28 Mayıs 2014 Çarşamba

Online Bankacılıkta Bilişim Suçları


1.     GİRİŞ


            Bilim ve teknolojide yaşanan hızlı gelişmeler doğrudan yaşamı etkileyecek nitelikte olmaya başlamıştır. Teknolojik gelişmelerin neredeyse tüm insanları etkilediği alan özellikle internet tekonlojileridir. İnternet, bilginin mesafe tanımaksızın dünyanın her noktasına anında iletilmesini sağlayan ve insanlar arasındaki iletişimi farklı noktalara taşıyan bir teknoloji olarak insan hayatındaki yerini almıştır. İnternetin  bu özelliğini kullanarak rekabet avantajını sağlamak isteyen ve müşterilerine sınırsız hizmet sunmayı hedefleyen kurumlar internet teknolojisine yatırım yapmaya başlamışlardır. Bu kurumların en başında müşterilerini internet bankacılığıyla tanıştıran bankalar gelmiştir. Kullanıcıların bilgisayarlarından, cep telefonlarından, tabletlerinden bankacılık işlemlerini yapabilmelerine olanak sağlayan internet bankacılığı uygulaması tüm dünyada sunulmaktadır. Zaman ve mekan bağımsız olarak kullanılan uygulamalar getirdiği büyük kolaylığın yanında önemli riskler de taşımaktadır. İnternet bankacılığı uygulamasının kullanımının temel amacı paranın yönetilmesi olduğu için kötü niyetli kullanıcıların da (hacker) birincil hedefi haline gelmektedir. Bu yüzden dünyada her geçen gün finansal kurumlara yapılan hacking saldırıları artmaktadır. Saldırı yöntemleri analiz edilerek, bunlara karşı önlemlerin alınması ve bankacılık sistemlerinin güncel tutulması internet bankacılığı uygulamasının güvenli şekilde kullanılmasını sağlayacaktır.

2.     İNTERNET BANKACILIĞI


           İnternet teknolojilerinin gelişmesiyle birlikte hayatı kolaylaştıran uygulamaların en yaygın olarak kullanılanı şüphesiz bankacılık uygulamalarıdır. Bankalar, müşterilerine internet üzerinden neredeyse tüm bankacılık işlemlerini gerçekleştirebilecekleri ortam sunmaya başlamışlardır. İnternet şubesi olarak adlandırılan bu ortamlarda para havale etme, hesapları kontrol etme, fatura ödeme, fon alma satma gibi bir çok işlem müşterinin hizmetine sunulmuştur. İnternet bankacılığı için kapsamlı tanımı Altan, M., Karasioğlu şu şekilde yapmıştır. “İnternet bankacılığı; para yatırmak ve çekmek dışında tüm bankacılık işlemlerinin kişinin bizzat kendisi tarafından yer ve zamandan bağımsız olarak bir bilgisayar aracılığı ile bankanın web sayfası üzerinden yapılan işlemlerdir” ifadeleriyle tanımlamıştır [1]. Para havale etmek için dahi saatlerce sıra bekleyen insanlar için bankaların internet şubeleri hayatlarının vazgeçilmezi haline gemiştir. Türkiye Bankalar Birliği’nin Haziran 2013’te yayınladığı “İnternet ve Mobil Bankacılık İstatistikleri” raporuna göre internet bankacılığı yapmak üzere sistemde kayıtlı olan ve en az bir kez giriş işlemi yapmış toplam bireysel müşteri sayısı, Haziran 2013 itibariyle, 25 milyon 313 bin kişi olmuştur. Son bir yıl içerisinde en az bir kez giriş işlemi yapmış toplam bireysel müşteri sayısı ise yaklaşık 15 milyon 707 bin kişidir [2]. Bu sayı her geçen gün artmaya devam etmektedir.

            Ne yazık ki internet bankacılığı, sağladığı bunca kolaylığın yanında ciddi riskler de taşımaktadır. Özellikle kötü niyetli bilgisayar kullanıcılarının (hackerlar) temel motivasyon kaynaklarının arasında maddi kaygılar ilk sırada geldiği için her gün yüzlerce internet bankacılığı kullanıcısı bu tehditlerle karşılaşmaktadır. İnternet bankacılığı konusunda bankalar gerekli güvenlik önlemlerini almış olsalar da, güvenliğin sağlanmasında kullanıcı bilinci ve farkındalığı çok daha önemli rol oynamaktadır. İnternet bankacılığı kullanıcılarını hedef alan Zeus, SpyEye, Fatmal gibi zararlı yazılımların sayısının hızla artıyor olması bilgisayar korsanlarının doğrudan kullanıcıları hedef aldığını göstermektedir. Tüm bu tehditler analiz edilerek kullanıcıya güvenli internet bankacılığı sunulmalıdır.

