IP'niz: Bilinmeyen · Durumunuz: KorunuyorKorunmuyorBilinmeyen

Siber Suç Nedir ve Nasıl Önlenir

Gasp, kimlik hırsızlığı ve uluslararası veri soygunları: Bunlar bir Hollywood senaryosunun parçaları değil, yeraltı siber suç dünyasının gerçekleri. Hırsızlar ve bilgisayar korsanları, çevrimiçi anonimliğin arkasına saklanarak dünyanın diğer ucundaki kurbanlarından zorla para alabiliyor. Peki, siber suç nedir ve nasıl işleniyor? Daha önemlisi, onu önlemek için yapabileceğimiz bir şey var mı? Aşağıda, tüm bu soruları sizin için cevaplayacağız.

Ruth Matthews

Ruth Matthews

Siber Suç Nedir ve Nasıl Önlenir

Siber suç nedir?

Siber suç, bilgisayarlar, akıllı telefonlar veya internete bağlı herhangi bir cihaz kullanılarak işlenen veya bu tip cihazları hedef alan suç eylemine verilen isimdir. Diğer bir deyişle, çevrimiçi işlenen suçlardır.

Siber suçlular, kurbanlarına göre seçip değiştirdikleri farklı yöntemler kullanarak çeşitli hedeflere saldırır. Örneğin bazı çevrimiçi suçlular şahıslardan zorla para almaya odaklanırken, bazıları işletmelerin ve kurumsal organizasyonların veri tabanlarını hedef alır. Siber suçluların büyük bir kısmını motive eden şey zengin olma hedefidir. Ancak bazı bilgisayar korsanları aynı zamanda siyasi aktivisttir ve yozlaştığını düşündükleri hükümet organlarına maddi bir neden olmadan da saldırabilirler.

Siber suçu bu terimin kapsadığı suç eylemlerinin sayısını ve çeşidini dikkate aldığımızda basit veya genel bir şekilde tanımlamak mümkün değildir. “Bilgisayar korsanlığı” (özel verilere erişmek için güvenlik kısıtlamalarını aşmak) gibi genel geçer terimler dahi neredeyse sınırsız çeşitlilikteki eylemleri kapsar. Bu nedenle, modern siber suçluların kullandıkları belirli araçlara, taktiklere ve amaçlarına odaklanalım.

Türkiye Yasalarındaki Siber Suç Tarifi

Türkiye yasalarında, siber suç “bilişim sistemi olmadan işlenemeyen bilgisayar ve internete özgü suçlar” olarak tanımlanmıştır. Konuyla ilgili düzenleme 5237 sayılı Türk Ceza Kanununda mevcuttur ve siber suç örnekleri ile siber suç cezaları, kanunun 243, 244 ve 245. maddelerinde verilmiştir. Buna göre:

  • Bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adli para cezası verilir.

  • Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.

  • Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren veya var olan verileri başka bir yere gönderen kişi altı aydan üç yıla kadar hapis cezası ile cezalandırılır.

  • Başkasına ait bir banka veya kredi kartını ele geçiren veya elinde bulunduran kimse kartı sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı aya kadar hapis cezası ve beş bin güne kadar adli para cezası ile cezalandırılır.

  • Başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üreten, satan, devreden, satın alan veya kabul eden kişi üç yıldan yedi yıla kadar hapis ve on bin güne kadar adli para cezası ile cezalandırılır.

İşlenen suçun kapsamına, kullanılan araçlara ve verilen zararın boyutuna göre ceza süreleri azalıp artmaktadır. Siber suç şikâyet işlemleri, diğer tüm suçların şikayetleri gibi yürütülür. Yani yazılı olarak kovuşturma yapılması için başvurmak mümkün olduğu gibi, 155’i arayarak siber suç ihbar etmek de mümkündür.

Zararlı Yazılım Enfeksiyonları

Siber suçluların kullandığı araçlar ve taktikler ile devam edelim. Zararlı yazılımlar (malware), siber suçlular tarafından en çok kullanılan araçlardan biridir. Zararlı yazılım, bulaştığı sisteme zarar vermek için tasarlanmış programlara verilen genel bir isimdir, belirli bir virüs veya saldırı türüne karşılık gelmez. Zararlı yazılımların farklı türleri, neredeyse her tür siber suçta kullanılır. Saldırgan işletim sistemindeki bir zayıflıktan yararlanıyorsa, bir kullanıcının tuş vuruşlarını takip ediyorsa veya bir cihazı uzaktan ele geçirebiliyorsa, büyük ihtimalle zararlı yazılım kullanıyordur.

