Sahte Elektronik Postalar (Fake Mail) Ile Ilgili Dünyadaki Son Gelişmeler
Bildiğiniz gibi daha önce turk.internet.com?da bir yazı dizisi halinde sahte elektronik postaları (fake mail) geniş bir hukuki perpektiften ele almıştık. O günden bugüne sahte elektronik posta vakalarında büyük bir artış oldu. Bu artış hem vakaların sayısı olarak hem de finansal kayıpların büyüklüğü açısından gerçekleşti. Önceki yazımızda özellikle finans kuruluşları yöneticilerini ve çalışanlarını bu konuda bilgilendirmeye çalışmıştık. Bugün gelinen noktada en çok saldırıya yine finans kuruluşları maruz kalmaktadır.
Ülkemizde bu konuyu düzenlemeye yönelik herhangi bir gelişme yok henüz. Hatta bazı akademisyenler sahte elektronik postaların mevcut yasal düzenlemeler karşısında suç oluşturmadığını da ileri sürmekte. Fakat önceki yazımızda bu eylemin suç teşkil ettiğini, bu tür suçlarda dar yorumlara giderek suçu cezasız bırakmamak gerektiğini belirtmiştik.
Bu yazıyı hazırlamama sebep olan olay ise ABD?den gelen bir yasa tasarısı haberi. ABD?li hukukçuların ?The Anti ? Phishing Act? olarak adlandırdıkları ve Senatör Patrick Leahy tarafından sunulan yasa tasarısı ile ABD?de büyük finansal kayıplara yol açan sahte elektronik posta eylemleri önlenmek isteniyor.
ABD?de böyle bir yasa çıkarılmasına niçin ihtiyaç duyuldu peki?
Sahte elektronik posta eylemleri ilk olarak 1996 yılında ortaya çıktı. Bu yılda birçok AOL üyesinin hesapları bu yöntemle çalındı. ABD?de bu yönteme verilen isim ?phishing? . Yani ?balık tutma?. Terimin başındaki ?ph? ise bir hacker geleneği. ?f? yerine ?ph? kullanmak hackerların çoğunlukla yaptığı birşey.
ABD?de yapılan bir araştırmaya göre geçtiğimiz Haziran ayında 1422 ayrı sahte elektronik posta olayı yaşandı. Bu rakam Mayıs ayına göre vakaların %52 artması anlamına geliyor. Bu saldırıların 500 tanesinin hedefi ise ABD?nin en büyük bankalarından biriydi. Senator Leahy?ye göre geçen 12 ay boyunca sahte elektronik postalar sebebiyle uğranılan zarar 2 milyar dolar civarında ve bu rakam giderek artmakta.
Sahte elektronik posta saldırılarının hedeflerine baktığımızda internet bankacılığının, internet ödeme servislerinin ve e-ticaret sitelerinin öncelikli olduğunu tespit ediyoruz.
Yukarıda saydıklarımız ve özellikle Ağustos 2003?ten beri en büyük bankalara karşı yapılan saldırıların artması, sahte elektronik posta vakalarıyla mücadele gerekliliğini ortaya çıkardı ve bu gereklilik sonucu yukarıda andığımız yasa tasarısı hazırlandı.
İlk yazımızda ayrıntılarıyla açıkladığımız sahte elektronik posta tekniği artık eskimiş durumda. Bugün çok daha gerçekçi sahte elektronik postalar ve sahte web sayfaları hazırlanıyor. Her geçen gün bunların inandırıcılıkları artıyor. Hatta son tespitlere göre bu eylemlerin artık tek tek bireyler tarafından değil organize suç şebekeleri tarafından yapıldığı belirtiliyor.
Peki bu olayların önüne geçmek, suçluları yakalamak mümkün değil mi?
Sahte elektronik posta vakalarının önüne geçmenin en iyi yolu eğitim. Özellikle finans kuruluşlarında çalışan ve bir e-posta hesabı olan herkes bu saldırıların hedefi olabileceği için bu kişilerin bu konuda bilinçlendirilmeleri gerekiyor. Burada kullanıcının konumunun ne olduğu o kadar önemli değil. Bir hacker herhangi bir çalışanın hesabını ele geçirmekle kendisi için çok değerli olan bilgileri elde edip büyük zararlar verebilir.
Saldırganların yakalanmasındaki en büyük zorluk internetin doğasından kaynaklanıyor. Çünkü suç işlendikten sonra elde edilebilecek deliller çok kolay ortadan kaldırılabiliniyor. Örneğin sahte elektronik postanın yönlendirdiği web sitesi eylemden hemen sonra bulunduğu sunucudan alınıp dünyanın başka bir yerindeki herhangi bir sunucuya taşınabiliyor. Yavaş işleyen hukuki mekanizma ve internetin uluslararası doğasının getirdiği yetki problemleri bu suçluların yakalanamamasında en önemli etkiyi oluşturuyor.