3.     SUÇ YÖNTEMLERİ


3.1.Oltalama (Phishing)


            Oltalama saldırıları doğrudan kullanıcıyı hedef alan, kullanıcının zaaflarından yararlanmayı amaçlayan bir saldırı yöntemidir. Kullanıcının güvendiği kaynaklardan geliyormuş gibi gösterilen e-postalar sayesinde kullanıcı adı, parola gibi bilgiler ele geçirilmektedir. Türkiye’de 25 milyon internet bankacılığı kullanıcısının olduğu düşünüldüğünde özellikle internet bankacılığı kullanıcılarına yapılan oltalama saldırıları gün geçtikçe  artmaktadır. Global Phishing Survey 2H2012 raporuna göre; dünya genelinde 2012 yılının ikinci altı aylık kısmında 123,486 oltalama saldırısı gerçekleşmiştir [3]. Bankaların aldıkları güvenlik yöntemleri arttıkça saldırganlar da yöntem değiştirerek doğrudan kullanıcıları hedef alan oltalama saldırılarını gerçekleştirmektedirler. Bunun temel sebebi toplumun her profilinden internet bankacılığı kullanıcısının yer almasıdır. Kullanıcılar içinde bilgisayar okur-yazarlığı çok iyi olanlar olduğu gibi bilgisayar teknolojisine çok fazla uyum sağlayamamış insanlar da bulunmaktadır. Saldırganlar saldırılarını gerçekleştirirken belirli bir profili hedef almamaktadırlar. Sadece bilgisayar okur-yazarlığı zayıf olan internet bankacılığı kullanıcılarına yönelmek yerine bir bankanın tüm internet bankacılığı kullanıcılarını hedef alıp bilgisayar okur-yazarlığı zayıf olanların tuzaklarına düşmesini beklemektedirler. Oltalama ismi de aslında buradan gelmektedir. Bir balıkçının oltasının ucuna yem takıp denize atıp beklemesi ve aç olan balıkların zaafından yararlanması örneğine benzerliğinden dolayı bu isim verilmiştir.

Aşama aşama oltalama saldırısı şu şekikde meydana gelmektedir;

  •   Saldırgan bankadan geliyormuş gibi hazırladığı e-postayı kullanıcıya gönderir. E-posta genelde internet bankacılığındaki yeniliklerden veya kampanyalardan bahseder. Buradaki temel amaç kullanıcıyı internet bankacılığını o an kullandırmaya ikna etmektir.
  •    İnternet bankacılığını o an kullanmaya ikna olan kullanıcı farkında olmadan saldırganın talimatlarıyla hareket ederek onun gösterdiği bağlantı adresine gitmeye çalışacaktır. Açılan yeni pencerede her zaman kullandığı internet bankacılığı sayfasını gören kullanıcı doğru yolda olduğunu düşünecektir.
  •    Gerçek internet bankacılığı sayfasına gittiğini düşünen kullanıcı aslında saldırganın hazırladığı kopya sayfaya gitmiştir. Bu sayfaya yazdığı kullanıcı adı, parola gibi her türlü bilgi artık saldırgan tarafından görülebilecektir. 
  •     Saldırgan internet bankacılığı kullanıcısına ait bilgileri kullanarak internet bankacılığına giriş yapmıştır.
  •      Asıl amacına ulaşarak maddi çıkar sağlamıştır.

Şekil-1: Oltalama Saldırısı


            BDDK'nın Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ'inde İnternet Bankacılığı bölümünde Madde-27(4)'te “Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği", müşterinin "sahip olduğu" veya müşterinin "biyometrik bir karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin "bildiği" unsur olarak parola/değişken parola bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.” denilmektedir. Burada oltalama saldırıları gibi saldırılara karşı bankaların önlem almalarını istemektedir. Bankalar önlem olarak cep telefonlarına gönderilen tek kullanımlık şifrelerle güvenliği sağlamaya çalışmaktadırlar. Ancak saldırganlar bunu da özellikle akıllı telefonlara yerleştirilen küçük zararlı yazılımlar sayesinde atlatabilmektedirler.

Türk Ceza Kanunu Açısından Oltalama Suçunun Değerlendirilmesi


            5237 Kanun No'lu Türk Ceza Kanunu'nda Bilişim Suçları ile ilgili maddeler düzenlenmiştir. Bu maddelerde bilişim sistemine girme, sistemi engelleme bozma, verileri yok etme veya değiştirme, ve banka veya kredi kartlarının kötüye kullanılması başlıkları altında değerlendirilmiştir. Yukarıda bahsedilen oltalama saldırısı ilk bakışta bilişim sistemine girme olarak değerlendirilebilir. Ancak burada hedef doğrudan bilişim sistemine girmek değildir. Bilişim sistemine girerek maddi kazanç sağlamaktır. Bilişim suçları değerlendirilirken doğrudan bilişim suçu ve dolaylı bilişim suçu gibi iki temel unsur göz önünde bulundurulmalıdır. Doğrudan bilişim suçunda amaç bilişim sistemlerine yönelik zarar vermeler olarak düşünülürken, dolaylı bilişim suçunda amaç klasik suçların bilişim sistemlerinden yararlanılarak işlenmesi olup, bu suçların nitelikli şekli olarak o suçla ilgili bölümlerde yer almaktadır. TCK’nın 112, 113, 125, 132, 133, 134, 135, 136, 138, 142/2-e, 158/1-f, 213-218, 226, 228 maddelerinde yazılı suçların bilişim sistemleri kullanılarak işlenmesi mümkündür.

