İnternetin sevaplarının yanında günahları da var. Online dolandırıcılar da bu günahlardan birisi. Son 20+ yılın en popüler meslekleri arasında sayılmıyor ama sayılsa muhtemelen online dolandırıcılık ilk 10'da filandır.

Bu dolandırıcılar bazen vaatler (mesela yüksek maaşlı iş), bazen korkutma (aşağıda anlatacağımız şekilde) yoluyla dolandırıcılık yapıyor. Maalesef internetin sağladığı çok geniş ortamda mutlaka birilerini dolandırmayı başarıyorlar. Bunu engellemek yetkili devlet kurumlarının görevi ama bizlerin de "farkındalık" geliştirmemiz lazım. Bu yazının amacı bu.

2000'de Kurulan UYAP

Dijital dönüşümün en önce yaşandığı devlet kurumlarından birisi Adalet Bakanlığı idi. 2000 yılındaki DSP-ANAP-MHP koalisyonundaki 57. hükümet e-Avrupa inisiyatifini, e-Turkiye olarak takip ediyordu. Bu çerçevede, Adalet Bakanlığı'nın uçtan uca bağlanacağı UYAP (Ulusal Yargı Ağı Bilişim Sistemi) 2000 yılında başlamıştı. Bu sistemin bir ucunda Adalet Bakanlığı, savcı ve hakimler, diğer ucunda adli ve idari yargı birimleri bulunuyor ama bir ucu da vatandaşa değiyor. Eğer sisteme üye olursanız, SMS ile sizin hakkınızda açılmış olan davalar konusunda anlık bilgilendirme yapıyor.

Ama dolandırıcılar bu yararlı sistemi yani UYAP'ı taklit ederek insanları kandırmaya uğraşıyorlar. Gönderdikleri SMS'lerle insanları sahte UYAP benzeri sitelere yönlendirerek dolandırmaya çalışıyorlar.

Bunları neden anlatıyoruz? Şimdi size son 1-2 ayın çok rastlanan bir dolandırıcılık numarasından bahsedeceğiz.

"...Sayılı ceza dosyanızın son günüdür" dolandırıcılığı

Aşağıda bir arkadaşımıza 20 gün arayla gelen iki SMS mesajı görüyorsunuz. Bunlar B251 nolu SMS hizmeti veren firmadan gelmiş (SMS'lerin altında önce gönderen firmanın kaydı sonra da B ile başlayan SMS'i sağlayan firmaya ait numara bulunur. Şikayet etmeniz durumunda bilginiz olsun).

Her iki mesaj aynı ifadeyi taşıyor; bir ceza dosyası olduğu ve son gün olduğu belirtiliyor. Her ikisinde de "mağdur olmamak için" şeklindeki "korkutma" ile, 5 Temmuz'da gelen ilkinde bir telefon numarasının aranması isteniyor. 25 Temmuz'da gelen ikincide ise bir web adresinin tıklanması gerekiyor.

Bu da diğer bir örnek. Kripto para borsası olan Binance hesabı ile ilgiymiş gibi, Vtanay adresinden geliyor. SMS sağlayıcı yine B251. Binance'dan geliyormuş gibi gözüken ve "kullanıcı hesabınız kısıtlandı" şeklindeki mesaj için internete bakarsanız son bir ayda en az 80 kadar şikayet yapıldığı gözüküyor.

Dikkati çeken bir husus da şu: Bu mesajları gönderen farklı farklı müşteriler olsa da, SMS sağlayıcı firma hep aynı. Müşteri firmalar sahte değil. Böyle kullanıcı firmalar var. Mesela UYAP'mış gibi dava mesajı gönderenler hukuk büroları.

Benzer başka SMS'ler de mevcut. Mesela adli cezalarla korkutanlar var:

"Sayın üye, kullanmış olduğunuz numara üzerinden başvurunuzun iptali sağlanmadığı için asliye ceza mahkemesi tarafınca kabahatler kanunu kapsamında adınıza açılmış olan dosyaya ilişkin bugün 18.00'a kadar tarafımıza dönüş sağlamanız gerekmektedir. Ödeme yapılmadığı takdirde dosyanıza ödenmemiş borcunuzdan dolayı dosya masrafı ve avukatlık ücreti de eklenerek icra takibi başlatılıp bağlı bulunmuş olduğunuz ikamet adresinize tebliğ zarfı gönderilecektir."

diyerek bir link veriliyor. Linki tıklayıp, bilgisayarınıza casus yazılım yükletebileceğiniz gibi, parayı ödeyerek de aslında dolandırılmış oluyorsunuz.