Örneğin bir olayda sahte bir web sitesinin 12 gün içerisinde 7 ayrı sunucuya taşındığı tespit edilmiş. Bu sunucuların coğrafi dağılımı ise tüm dünya üzerine yayılmış durumda; 4 adedi Kore?de, 2 adedi ABD?de ve 1 adedi Uruguay?da. Bir olayda ise web sitesi sadece 54 saat boyunca açık kalmış.
Bu verilerden de anlaşıldığı gibi sahte elektronik posta olaylarında suçluyu yakalamak gerçekten çok güç bir olay. Yine de suçluların yakalandığı bazı örnek olaylar mevcut. Örneğin Federal Ticaret Komisyonu?nun açtığı bir davada AOL?ün faturalama sayfasının taklidini yapan ve gönderdiği sahte e-postalar ile insanların buraya yönelmesini ve kullanıcı hesaplarını girmelerini sağlayan bir kişi hakkında dava açıldı. Yine Teksas?ta AOL?ün ve PayPal?in logosunu kullanarak kredi kartı numaraları ve banka hesaplarını ele geçiren bir kişi yakalandı.
ABD başkanı Bush geçenlerde kimlik hırsızlığıyla bağlantılı suçlara verilen cezaları arttıran bir düzenlemeyi imzaladı. Bu düzenleme ile ağırlaştırılmış kimlik hırsızlığı denilen bir suç ihdas edildi. ABD?li hukukçular sahte e-posta eylemlerinin de bu yasa kapsamında değerlendirileceğini belirtiyorlar.
Senator Leahy?nin hazırladığı yasa tasarısı sahte e-postaları tüm yönleriyle ele almayı amaçlıyor. Yasa ile sadece sahte elektronik postaların ve sahte web sitelerinin önüne geçilmek değil buna ek olarak gönderilen e-postaların ve açılan web sitelerinin ifade özgürlüğü kapsamında değerlendirilerek suç kapsamından çıkarılması da önlenmek isteniyor. Yasa tasarısı ayrıca bir tehlike suçu yaratıyor. Yani bir suç işlemek amacıyla kasten bir sahte elektronik postanın gönderilmesi bir zarar oluşmasa dahi suç olarak kabul ediliyor.
Eğer yasa yürürlüğe girerse failler 5 yıl ağır hapis ve 250.000 ABD doları ile cezalandırılacak.
Sahte elektronik postalarla mücadelede yasal düzenlemeler önemli bir faktör ama yukarıda da belirttiğimiz gibi suçluların takibi zor. Bu sebeple özellikle anti-virüs, anti-spam ve filtreleme şirketleri teknik çözümler bulmak için çalışıyorlar.
Eğer böyle bir eyleme maruz kalırsanız size gelen e-postayı kesinlikle silmeyin ve yönlendirdiği web sitesiyle ilgili bilgileri toplamayı deneyin. Örneğin ripe.net?ten whois sorgulaması yapıp ilk bilgileri toplamaya çalışın. Derhal üstlerinize ve bilgi işlem departmanına haber verin. Eğer bireysel kullanıcıysanız bir dilekçe ile hemen savcılığa başvurup ilgili polis departmanına elden havale alın ve yazıyı polise götürün. Emniyet bugün bu tür olaylara derhal müdahale edebilecek teknoloji ve insan gücüne sahip. Bu tür suçlarda zamanın çok önemli olduğunu hiçbir zaman aklınızdan çıkarmayın. Şunu bilmelisiniz ki ne bankanız, ne e-postasını kullandığınız firma ne de diğer herhangi bir şekilde kullandığınız internet servisi sizden kullanıcı hesaplarınızı ve şifrelerinizi istemez. Bu internet ile ilgili işlemlerde uygulanan bir yöntem değildir. Eğer bunlara dikkat edilmezse daha sonra gördüğünüz zararlar için rücu etmek istediğinizde bankanız veya diğer kuruluş sizin gerekli önlemleri almadığınızı ispat edebilir. Olayların büyük çoğunluğunda da hatanın kullanıcı taraflı olduğu tespit edilmiştir. Asıl suçluyu yakalamak ta mümkün olmazsa yılların birikimi bir anda buharlaşabilir.
İnternet denizinde güvenli seyahatler diliyorum.
Av.Ali Osman Özdilek
17.08.2004, 2.Ulus/İstanbul