            Bu yüzden oltalama suçu dolaylı bilişim suçu olarak değerlendirilip nitelikli dolandırıcılık kapsamında değerlendirilmelidir. TCK Madde-158(f)'de “ Dolandırıcılık suçunun; bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle, işlenmesi hâlinde, iki yıldan yedi yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.” denilmektedir. Bu değerlendirme yukarıda adım adım belirtilen oltalama suçu içindir.

            Ayrıca, elde ettiği bilgilerle kullanıcının internet bankacılığı hesabına girip işlem yaptığı için TCK Madde 243 – (1)'e (Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir) göre de suç kapsamında değerlendirecektir.

3.2.DNS Zehirleme (DNS Poisoning)


            Domain Name Server (DNS) internet üzerinde web sayfalarının IP adreslerinin tutulduğu bir rehberdir. Bunu telefon rehberine benzetebiliriz. Tüm numaraları ezberleme imkanımız olmadığı için bunlar anlamlandıralarak rehbere kayıt edilir. Ziyaret ettiğimiz her web sitesinin de bir IP adresi vardır. Bu IP adreslerini ezberlemek, öğrenmek çok zor olacağı için isim çözümlemsi yapılmaktadır. Örneğin internet bankacılığı kullanıcısı işlem yapmak istediğinde tarayıcısına  bankasının adresini yazdıktan sonra sırasıyla işlem şu şekilde gerçekleşecektir. Bankanın internet sayfasına ait IP adresi DNS sunucuya sorulur. Gelen cevaba göre ilgili IP adresinden istekte bulunulur ve kullanıcı bankasının internet sayfasına girmiş olur. Saldırganlar burada DNS zehirleme yöntemiyle kullanıcıyı kendi internet sayfalarına yönlendirmeyi hedeflemektedir. Oltalama saldırılarında olduğu gibi saldırganlar yönlendirdikleri sahte web sayfasında kullanıcının tüm bilgilerini ele geçirmeyi amaçlamaktadırlar.

DNS zehirleme saldırısı sırasıyla şu şekilde gerçekleşmektedir.

  •     Saldırgan sunucudaki bir zafiyeti kullanarak DNS'i zehirliyor.
  •     Kullanıcı internet tarayıcısına girmek istediği bankanın adresini yazıyor.
  •    Bankanın sayfasını bulabilmek için DNS çözümlemesi yapılarak IP adresi bulunuyor.
  •     DNS sorgusu zehirlenen DNS ile yapıldığı için gelen IP adresi saldırgana ait IP adresi oluyor.
  •   Saldırganın IP adresiyle devam edildikten sonra kullanıcının karşısına saldırganın hazırladığı gerçek sayfa ile bire bir aynı olan sayfa geliyor.
  •     Kullanıcının bu sayfaya girdiği parola, kullanıcı adı gibi bilgiler saldırganın eline geçmiş oluyor.
  •   Saldırgan bilgiler sayesinde internet bankacılığına giriş yaparak maddi kazanç sağlamış oluyor.

Şekil-2: DNS Zehirleme Saldırısı
            DNS zehirleme saldırılarının bir başka yöntemi de doğrudan kullanıcı bilgisayarında bulunan yerel DNS dosyasına müdahale etmektir. İşletim sistemlerinde bulunan “hosts” dosyası yerel DNS hizmeti vermektedir. İnternet tarayıcısına yazılan bir web adresi DNS sunuculara sorgulanmadan önce ilk olarak “hosts” dosyasında kontrol edilir. Eğer burada bir karşılığı varsa dosyadaki IP adresini alarak sorguyu bitirir ve o adresten istekte bulunur. İşletim sisteminin “hosts” dosyasına müdahale edip kullanıcının bankası yerine kendi web sayfasının IP adresini ekleyen saldırgan kullanıcıyı bire bir kopyasını oluşturduğu internet bankacılığı yönlendirmiş olur. Kullanıcı bilgilerini, parolalarını ele geçiren saldırgan internet bankacılığına giriş yaparak maddi kazanç elde etmiş olur.

