Erol Taşdelen Yazdı: ‘Banka dolandırıcılığında güvenlik açığı büyük, mağdurlar çaresiz…’
20 Eylül 2024SİBER DOLANDIRICILIK VAKALARINDA TARAFLAR
Sık yazdığım ve yazmaya da devam edeceğim bir konu Siber Dolandırıcılık. Bilginiz dışında bir anda kendinizi nasıl dolandırıcı olarak yargı karşısında bulabileceğinizi daha önce detaylı yazmıştım. Bankacı Bilirkişisi olarak yüzlerce benzer dosyaya “Bilirkişi Raporu” hazırlamış biri olarak bazı tespitlerimi Kamuoyu, BDDK, Adalet Bakanlığı, Emniyet Müdürlüğünün Siber Suçlarla Mücadele Şube Müdürlüğü gibi ilgili birimler ile Sosyal Sorumluluk gereği tecrübelerimi paylaşmaya devam ediyorum.
BANKA HESAP VE KART ŞİFRESİNİ ÜÇÜNCÜ KİŞİLER İLE PAYLAŞANLAR
Siber dolandırıcılık ağırlıklı Kredi Kart ve Banka hesapları üzerinden Mobil Bankacılık üzerinden oluyor. Normal hırsızlıktan hiç farkı olmaması lazım aslında. Biri girmiş evinizden paranızı çalmış, bankadaki hesabınıza girmiş paranızı çalmış hepsi aynı. Burada daha vahimi olmayan paralarını da çalınıyor üste bir de borçlu çıkıp kullanmadığınız kredileri ödemek zorunda kalıyorsunuz. Davalar da “başkasına ait banka veya kredi kartının izinsiz kullanılması suretiyle yarar sağlama, hırsızlık” olarak açılıyor. Başta şunu belirtmem gerekiyor ki banka hesap ve kart güvenliğinin sağlanmasında birinci sorumlu müşterinin kendisi. Banka müşterisi olarak başkasına kartınızı ve şifresini vererek hesabınızdan para çekildikten sonra “ben dolandırdım” demenin bir faydası yok. Sorumluluk tamamen size ait ve size ait olan bir bilgiyi ve kartı 3. kişiler ile paylaşmışsınız çünkü. Olur mu öyle şey demeyin, davaların nerede ise yarısı bu şekilde.
Hikaye çoğunda aynı. Genelde tanıdık birileri, “Cezaevinden çıktım banka hesaplarımda kısıt var, haciz var” denilerek veya “asker arkadaşlarından memleketten para gelecek diye ATM kartının istenmesi” şeklinde hesabının kullanılması ve ATM’den çekilmesi için kart ve şifreyi gönüllü olarak verilmesi. Bankayı ya da başkasını suçlamak yersiz. Sadece “güveni kötüye kullanmaktan” dava açılıyor. Ama iş burada bitmiyor. İyi niyet gibi gözüken bu taleplerde genelde verilen hesap üzerinden piyasa dolandırıcılığı yapılıyor ve dava -hesap sahibi siz olduğunuz için- size açılıyor. Mahkemede her ne kadar bunu dile getirseniz de kanıtlanmak çok zor. Zira, Banka ATM görüntüleri ile paranın çekilmesinin başka kişiler tarafından yapılması gerekiyor ki çoğunda ATM kameraları ya arızalı ya da silinmiş oluyor.
Çözüm: ATM kartı ve şifreleri 3. Kişiler ile paylaşmayın.
CÜZDANIMI ÇALDIRDIM KART ŞİFRESİ DE İÇİNDEYDİ
Bu da çok rastlanan bir durum. Cüzdanı veya kartlarını çaldıranların ilk işi bankaya ulaşıp kartı iptal ettirmek yerine bunu ihmal ediyorlar. Geçen sürede yine aynı şekilde hesap ve kartlar kullanılmış oluyor. Geçmiş olsun!
Çözüm: Kayıp kartları zaman kaybetmeden bankaya bildirmek ve kullanıma kapama.
HESAP VE KARTINI KİRAYA VERENLER
Bu grup genelde saf masum hiçbir şeyden haberi yokmuş gibi “salak rolüne” bürünürler. Genelde mazeret de “çok paraya ihtiyacım vardı, kahvede tanıştığım ve soyadını bilmediğim biri hesabımı kullanmak şartıyla aydan aya ödeme yapacağını belirmesi üzerine hesap ve kart bilgilerini verdiğini” belirtir. “Hesaptan dolandırıcılık yapıldığını bilmediğini” belirterek de olaydan sıyrılmaya çalışır. Hukuk önünde dolandırıcılar kadar hesabını kullanmaya verenlerde direkt sorumludur haberiniz olsun, dolandırıcılara ulaşmak için iz kaydı bulunamayabilir ama sizin belgeleriniz dava dosyalarına yeterince girer. “Kiralık Hesap” diye bir uygulama bulunmadığı gibi banka sözleşmelerinde hesap ve kart şifresinin kullanıcı sorumluluğunda olduğunu taahhüt edersiniz zaten. “Hesabı, kartı kiraya verdim” demek sizi kurtarmaz.
Çözüm: Banka hesap ve kart ve şifreleri kimse ile paylaşmayın.
