gerektiği aşikârdır. Bu amaçla kredi kartı sahteciliği ve interaktif bankacılık dolandırıcılığı konusunda kitapçık hazırlanmasına başlanılmış-tır. Bu kitapçıkda yer alacak hsuslardan bazıları şunlardır.

Kredi kartı ve online bankacılık işlemleri günlük hayatı kolaylaştırmakta ve işlemleri hızlandırmakla birlikte bir çok riski de beraberinde getirmektedir.

Ancak kredi kartı ve interaktif bankacılık kullanımı esasında alınabilecek basit önlemler ve bilinçli kullanma ile karşılaşılabilecek birçok riskten korunmak mümkündür. Bu önemler konusunda hassasiyet gösterildiği takdirde, güvenlik alanındaki riskler yaklaşık %90 oranında azalacaktır. Risklerden korun­mak için gerekli önlemlerin bir bölümünden aşağıda bahsedilmiştir:

A- Şifre Seçimi ve Güvenliği

İnternet bankacılığı, kredi kartı ve banka kartı işlemlerinde en önemli hususlardan birisi şifre seçimidir.

Şifre seçimindeki en temel problem; internet kullanımı, internet bankacılığı, kredi kartı ve banka kartları gibi onlarca işlem aşamasında şifre sorulması, buna karşılık ise kullanıcıların şifreyi kendileri için bir erişim engeli olarak görmeleridir. Kullanıcıların güvenlik konusunda bilinçsiz davranmaları ve en önemlisi ise şifrelerini art niyetlilerin tahmin etmesi zor bir takım karakter dizileri seçme zorunluluğu ile hatırlanması kolay bir şifre olması tezadından kaynaklanmaktadır.

Şifrenin nasıl seçildiği, şifre sahibi hakkında da ipuçları vermektedir. İnsanlar genellikle şifre olarak kendi isimleri ile lakaplarını kullanırken, önemli bir bölümü ise en sevdikleri yıldızı, tuttukları takımın adı-nı ya da hemen çevresinde yer alan öğelerden birini kullanıcı adı veya şifre olarak kullanırlar.

İnternet üzerinden yapılan şifre girişlerinde “şifremi kaydet” veya “beni hatırlasın” seçenekleri kesin­likle kullanılmamalıdır.

Şifreler herhangi bir yere yazılmamalı (ajandalara, monitörün üzerindeki post-it kağıtlarına, not def­terlerine, masa takvimi sayfalarına, kartvizitlerin arkalarına yazılarak cüzdanda taşıma şeklinde, v.b.) şifreler akılda tutulmaya çalışılmadır.

İnternet bankacılığı şifreleri akrabalar, arkadaşlar da dahil kimseyle paylaşılmamalıdır.

Kullanılan şifrelerin büyük çoğunluğunun genel ve tahmin edilmesi kolay şifreler olmamasına özen gösterilmelidir.

Kitaplardaki örnek şifreler kullanılmamalıdır .

Banka tarafından verilen şifreler alındığı andan itibaren değiştirilmelidir.

-Yapılmaması gerekenler

Güvenlik için aşağıda maddeler halinde sıralanan hususlar, kullanıcı adı (user name) / şifre (pass­word) olarak seçilmemelidir.

.                      •           Kullanıcının, eşi, çocukları veya iş arkadaşlarının isimleri

.                      •           Telefon veya lisans numaraları

.                      •           Kullanıcı veya yakınlarından birinin doğum tarihi

.                      •           Kullanıcı hakkında kolaylıkla bulunabilecek bir bilgi (adres, doğum yeri gibi)

.                      •           Aynı harften oluşan bütün şifreler (aaaaaa)

.                      •           Aynı sayıdan oluşan bütün şifreler (555555)

.                      •           Ardışık sayılardan oluşan şifreler (123456..)

.                      •           Alfabe sırasından oluşan şifreler (abcdef)

.                      •           Birtakım kalıplaşmış kelimeler

.                      •           Sık kullanılan kelimelerin veya isimlerin tersten yazılmış halleri

.                      •           Kullanıcının ev hayvanının ismi

.                      •           Çok beğenilen sanatçıların isimleri

.                      •           Şifre sahibinin gerçek hayatta kullandığı, şahsına ait özel numaraların tamamı veya bir bölümü (SSK numarası, T.C. kimlik numarası vb.)

.                      •           Yabancı dillerdeki klişe kelimeler (love, hotel, holiday, viva v.b.)

.                      •           Yer isimleri gibi özel isimler (İstanbul, Ataşehir)

.                      •           Basit harf düzenlerinden oluşan bütün şifreler (qwerty gibi) kullanılmamalıdır.

-Yapılması gerekenler

Şifreler önemli ve önemsiz olarak iki gruba ayrılabilir:

Önemli olanlar e-mail adresleri, internet bankacılığı, kredi kartı şifreleri, sık sık iletişim halinde bulu­nulan siteler, chat veya arkadaş bulma servisleri gibidir.