 

Türk Ceza Kanunu Açısından DNS Zehirleme Suçunun Değerlendirilmesi


            İşlenen suçun doğrudan bilişim suçu mu yoksa dolaylı bilişim suçu mu olduğunun analiz edilmesi gerekmektedir. Oltalama saldırısında olduğu gibi her ne kadar saldırganın niyeti kullanıcının hesabındaki parayı almaya yönelik olsa da kullanıcının aldatılması söz konusu değildir. Burada kullanıcı tüm işlemleri doğru bir şekilde yapmaktadır. İnternet tarayıcısına girerek kendi bankasının adresini yazmaktadır. Yönlendirilme kısmı DNS tarafında olmaktadır. Saldırgan DNS sunucunun işleyişini bozmaktadır. Burada işleyişin bozulmasıyla anlatılmak istenen normal şartlar altında varsayılan tanımlamalar dışında çalışmasıdır. Dolayısıyla DNS zehirleme saldırısı doğrudan bilişim suçu kapsamında değerlendirilmelidir.  TCK Madde-244(1)'de “Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.” denilmektedir. Bu madde kapsamında suç olarak değerlendirilecektir. Ayrıca, elde ettiği bilgilerle kullanıcının internet bankacılığı hesabına girip işlem yaptığı için TCK Madde 243 – (1)'e (Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir) göre de suç kapsamında değerlendirecektir.

3.3.Zararlı Yazılım (Malware)


            İnternet bankacılığına yönelik tehditlerden en önemlisi ve etkilisi zararlı yazılımlardır. Finans sektörüne karşı tasarlanmış bu tür zararlı yazılımlar tüm dünyada hızlı bir şekilde artmaktadır. Bankaların aldıkları güvenlik önlemleri artmaya başladığından beri saldırganlar hedeflerini kullanıcılara doğru yöneltmişlerdir. Bunun için gerekli olan kaynağı sağlayıp yüksek motivasyonla hedeflerine saldırmaktadırlar. Kullanıcı bilgisayarına bulaşan bir zararlı yazılım, adeta saldırganın uzaktan kumandası olmaktadır. Öyle ki, kullanıcı hareketlerini her türlü izleme, dinleme ve kaydetme işlemlerini rahatlıkla yapabilmektedir. Durum böyle olunca bu tür saldırılarda gün geçtikçe artmaya başlamıştır. Trend Micro'nun “2013 Q2 Security Roundup” raporuna göre internet bankacılığa karşı geliştirilen zararlı yazılımların sayısı 2012 yılına göre %29 artarak 146,000 olmuştur [4]. Ayrıca aşağıdaki grafikler McAfee laboratuarlarında bulunan zararlı yazılımların son 1 yıl içindeki değişimini göstermektedir.




Grafik-1: Zararlı Yazılım Sayıları [5]