Dolandırıcılık mı diye araştırdık ve Ulusal Yargı Ağı Bilişim Sistemi (UYAP) internet sitesinin benzerini yapan dolandırıcıların buradan vatandaşa resmi belge görünümünde sözde dava dosyaları gönderip, "icraya düşmemeniz için şu cezaları ödeyin" dediklerini öğrendik.

Yani tutturabildiklerini dolandıracaklar (argo deyimi ile "keriz silkeleme"). İnsanların çoğu hukuk ve mahkemeler nasıl işliyor bilmediğinden ve UYAP'ın SMS gönderdiğini bildiğinden kolaylıkla kanabilir. Nitekim bu mesajları bana gösteren arkadaş da; "benim bir davam olduğunu sanmıyorum ama arasam mı acaba" diyordu. Arasaydı da arkası nasıl gelecekti, bilin bakalım.

Özetlersek, önce "hakkınızda icra takibi var, ceza ödemeniz gerekiyor" benzeri SMS'ler atıyorlar. UYAP'ın resmi internet sitesi olan uyap.gov.tr yerine vatandaşı sahte siteye yönlendiriyorlar. Bu sahte siteye T.C. kimlik numarası ve e-devlet şifrelerini girenler, haklarında düzenlenmiş sahte dava dosyalarıyla karşılaşıyor. Bu sahte evraklardaki cezaları ödemeleri isteniyor. Ödeme için de dolandırıcı bir IBAN numarası paylaşıyor.

"Müşteri Üyeliği Pasife Alındı"

Konuyu öncelikle SMS servisi veren bu firmaya (B251) sorduk. Gelen cevap şöyle:

"Öncelikle ihbar/şikâyet niteliğindeki mailinizi bizlere ilettiğiniz için teşekkür ederiz. Belirtmek isteriz ki şirketimiz elektronik haberleşme faaliyetleri kapsamında müşterilere SMS hizmeti sunmaktadır. Bu doğrultuda müşteriler ücreti mukabilinde bizlerden sms paketleri almaktadır ve bu sms leri dilediği şekilde kullanmaktadır. Şirketimizin bu sms yazışma içeriklerini görmesi mümkün olmadığı için, pek tabi olarak da müdahalemiz de söz konusu olamaz. Ancak sms kullanım amacının hukuka aykırılık teşkil ettiği tarafımız ile paylaşılır ise (ekran görüntüleri sunularak) veya kamu kurum ve kuruluşlarından hukuka aykırı sms gönderen müşterinin tespitine yönelik üyelik bilgileri talep edilirse, ivedilikle müşteri üyeliği pasife alınmakta ve savunması istenmektedir. Üyelik bilgileri KVKK kapsamında sadece talep eden kamu kurum ve kuruluşları ile paylaşılır.

Şirketimiz olarak paylaşım yaptığınız ihbar neticesinde müşteri üyeliği pasife alınmıştır. Yapılmış ve/veya yapılacak suç duyurularında şirketimiz de mağdur edildiğinden; soruşturma dosya no larının paylaşılması akabinde, şirketimiz adına katılma talebinde bulunarak hukuka aykırılık tespiti halinde cezalandırılması talep edilmektedir."

Bu ifadeleri operatörlerle konuştum. Farklı müşteriler ama hep aynı SMS servis sağlayıcının sisteminden geldiği için bu şirketin sisteminde bir açık olduğunu onayladılar. Bu şifreleri bilen eski çalışanın marifeti ya da sistemde açık olabilir denildi. Hatta iki faktörde de sorun olabiliyormuş.

Görüştüğüm bir Bulk SMS firması ise, bazen müşterilerin ayrılan elemanlarına verilen şifrelerin iptal edilmediğini ve bunlar üzerinden kötü niyetli hareketler olabildiğini söylediler. Ancak bu olayda tek servis sağlayıcı, birden fazla müşteri firma var. Bu olaydaki durum nedir, elbette ortaya çıkar. Çünkü SMS'lerin kayıtları operatörlerde de var.

"Yetkili kurumlar ilgilenmeyince" dolandırıcının pervasızlığı haddini aşmış durumda

Şimdi yukarıda anlattığımız olaya yakından bakalım:

1. Dolandırıcının B251 ile tanımlanan SMS firmasının servisini kullandığını görüyoruz.
2. Gönderilen SMS mesajında bir telefon numarası var.
3. Üstüne, gidilen web sitesindeki düzmece dosyada yer alan cezanın ödenmesi için IBAN bile veriyor.
4. Ve tüm dolandırıcılık geçmişine bakınca neredeyse bir ayı geçmiş durumda. Yani, bu kadar sürede ilgilenen olmamış mı?