TELEFON OPERATÖRLERİ
Özellikle mobil dolandırıcılıklarında Telefon Operatör servisleri olayın tam merkezinde olmasına rağmen hiçbiri sorumluluk kabul etmiyor. Aslında operatör firmaları güvenlik önlemlerini artırdı ama ikiz kart çoğaltma, kart kullanıcısının kartı aktifleştirmede hala güvenlik açıkları var. Bankadan gelen mesajların telefon numarasına ulaşması yetmiyor, o hattın takılı olduğu Telefonun kimlik numarası olan-IMEI telefona gitmesi esas olmalı. Dolayısı ile sizin kart kopyalansa bile başka bir telefondan işlem yapılmasının önü alınması gerekiyor. Bankanın gönderdiği mesajların operatör telefon numarasına ulaştığını teyit ediyor fakat müşterinin kullandığı operatörün de onayladığı IMEI telefonuna bağlı numaraya gönderildiğini teyit edemiyor. Operatörlerin kart taşıma aşamasında da ciddi güvenlik açıkları söz konusu. Yetkili servis dışında telefonunuzu rastgele servislere vermemeniz, yetkili de olsan telefon tamiratlarında sim kartı telefonda bırakılmamasını öneririm.
Çözüm: BDDK, Türkiye Bankalar Birliği-TBB, Adalet Bakanlığı, Emniyet Siber Suçlar Müdürlüğü, Telefon Operatörler ortak bir Çalıştay yaparak ortak güvenlik ağı oluşturmaları bu sorunu ortadan kaldırır, başka da çözüm yok!
BANKALARIN SORUMLULUĞU VE GÜVENLİK AÇIĞI
Bankalar kabul etmese de ciddi güvenlik açığı var. Bir defa şu “Hazır kredi, hazır limit” rezilliğine son verilmesi gerekiyor. Müşteriden yazılı, sözlü izin almadan, hazır kredi olmamalı. Hazır kredi pimi çekilmemiş bomba gibi. Zira, hesabınıza girilse bile hesabınızdaki para boşaltılır, fakat hazır limitini var ise gecenin bir yarısında bu krediler kullandırılıyor, hazır kredi kart limiti artırılıp hesap boşaltılıyor, para transferleri yapılıyor, ATM’lerden kartsız olarak QR kodla çekiliyor, ruhunuz bile duymuyor. Bu tam rezillik, öyle davalar var ki hiç hesabı olmayan bankada adına hesap açılmış, krediler kullanılmış çekilmiş; banka krediniz ödenmiyor diye arayıp borcun gecikmeye düştüğünde müşterinin haberi oluyor. Bir Banka CEO’su, BDDK üyeleri, TCMB çalışanları, TBB üyeleri bu durumda kalsa kendini nasıl hisseder acaba? Biraz Empati lütfen! Vahim bir durum!
Bankalar genelde “müşteriye mesaj gönderdik” diyerek aradan sıyrılıyor fakat müşterinin kayıtlı IMEI telefonuna gönderdiğini teyit edemiyorlar. Bankalar açısında da asıl sorun bu zaten, bunu önleseler dolandırıcılıkların da önünü alacaklar. Bazı bankalarda dolandırıcılıkların artma nedeni tamamen bu durum.
Çözüm: Bankalar için kayıtlı telefon numarasına bilgilendirici ve onay mesajı göndermek yetmez, müşterinin kullandığı IMEI telefonuna gönderilmesi için altyapısı düzenlenmeli. Kredi kullanımları gece engellenmeli, müşteri aranmadan kullanım yapılmamalı.
SONUÇ: Siber Dolandırıcılık olayları hızla arttı. Cep telefona ve Bilgisayara gönderilen program ve linkler ile virüslü oyunlar ile müşteri bilgileri şifreleri ele geçirilmesi zor değil, o nedenle yukarıdaki tedbirlerin acil almaması halinde mağdurlar artarak hızlanacaktır. Yukarıda da belirttiğim gibi, tek çözüm var; BDDK, Türkiye Bankalar Birliği-TBB, Adalet Bakanlığı, Emniyet Siber Suçlar Müdürlüğü, Telefon Operatörler ortak bir Çalıştay yaparak ortak güvenlik ağı oluşturmaları bu sorunu ortadan kaldırır, başka da çözüm yok! Hazır limitler müşteri istemediği sürece açılmamalı, açık olan limitler iptal edilmeli. Ortomatik kredi kullanım engellenmeli, telefon ile teyit alınmalı. Banka, operatör, müşteri arasında güvenlik ağı sağlanmadan siber dolandırıcılıkların önü alınmaz; başta bankalar ve telefon operatörleri seyretmek yerine kendi üzerine düşen görevi yapmalı. Daha önemlisi; Müşteri dolandırıldığını; para transferi yapıldığını fark edip bankayı aradığında “bir şey yapamayız, mahkeme kararı getir” gibi bir uygulama kabul edilemez. “Şikayetlerde Ön bloke sistemi “açıl uygulamaya konmalı.
Diğer taraftan konuyu dağıtmamak için girmedim, Elektronik Para ve Ödeme Hizmetleri firmalarının Dijital Güvenliği tam anlamı ile sağlamadığını, gerçek dışı kimlik bilgiler ile açılan hesapları gerçekmiş gibi “Basit Usulde Kimlik” diye mahkemeyi sunduğu rezilliği daha önce kanıtlarıyla yazmıştım, buna rağmen bir tedbir halen alınmadı.
Erol TAŞDELEN – Ekonomist, Bankacılık Bilirkişisi www.bankavitrini.com
Tüm Yazarlar