Her geçen gün tehditlerin arttığı zararlı yazılımlar kullanıcı bilgisayarlarına nasıl bulaşıyor?
            Sosyal mühendislik yöntemleri  genelde en çok kullanılan yöntemlerin başında geliyor. Kullanıcıya gönderilen resim, doküman gibi dosyaların içine yerleştirilen zararlı yazılımların kullanıcının bilgisi olmadan arka planda çalışması sağlanır. Ayrıca bazı web sayfalarının zafiyetinden faydalanılarak zararlı yazılımlar enjekte edilebilir. Buraya giren kullanıcılar farkında olmadan zararlı yazılımları bilgisayarlarına almış olurlar. Bir diğer sık kullanılan yöntem de oyun gibi internetten indirilen çalıştırılabilir uygulamaların içine yerleştirilen zararlı yazılımlardır.
            Dünya genelinde bir çok internet bankacılığı kullanıcısını mağdur eden en popüler zararlı yazılımlar zeus, spyeye, tinba ve fatmal gibi trojan'lardır. Bu zararlı yazılımlar genel olarak trojan ismiyle tanınmaktadır. Yapısı gereği kullanıcı bilgisayarına bulaşan yazılımlar kullanıcıdan habersiz bir çok işlem gerçekleştirmektedir. İsmi, görev olarak benzediği için mitolojideki truva atından gelmektedir. Bu zararlı yazılımların yıllar içinde bir çok versiyonu çıkmıştır. Temel çalışma prensipleri kullanıcı bilgisayarına bulaşarak özellikle internet bankacılığı hareketlerini izlemek, saldırgana raporlamak ve hatta müdahale etmektir. Doğrudan internet bankacılığı hedeflenmiştir. Dolayısıyla kişinin e-posta parolasını veya facebook parolasını almayacaktır. Bu 4 popüler zararlı yazılımın temelde farklı çalışma prensipleri ve farklı hedefleri vardır. Bu yöntemleri anlamak, saldırganlara karşı korunmada ve önlem almada önemli bir adım olmaktadır.
        Zeus: Zeus trojanı internet bankacılığını hedef alarak kullanıcıların bankacılık hareketlerini/işlemlerini değiştirmeyihedefler. Saldırgan öncelikle hedef aldığı bankaları belirler. Bu bankaların internet bankacılığı işlemlerini derinlemesine analiz eder. Havale işleminin, EFT işleminin, döviz alıp-satma işlemlerinin nasıl gerçekleştiğini tespit eder. Bu işlemler her banka için farklı olacağından zararlı yazılımı hedeflediği bankalara göre özelleştirilir. Bu aşamadan sonra işlem sadece zararlı yazılımı kullanıcı bilgisayarına bulaştırmaktır. Bunu da sosyal mühendislik becerileriyle yaptıktan sonra kullanıcının bankacılık işlemleri yapmasını bekler. Kullanıcı bir hesaba para havale etmek istediğinde Zeus zaraylı yazılımı araya girerek tüm parayı saldırgana havale eder. Bu işlemler yapılırken kullanıcı paranın göndermek istediği hesaba gittiğini düşünür. Ancak bütün para saldırgana gönderilmiştir.
        Spyeye: Zeus trojanı gibi inernet bankacılığı kullanıcılarını hedef alır. Zeustan farklı olarak kullanıcı bilgilerini saldırgana gönderir. Her türlü klavye hareketlerini, kredi kart bilgilerini saldırgana göndererek maddi çıkar elde etmesine olanak sağlar.
       Tinba: Bankacılık sektörünü hedef alan bir zararlı yazılımdır. İsmi tiny (tin) ve bank (ba) kelimelerinin birleştirilmesinden oluşmaktadır. Banka uygulamalarını hedef alan bu zaraylı yazılım veri çalmak için geliştirilmiştir. İnternet tarayıcılarındaki kayıtlı bilgiler dahil olmak üzere her türlü trafik ve oturum bilgisini saldırgana göndermektedir. Bu bilgiler sayesinde saldırganın maddi çıkar elde etmesini sağlar.
        Fatmal: Fatura zararlı yazlımı (Fatura Malware) olarak adlandırılan zararlı yazılım özellikle 2013 yılı içinde Türkiye'de sıkça görülmüştür. Oltalama yöntemi kullanılarak kullanıcıya gönderilen bir e-posta ekinde yer alan fatura açıldığında zararlı yazılım kullanıcı bilgisayarına bulaşmış oluyor. Özellikle bankacılık uygulamalarını hedef alan zararlı yazılım sayesinde kaullanıcı adları ve parolalar saldırgana gönderilerek saldırganın maddi kazanç elde etmesine olanak sağlıyor.

Türk Ceza Kanunu Açısından Zararlı Yazılım Suçunun Değerlendirilmesi


            Bankacılık sistemlerini hedef alan zararlı yazılımların kullanıcı bilgisayarına bulaştırılması aracılığıyla işlenen suçlar bilişim suçları kapğsamında değerlendirilmektedir. Sisteme veri yerleştirerek maddi kazanç elde etmeyi amaçlamaktadır. TCK Madde – 244(2)'de “(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.” denilmektedir. Saldırganın zararlı yazılımı kullanıcı bilgisayarına yerleştirmesi ilgili maddede geçen sisteme veri yerleştiren ifadesi kapsamında suç olarak değerlendirilmektedir.

3.4.Mobil


            Mobil teknolojilerin hızla insan hayatına girmesiyle birlikte saldırganların yeni ilgi alanı mobil uygulamalar olmaya başladı. Yeni gelişmekte olan mobil platformlardaki zafiyetlerin, kontrollerin ve farkındalığın eksik olmasından dolayı saldırganlar bu alana daha çok kaynak ayırmaya başladılar. Bankalar da müşterilerine daha iyi hizmet için sunmak için internet bankacılığı uygulamalarını mobil olarakta geliştirmeye başladılar. Sağladığı kolaylıklarla birlikte mobil bankacılık uygulamaları her an kullanılmaktadır. Bilgisayar okur-yazarlığı 2000'li yılların başına göre artmış olsa da mobil teknolojilerin okur-yazarlığı 2000'li yılların bilgisayar okur-yazarlığı seviyesindedir. Bu alanda da kullanıcıların bilinçlenmesi ve bankaların gerekli güvenlik önlemlerini alması gerekmektedir.

            McAfee laboratuarlarında yer alan mobil zararlı yazılımların artış grafiği son iki yıldaki artışı çok net olarak göstermektedir.