Önemsiz olanlar sık kullanılmayan, ancak alınan hizmet için (dosya indirmek, dosya okumak, oyun oynamak v.s.) üye olunan siteler olarak değerlendirilir.

İyi şifreler bazı kontrol karakterleri / boşluklar içerirler kolaylıkla hatırlanabilirler ve bu nedenle bir ye-re not edilme ihtiyacı duyulmaz. En az yedi-sekiz karakter uzunluğundadır. Kolay ve hızlı yazılırlar, böy­lece etraftan bakan birisi ne yazıldığını anlayamaz. İki kısa kelime özel bir karakter veya bir sayı ile bir­leştirilebilir. Örneğin; bshkBBS (bu sınıftaki hiç kimse Bisiklete Binmeyi Sevmez).

.                      •           Şifrenin tek bir cümleden oluşması isteniyorsa en azından sonuna bazı semboller ya da sayılar eklenebilir. (Şifreyi “mehmet” olarak seçmek yerine “mehmet18” olarak seçmek gibi.)

.                      •           Şifre mümkün olduğu kadar hızlı girilmelidir. Şifrelerin önemli bir kısmı elektronik programlarla de-ğil, şifreyi yazanı gözleyen kişiler tarafından çalınmaktadır. Bu kişiler bazen çok yakında durma-malarına rağmen, şifreyi yazanın kol hareketinden şifreyi tespit edebilmektedirler. Bu yüzden şifre kodlanırken kolu hareket ettirmeden, parmaklarla girilmesi gerekmektedir.

.                      •           Şifreyi tek bir kelimeden oluşturmak yerine, unutulmaması için, kişinin geçmişinden anlamlı gelen, ancak normal hayatla bağlantılı olmayan iki kelime birleştirilerek kullanılabilir. (blackhair99 gibi).

.                      •           Şifrelerde bir harf bir sayıyla değiştirilerek kullanılabilir. Örneğin, a yerine 6 kullanarak “atilla” yerine “6till6” yazmak gibi.

.                      •           Şifrelerde büyük küçük harf birlikte kullanılmalıdır. Semboller ve yurtdışındaki art gözlerden korumak için Türkçe karakterli harfler de kullanılmalı. (ç,ğ,ş v.b.)

.                      •           Şifreler belirli sürelerde değiştirilmeli.

.                      •           Son olarak şifreler yeterli bir uzunlukta olmalı. (min 8 karakter)

Örnek şifreler

MUR@tşen89
Oğlum Levent 8, Kızım Nilüfer 3 Yaşında Yıl 2004 - OL8,KN3YY2004
Ben 15 Senedir Mamak’ta Oturuyorum - B15SMO

Pek çok web sitesi şifre belirlerken, ileride şifrenin unutulması durumunda hatırlatılması için kişiler­den bir gizli soru ve yanıtının belirlenmesini isteyebilir. Şifreyi belirlerken gösterilen özen, bu soru ve cevabı belirlerken de gösterilmelidir. Tercih edilen bu sorunun yanıtının başkaları tarafından bilineme­yecek ve tahmin edilemeyecek nitelikte olmasına dikkat edilmelidir.

B- Kredi Kartı Kullanımında Dikkat Edilmesi Gereken Konular

• İş yeri sahipleri ve çalışanları için:

İş yerince satılan ürün veya hizmetin bedelinin, kredi kartıyla tahsil edileceği durumlarda, mal sahi­bine sunulan kredi kartı ile müşterinin nüfus cüzdanındaki isimlerin aynı olmasına ve nüfus cüzdanın-daki fotoğrafın sahibi ile müşterinin aynı kişi olduğundan emin olunduktan sonra işlem gerçekleştirilme­lidir.

Müşteri tarafından verilen kredi kartında tahribat yapılıp yapılmadığı (kazıma, silme v.s.) kontrol edil­melidir.

• Kartların teslimatına ilişkin hususlar:

Banka müracaatı sonrası ilgilinin kartını şahsen teslim alması gerekmektedir. Başvurudan sonra ge­ciken teslimatlarda derhal ilgili banka ile irtibata geçilmelidir.

• Ödeme esnasında dikkat edilecek hususlar:

Kredi kartları işlem yapılmak üzere satıcıya verildiğinde kart numarasının not edilmediğinden ya da POS cihazı dışında bir cihazdan geçirilmediğinden emin olunmalıdır.

• Kart bilgilerinin muhafaza edilmesi

Kredi kartı dolandırıcıları kredi kartlarını ele geçirmeseler bile, kart sahiplerini maddi zarara uğrata-bilmektedirler. Kart numarası, kartın son kullanma tarihi ve kartın arkasındaki CVV2 numarası ile inter­net üzerinden rahatlıkla alışveriş yapılabilir. Bu nedenle kart üzerindeki bu bilgilerin art niyetli kişilerden korunması gerekmektedir.