Bu tip yazılımlardan yararlanmak için, saldırganın önce onu hedef aldığı cihaza yüklemesi gereklidir. Bu işleme genellikle “enfeksiyon” denir ve yaygın şekilde kullanılan birden çok yöntemle tamamlanabilir:

  • Oltalama (phishing) bağlantıları

    Oltalama, bir siber suç olmasının yanı sıra, sosyal mühendislik ve aldatma taktiklerinin kullanıldığı bir zararlı yazılım yükleme tekniğidir. Saldırgan, kendisini güvenilir bir kişi veya meşru bir işletme olarak göstererek kötü amaçlı programı barındıran bir bağlantı içeren e-postalar gönderir.

  • Bulaştırıcı web siteleri

    Bir web sitesi, sayfalarını ziyaret eden herkese zararlı yazılım bulaştırmak için kullanılabilir. Suçlular bunu yapabilmek için kendi alan adlarını oluşturur ve web sitesine zararlı yazılımın yüklenmesini sağlayacak bir fonksiyon ekler. Siber suçlular, kurban sayısını artırmak için oltalama e-postalarına kendi sayfa bağlantılarını ekleyebilir veya popüler bir web sitesine benzeyen alan adları kullanabilirler.

  • Kötü amaçlı reklamlar (malvertising)

    Kötü amaçlı reklamlar, zararlı yazılım yüklemek veya kullanıcıları bulaştırıcı web sitelerine yönlendirmek için kodlanmış çevrimiçi reklamlara verilen isimdir. Siber suçlular, kendiliğinden açılan pencereleri (pop-up) ve banner reklamlarını meşru sitelere gizlice eklemeye çalışırlar. Ziyaretçiler bunlara tıklamasalar bile, bazı reklamlar sayfa yüklenir yüklenmez otomatik olarak çalışabilir. Bir kurban hedef alındığını dahi fark etmeyebilir; kötü amaçlı reklam, zararlı yazılımı sessizce yükleyebilir ve kullanıcılar enfeksiyonun farkına varmadan cihazlarını kullanmaya devam edebilir.

Enfeksiyon, genellikle bir siber suçta hedeflenen şeyin başlangıç aşamasını ifade eder. Bir cihaza zararlı yazılım yükledikten sonraki adım, büyük olasılıkla paranın, verilerin veya her ikisinin de yer aldığı bir hırsızlık olacaktır.

Tek bir tıkla online güvenliğe adım atın.

Dünyanın lider VPN'i ile güvende kalın

Finansal hırsızlık

Siber suçlular, hedef olarak seçtikleri kişilerden para çalmak, onları dolandırmak ve zorla para almak için pek çok teknik kullanır. Örneğin, tuş kaydedici (keylogger) zararlı yazılımını veya Wi-Fi casusluk tekniklerini kullanarak kurbanın gezinti trafiğini gizlice görüntüleyebilir ve banka kimlik bilgileri güvenliği ihlal edilmiş bir cihaza girildiğinde onları çalabilirler.

Bazı suçlular ise kullanıcının bir cihaza veya veri tabanına erişimini kilitleyen bir zararlı yazılım türü olan “fidye yazılımı” (ransomware) kullanıyor ve hem bireyleri hem de giderek artan şekilde kurumları hedef alıyor. Erişim kısıtlandıktan sonra, suçlu her şeyi eski haline döndürmek için bir fidye talep ediyor.

Bazı suçlular ise zararlı yazılımları kullanmaz ve insanları paralarına elveda demeye sosyal mühendislik taktiklerini çevrimiçi ortamlarda kullanarak ikna eder. Örneğin “Nijerya'nın kayıp prensinin ülke dışında çıkarmak istediği servet” dolandırıcılığı dünya çapında tanınmaktadır. Kendisini işadamı, uzun süredir kayıp olan bir aile üyesi veya müstakbel sevgili olarak tanıtan suçlulara büyük miktarlarda para gönderilmesine neden olan pek çok benzer dolandırıcılık mevcuttur.

Veri Hırsızlığı

Sayıları giderek artan bazı siber suçlular büyük miktarlı bir vurgun yapabilmek için kurbanlarının banka hesaplarını zararlı yazılım veya sosyal mühendislik teknikleri ile hedeflemek yerine veri hırsızlığı yapmayı tercih eder. Bu tür siber suçlarda, genellikle işletmeler ve şirketler hedef olarak seçilir.