Grafik-2: Mobil Zararlı Yazılım Sayısı [6]

            Mobil platformlar genellikle Android ve Apple iOS işletim sistemlerinden oluşmaktadır. Bu iki işletim sistemi kendine özgü uygulama alanları sayesinde kullanıcılarına uygulamalar sunmaktadır. Android işletim sisteminin uygulamalarını barındıran sistemde herhangi bir kontrol uygulanmamaktadır. Yazılım geliştiren herkes bu platforma uygulamasını yükleyebilmektedir. Kontrolsüz bir şekilde doğrudan kullanıcıya ulaşmaktadır. Uygulamanın mobil cihazlara kurulumu da son derece kolay olduğu için bu alanda ki zararlı yazılımlar hızla yayılmaktadır. Apple iOS işletim sisteminin uygulama depolama alanında uygulamalar güvenlik kontrolünden geçerek kullanıcılara sunulmaktadır. Bu durumda zararlı yazılımlar Andorid  mobil platformları Apple iOS mobil platformlara göre daha fazla tehdit etmektedir.Aşağıdaki grafikte oranlar gösterilmiştir.


Grafik-3: Mobil Zararlı Yazılım Platform

            Mobil uygulama platformlarına yüklenen bankacılık sistemlerini hedef alan zararlı yazılımlar çok hızlı bir şekilde yayılmaktadır. İnternet bankacılığını hedef alan uygulamalar özellikle SMS çalma üzerine tasarlanmaktadır. Bankaların aldığı güvenlik önlemleri içinde SMS ile gönderilen tek kullanımlık şifre olduğu için saldırganlar bu alanda özellikle yoğunlaşmaktadırlar. En yaygın mobil internet bankacılığı saldırıları şu şekilde yapılmaktadır;

            Kullanıcı cep telefonundan veya bilgisayarından internet bankacılığına giriş yapmak ister. Saldırganın daha önce sisteme çeşitli yöntemlerle yerleştirdiği zararlı yazılım aracılığıyla bir kullanıcının karşısına bir uyarı çıkar. Uyarıda bankanın yeni bir uygulamaya geçtiği ve cep telefonun marka modeli sorulur. Bu cevaba göre cep telefonuna uygun hazırlanmış zararlı yazılım indirilecektir. Zararlı yazılım SMS mesajlarını saldırgana göndermek amacıyla tasarlanmıştır. Kullanıcı kullanıcı adını ve parolasını girdikten sonra ayrıca bu bilgiler de saldırgana zararlı yazılımlar sayesinde gönderilmektedir. Bu andan itibaren saldırgan istediği zaman kullanıcının hesabına girebilecektir. 

           Bunca işlemleri gerçekleştiren Carpberp mobil zararlı yazılım uygulamasının kronolojisi aşağıdaki gibidir. Zararlı yazılımın geliştirilmesiyle yayılması arasındaki gün farkı çok azdır. Bu kadar hızlı yayılması ve hedefe bulaşması saldırganlar için ciddi motivasyon kaynağı olmaktadır.

        Geliştirme ve test (01/11/12)
Yayılma başlangıcı (03/12/12)
Tespit edilme (11/12/12)
Android uygulama platformundan kaldırılma (13/12/12)

Türk Ceza Kanunu Açısından Mobil Zararlı Yazılım Suçunun Değerlendirilmesi


            Bankacılık sistemlerini hedef alan zararlı yazılımların kullanıcı mobil platformlarına bulaştırılması aracılığıyla işlenen suçlar bilişim suçları kapğsamında değerlendirilmektedir. Sisteme veri yerleştirerek maddi kazanç elde etmeyi amaçlamaktadır. TCK Madde – 244(2)'de “(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.” denilmektedir. Saldırganın zararlı yazılımı kullanıcı bilgisayarına yerleştirmesi ilgili maddede geçen sisteme veri yerleştiren ifadesi kapsamında suç olarak değerlendirilmektedir.

3.5.DDoS (Servis Dışı Bırakma)


            DDoS (Distributed Denial of Service – Dağıtık Servis Dışı Bırakma) saldırısı doğrudan sistemleri işlem yapamaz hale getirmeye yönelik saldırılardır. Sistemlerden veri kaçırma veya veriye müdahale etme gibi amaçları yoktur. Çalışma mantığı temelde şu şekildedir. Bir bankanın internet bankacılığı sistemlerinin sınırlı hizmet verme kapasitesi vardır. Örneğin aynı anda 1000 kişinin işlem yapabileceği  uygulamada 2000 kişi işlem yapmak isterse yoğunluktan dolayı sistem isteklere cevap veremeyecektir. Bu şekilde internet bankacılığı sistemlerine yapılan yüksek oranda ki istekler hizmet kesintilerine neden olmaktadır. İnternet bankacılığı kullanıcılarının saldırı süresince hizmet alamama haricinde hesap bilgilerinin çalınması gibi olumsuz etkilendikleri bir durum gerçekleşmemektedir. Ancak hizmet kesintisi gibi bankacılık sektörünün kabul etmek istemeyeceği çok önemli bir durum söz konusudur. Bankalar, özellikle rekabet avantajını sağlamak için müşterilerine internet bankacılığı hizmetini kesintisiz sunmak istemektedir. Bunun önüne geçmek isteyen saldırganlar DDoS saldırıları ile bankalara zarar vermek istemektedirler. Saldırganların temel motivasyonları siyasi sebepler, maddi kaygılar ve rekabet avantajını sağlamak olmaktadır. 2012'nin sonlarında ve 2013'ün başlarında Dünya genelinde U.S. Bankcorp, JPMorgan Chase & Co, Bank of America, PNC Financial Fervices Group, and SunTrust Banks gibi bankalara etkili DDoS saldırıları gerçekleştirilmiştir [7].