Bunlardan sadece B251 firmasına baktım (soru gönderdim). Diğerlerini -yani SMS'lerde verilen tel numarası, web sitesi ve IBAN no- kontrol etmedim. Bu benim değil, devletin görevi. Vatandaş kendisine sağlık, eğitim ve güvenlik sağlaması için devlete vergi ödüyor.

Telefon numaraları, IBAN, Bulk SMS derken, anlayacağınız herkesin gözü önünde, dolandırıcılar ortalıkta pervasızca dolaşıyorlar. Çünkü kendilerini yakalamaya çalışan yok. Halk kendi başına, adeta dolandırıcıların eline bırakılmış.

Bankalar yeterince ilgileniyor mu?

Sırası gelmişken, fark ettiğim bir konuyu olay nedeniyle vurgulayacağım. Dolandırıcıların verdiği IBAN numarası konusu da ayrıca ilginç. Bankalar acaba bu tür hesapları nasıl açıyor? Ya da hesaplar "finansal danışman" diye işe alındığını sanan başka bir mağdura mı ait?

Bu yılın başında incelediğim bir e-ticaret dolandırıcılığında, bankaların ve servis sağlayıcıların (ISS) yeterince özenli davranmadıkları izlenimi aldım. Yani banka mahkemeden gelen IP numarası başvurusunu ISS'e gönderiyor ve her ikisi de sorunu derinlemesine incelemiyor. Kendilerini ilgilendirdikleri kadarı ile bakıyor. İnceleseler belki ileriye yönelik dolandırıcılıklar önlenecek. Bu konuyu ayrıca yazacağım. Araya seçim ve başka konular girince kaldı.

Tuhaf yabancı ülke numaralarından gelen WhatsApp aramaları

UYAP dolandırıcılıkları ile ilgili değil ama dolandırıcılıkları yazmışken bir başka konuya da değinelim: WhatsApp'ın yeni özelliği olan "topluluk" konusu da bir başka sorun. Gruplar sınırlıyken, topluluklar çok büyüdü. Kim kime dumduma durumu var. Buralardan alınan numaralara gelen yurtdışı kaynaklı telefon aramaları arttı. Mesela bir Afrika ülkesi olan Mali'nin +223 kodundan aramalar gelebiliyor. Cevap veren kişiler de ya uygunsuz sitelere yönlendiriyor, ya da Türkiye'de iş yapacağını söyleyip size para göndermek istediğiyle ilgili oltalama taktikleri uygulanıyor.

Bunlara da cevap vermeyin, görmezlikten gelin.

AKP'nin siber güvenlik karnesi zayıf

Bütün bunlar her ülkede de oluyor. Ama çözülüyor. Bizde maalesef AKP hükümetinin siber güvenlik ile ilgisi yok. Bunu nereden anlıyoruz? Birçok yerden:

1. Devlete ait bir oluşumun, hâlâ halka ve şirketlere yönelik olarak siber istihbarat yeteneği geliştirmemesinden, sadece yamaları bildiren bir bölüm (USOM) olmasından (Askerin siber istihbaratı olduğunu duyuyoruz ama kabiliyeti konusunda bilgimiz yok. Ayrıca özel siber güvenlik firmalarının bazılarının başarılı istihbarat çalışmaları var. Bunlardan neden yararlanılmıyor bilemiyoruz),
2. Kişisel veriler ortalıkta dolaşırken ve de 100 TL gibi fiyatlarla, ergen çocuklar tarafından telegram kanallarında satılırken, hiçbir bakanlığın çıkıp sorumluluk almamasından, en fazla o ergenin tutuklanmasından,
3. Şimdilerde kamu kurumlarının web sitelerinin yol geçen hanı olmasından. Öyle ki, hackerlar arayüzlerle (API) paneller oluşturmuşlar ve kira aldıkları aracılar (ergenler) üzerinden istediğiniz devlet kurumundan kişisel verileri elinize veriyorlar. Öyle ki, adeta musluk takmışlar ve bu nedenle sattıkları verilerin güncelliği şaşırtıyor.
4. Şimdi en son gelişme ise UYAP taklidi yapılmış olması.
5. Dolandırıcıların pervasızca SMS sistemini kullanımı mümkün oluyor.