• Kredi kartı numarasının başkalarının eline geçmesi

Numaranın bulunabileceği ekstre, ATM fişi, slip gibi belgeler güvenli bir yerde muhafaza edilmeli, ih­tiyaç kalmadığında mutlaka üzerindeki numaraları okunamayacak şekilde imha etmeye özen gösterilme­lidir. Unutulmamalıdır ki, sadece buruşturup çöpe atılan bir belge kötü niyetli kişilerce elde edilebilir.

C- İnternet Bankacılığı ve İnternet Aracılığıyla Alışveriş

Güvenliğinden emin olunmayan ortak alanlardan veya yabancı kişilere ait bilgisayarlardan internet bankacılığı işlemleri yapılmalalıdır. Kamuya açık internet erişimlerinde, önceki kullanımlarda casus bir yazılım yüklenmediğinden emin olduktan sonra bankacılık işlemi yapılmalıdır.

• Güvenli Alışveriş Siteleriyle İlgili İki Önemli Husus

-Https

Alışveriş yapılan web sitesinin veri iletişimi açısından güvenilir olup olmadığını anlamanın yollarından birisi, kredi kartı ile ilgili bilgilerin girileceği sayfanın, internet adresinin başlangıcında bulunan "http://" ibaresinin "https://"ye dönüşmüş olmasıdır. İnternet adresinin başlangıcının bu şekilde değişmiş ol­ması, ilgili firmanın sanal mağazasının bulunduğu sitenin bir güvenlik protokolünü kullandığının açık bir göstergesidir. Güvenlik protokolleri kullanımda iken bağlanan kişi ve bağlanılan site arasında değiş-tokuş edilen veriler şifrelenir. Bu işaretler görüldüğünde işlemin güvenli olma ihtimali artmış demektir.

-Kilit İkonu

Alışveriş veya online bankacılık yapılacak bir web sitesi açıldığında, internet tarayıcısının (internet explorer, netscape gibi) alt kısmında bir kilit işareti görülmektedir. İnternet tarayıcınızın sağ alt tarafın-da bulunan kilit ikonu kilitlenmiş olan ve aynı zamanda anahtar ikonunun kırık olmadığı sayfalar, bu ikonların bulunmadığı sitelere kıyasla daha güvenli alışveriş yapabilecek sayfalardır. Bu ikonlar tarayıcı sürümlerine göre ve güvenlik sertifikasının alınmış olduğu sertifikasyon kurumuna göre değişiklik gös­terebilmektedir.

D- Öneriler

Hangi kurum veya kuruluştan gelirse gelsin, banka/kredi kartı bilgileri, internet bankacılık numarası ve bunlara ait şifreler, e-posta veya online formlara yazılmamalıdır. Hiçbir banka veya banka görevlisi tarafın-dan kişilerin şifreleri, ne şekilde olursa olsun talep edilmemektedir. Tanınmayan kişilerden gelen şüpheli e-mailler açılmamalı, açılmış ise ekte gönderilmiş olan yazılımlar indirilmemeli / linklere tıklanmamalıdır.

Kesinlikle kredi kartı ve online bankacılık hesap/kart numarası ve şifresi bilgisayarda saklan-mamalıdır.

Kişisel bilgisayarlarda işletim sisteminin güvenlik güncellemeleri yapılmalı ve sık sık güncellenen bir anti-virüs yazılımı kullanılmalıdır.

ATM makinelerini kullanılırken kimseden yardım istenmemeli ve çevredeki insanlara dikkat edil­melidir.

Şifre çalındığı takdirde; diğer tüm bağlantılı hesaplardaki şifreler değiştirilmelidir. Eğer yasal bir e-mail ise (ücretli veya kuruma ait v.s.) e-mail sunucusu sorumlusu aranıp, şifreyi geçersiz hale getir­meleri istenmelidir. Bankacılık şifresi ise yetkili banka veya yetkili kurum aranmalıdır.

Şifreler kişilerin hesaplarına art niyetli kullanıcıların erişmelerini önlemek amacıyla kullanılmaktadır. Tüm bu önlemlere rağmen yeterli zaman ve kaynak olduğu takdirde, kırılamayacak şifre matematiksel olarak yoktur. Ancak önemli olan bu işlemin mümkün olduğu kadar zorlaştırılması ve sürenin uzatıl-masıdır. İyi kriptolu bir şifrenin kırılması günümüz teknolojisinde bile aylarca, yıllarca sürebilmektedir. Tecrübeli bir oto hırsızının söylediği bir söz bu alandaki yaklaşımı çok iyi özetlemektedir: “Benim çala-mayacağım araba yoktur, ancak çalıştırması 60 saniyeden fazla sürecek arabaya el sürmem.” Şifre seçimindeki gerçek amaç dolandırıcı ve hırsızların işini zorlaştırmaktır.

Sonuç olarak; bilişim güvenliği kesinlikle tek bir önlem ile sağlanabilecek bir kavram değildir. Ger­çek güvenlik, çok zahmetli teknik bilgi, zaman ve kaynak gerektiren bir süreçtir.