            DDoS saldırılarının gerçekleşme yöntemleri genelde 3 şekilde olmaktadır. Birincisi saldırganın kurduğu zombi ağ üzerinden, ikincisi tamamen gönüllü insanlar tarafından ve üçüncüsü sadece saldırgan üzerinden olmaktadır. Gönüllü insanlar bir görüşü savunan gruplardan oluşmaktadır ve bir ideolojik düşünce çerçevesinde yapılmaktadır. Her üç yöntemin de banka tarafındaki zararı neredeyse aynı olmaktadır. Bu yöntem farklılıkları bilişim suçları açısından değerlendirme sürecinde faydalı olabilecektir.

Şekil-3: DDoS Atak

Türk Ceza Kanunu Açısından Mobil Zararlı Yazılım Suçunun Değerlendirilmesi


            Türkiye'nin de taraf olduğu Avrupa Konseyi Siber Suç Sözleşmesi'nin 5. maddesinde “Her bir taraf devlet veri yükleyerek, aktararak zarar vererek, silerek, bozarak, değiştirerek veya müdahale ederek bilgisayar sisteminin kullanımında hakkı olmadığı halde bilerek ve isteyerek bilgisayarın sisteminin çalışmasını sekteye uğratma fiilini ulusal kanununda suç olarak düzenlemeli ve gerekli diğer düzenlemeleri yapmalıdır.” denilmektedir. TCK'da bu maddeye karşılık gelen düzenleme Madde 244-(1)'de belirtilmiştir. Buna göre, bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır”. Bu kapsamda internet bankacılığı sistemlerini işlem yapamaz hale getirmeyi hedefleyen DDoS saldırıları  doğrudan bilişim suçu kapsamında değerlendirilerek sistemlerin işleyişini engelleme ve bozma eylemi suç kapsamında değerlendirilmelidir.

            Ancak saldırının nasıl gerçekleştiği konusu araştırılmalıdır. Bir önceki bölümde bahsedilen DDoS saldırı yöntemlerinden gönüllü kişilerin ideolojik ve siyasi görüşlerini göstermek için protesto amacıyla yaptıkları DDoS saldırıları ayırt edilmelidir. Burada temel amaç bankacılık sistemlerine zarar vermek olmadığı için maddede geçen unsurların bilerek ve isteyerek gerçekleştirilmediği düşünülmektedir. Protesto amacıyla şehrin meydanında toplanan grubun Anayasal Haklarını kullanarak bu şekilde eylem yapmak istemeleri suç kapsamında değerlendirilmeyecektir. Bu şekilde yapılan DDoS saldırılarıda benzer özellikte olduğu için saldırı yönteminin belirlenmesi suç değerlendirmesi yapabilmek için önemlidir.

4.     GÜVENLİ İNTERNET BANKACILIĞINDA BANKALARIN SORUMLULUKLARI


            Bankaların internet bankacılığı hizmetini müşterilerine sunarken dikkate alması gereken en önemli konuların başında güvenlik gelmektedir. İnternet bankacılığının hayatımıza girdiği ilk yıllarda kullanılmasında çekince duyulan en büyük unsur güvenlikti. Kullanıcılar paralarını henüz yeni tanıştıkları ve yabancı oldukları bir ortamda yönetme konusunda hassas davranmışlardı. Bu yüzden bankalar, kullanıcılarına güvenli bir şekilde bankacılık işlemlerini yapmalarını sağlamak konusunda önemli adımlar atmalıdırlar. Aksi taktirde hem rekabet ortamında avantaj elde edemeyeceklerdir hem de BDDK'nın kurallarına uymamış olacaklardır. Bu durumda bankaların güvenli internet bankacılığını sistem ve kullanıcı tarafında olmak üzere iki şekilde sağlamaları gerekmektedir.

4.1.Bankacılık Sistemlerinin Güvenliği


            Tüm müşteri bilgilerinin tutulduğu sistemler ana bankacılık sistemi olarak adlandırılmaktadır. Bu sistemler bir nevi sanal kasa rolündedir. Burada gerçekleşecek yetki dışı işlemler maddi zararlara sebep olabilmektedir. Bu yüzden bankalar sistemlerin güvenliğini sağlamada çok etkin olmalıdır. Öncelikle teknoloji yatırımından önce alanında uzmanlaşmış, güncel tehditleri ve gelişmeleri takip eden bir ekip kurmalıdır. Bu ekiple birlikte en yeni güvenlik teknolojilerini takip edip sistemlerine entegre edebilmelidirler. Müşterilerine sağladıkları hizmet için de aynı şekilde güvenlik önlemlerini almaları gerekmektedir.

4.2.Kullanıcı Tarafındaki Güvenlik


            Bankaların sistem tarafındaki aldıkları güvenlik önlemleri kullanıcı tarafına aynı oranda yansımamaktadır. Bankalar için kullanıcı bilgisayarları yönetilebilir olmadığı için her zaman zayıf nokta olarak kalacaktır.  Kullanıcıyı hedef alan saldırganlar yukarıda bahsedilen yöntemleri kullanarak hedeflerine ulaşmak isteyeceklerdir. Kullanıcının zaafından yararlanmak isteyen saldırganlara karşı bankaların geliştirdiği güvenlik önlemleri bulunmaktadır. Riski en aza indirmek için bankalar daha önce uyguladıkları kullanıcı adı ve parola ile giriş sistemine tek kullanımlık şifre uygulamasını da eklemiştir. Buna benzer olarak IP kısıtlaması da bankaların aldığı güvenlik önlemlerinden biridir. Ayrıca kullanıcıya sunulan ücretsiz antivirus ve güvenlik kalkanı uygulamaları da kullanıcı trafında ki güvenliğin sağlanmasında etkin rol oynamaktadır. Tüm bunlara rağmen bankaların kullanıcı tarafında alabileceği önlemler kısıtlıdır.  Kullanıcının farkındalığını arttırmak için çalışmalar yapmak ve bunu periyodik hale getirmek yapılması gereken işlerin en başında gelmektedir. Kullanıcıları olası tehditlere karşı bilinçlendirmek internet bankacılığı işlemlerinde her zaman dikkatli olmalarını sağlayacaktır.


5.     SONUÇ


            Bilim ve teknolojinin gelişmesiyle birlikte internet bankacılığı kullanımı da hızla artmaya başladı. Nitekim Türkiye Bankalar Birliği’nin raporları [2] bunu doğrulamaktadır. 2013 itibariyle Türkiye’de internet bankacılığı kullanıcılarının sayısı 25 milyon’a yaklaşmıştır. İnternet bankacılığı uygulamaları sağladığı kolaylıkların yanında bazı riskler de taşımaktadır. Para yönetimi işleminin zaman ve mekan bağımsız gerçekleştirilebiliyor olmasından dolayı kötü niyetli kullanıcıların  (hacker) dikkatini çekmiştir. Geliştirdikleri birbirinden farklı yöntemlerle maddi çıkar sağlamayı amaçlayan saldırganlar, özellikle kullanıcıların zaafından faydalanmayı hedeflemişlerdir. Hedeflerine ulaşmak için izledikleri yöntemler başlıca oltalama (phishing), DNS zehirleme, zararlı yazılımlar (malware), mobil ve DDoS olarak görülmektedir. Kullanılan yöntemlerin neredeyse tamamı doğrudan internet bankacılığı kullanıcılarını hedef alan yöntemlerdir. Bu yöntemlerin analiz edilmesiyle birlikte bankalar, kullanıcılarına güvenli internet bankacılığı hizmeti sunmak için çeşitli güvenlik önlemleri almaktadırlar. Ancak saldırganların her zaman yeni yöntemler arayışı içinde olduğu düşünüldüğünde bankaların aynı şekilde sistemlerini güncel tutma, tehditlere karşı bilgi seviyelerini arttırma ve müşterilerini sık sık bilgilendirme-bilinçlendirme faaliyeti içine girmeleri gerekmektedir. Teknolojinin insan yaşamına olumlu etkisi ancak bu şekilde mümkün olacaktır.

6.     REFERANSLAR


1. Altan, M., Karasioğlu, F. (2004), Internet Bankacılığının Toplum Katmanlarınca Kullanımı Üzerine Bir Araştırma, 3. Ulusal Bilgi, Ekonomi ve Yönetim Kongresi Bildiri Kitabı, 25 - 26 KASIM 2004, Eskişehir.
2. Türkiye Bankalar Birliği (2013),İnternet ve Mobil Bankacılık İstatistikleri
3. Global Phishing Survey 2H2012 (2012), http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_2H2012.pdf
4. Trend Micro, 2013 Q2 Security Roundup Report,  http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-2q-2013-trendlabs-security-roundup.pdf
5. McAfee, Threats Report: First Quarter 2013, http://www.mcafee.com/au/resources/reports/rp-quarterly-threat-q1-2013.pdf
6. McAfee, Threats Report: First Quarter 2013, http://www.mcafee.com/au/resources/reports/rp-quarterly-threat-q1-2013.pdf

7. DDoS Attacks Strike Three Banks, http://www.bankinfosecurity.com/ddos-phase-4-attacks-sporadic-a-6006