Büyük ölçekli veri ihlallerinde, belirli bir şirketin özel dosyaları saldırıya uğrar ve müşteri bilgileri ifşa olur. Saldırganlar için kullanıcı şifreleri, kredi kartı numaraları ve diğer hassas veriler inanılmaz ölçüde değerli olabilir ve gelecekte işlenecek daha fazla siber suç eyleminin temelini oluşturabilir.

ABD'deki ortalama bir çalışanın hassas bilgiler içeren yaklaşık 1.000 adet dosyaya erişimi bulunuyor. Bu kişilerin büyük bir kısmı, artık güvenlik protokollerinin gerektiği gibi uygulanmadığı evlerinden çalışıyor. Siber suçlular sadece tek bir çalışanın cihazını enfekte ederek hazine değerinde gizli bilgilere erişim elde edebilir, bunları dark web'de satabilir veya kimlik hırsızlığı yoluyla daha fazla para çalmak için kullanabilir.

Hacktivizm ve Zarar Verme

Tüm siber suçlular maddi bir kazanç peşinde değildir. Bazı siber suçlar siyasi amaçlarla işlenir veya belirli bir amaç olmadan sadece zarar vermeye çalışır.

Örneğin DDoS saldırıları, saldırganların kullanıcılara hizmet veremez hale gelene kadar bir web sitesini veya uygulamayı trafiğe boğdukları yasa dışı bir işlemdir. Bu saldırı web sitesinin tamamını çevrimdışı olmaya zorlayabilir veya sadece belirli sayfa özellikleri ile işlevlerini devre dışı bırakabilir.

DDoS saldırıları bir protesto biçimi olarak hacktivizm'de (genellikle hükümetleri veya şirketleri hedef alan politik amaçlı siber saldırılar) yaygın şekilde kullanılıyor. Hacktivizm eylemleri, buna ek olarak resmi web sitelerini mesajlar ve sloganlarla tahrif etmeyi veya hükümet ile kurumsal verileri sızıntılar yoluyla ifşa etmeyi içeriyor.

Hükümetler de bazen siber suç işlemekle suçlanır. Bu bakımdan Çin Halk Cumhuriyeti en çok suçlanan devletlerden biridir. Ancak uluslar ve askeri organizasyonlar bilgisayar korsanlığına başvurduklarında, bunun adı siber suç değil, “siber savaş” olur.

Siber Suçları Kim Kovuşturur?

Siber suçlar, eylemin niteliğine, ciddiyetine ve yerine bağlı olarak farklı kurumlar tarafından kovuşturulabilir. Suçlular her zaman kurbanlarıyla aynı ülkede olmaz, bu nedenle Amerika Birleşik Devletleri'ndeki FBI gibi kolluk kuvvetleri, yurtdışındaki uluslararası meslektaşları ile işbirliği yaparak çalışır.

Interpol gibi hükümetlerin ortaklaşa kurduğu organizasyonlar siber suçluların takip edilip yakalanmasında çok etkilidir, zira birden çok ülke ve yargı alanındaki kaynakları kullanabilirler. Ayrıca farklı coğrafi bölgelerdeki yerel yetkilileri siber suçlara müdahale etme teknikleri konusunda eğitebilirler.

Yerel polis güçleri, kullanılan yöntemlerin karmaşıklığı, çevrimiçi suçluları takip etmedeki zorluklar ve yasal bilgi yetersizliği gibi birçok nedenden dolayı siber suçla mücadele etmekte zorlanabilir. Ancak bu durumun artık değişmesi şarttır: Siber suç, 21. yüzyılda her zamankinden daha yaygın hale gelmiştir.

Siber suç nasıl engellenir: 5 basit adım

  • Threat Protection kullanın. NordVPN tarafından geliştirilen bu özellik, macOS ve Windows işletim sisteminin kullanıldığı cihazlarda, çevrimiçi dosyaları önceden tarayarak kötü amaçlı yazılımların cihazınıza indirilmesini engeller. Buna ek olarak, reklamları ve takipçi çerezleri de engelleyebilmenizi sağlayacaktır.
  • Şifrelerinizi koruyun. Belirli bir anlamı olmayan ve kendini tekrar eden parçalar barındırmayan uzun ve karmaşık parolalar kullandığınızdan emin olun. Brute-force yazılımlarından korunmak için şifrenizde karakterleri, sayıları ve sembolleri bir arada kullanın. Aynı şifreyi birden çok hesapta kullanmaktan kaçının ve oturum açma sürecini basitleştirmek için bir şifre yöneticisi bulup kullanmaya başlayın.
  • E-posta ile gönderilen bağlantılara karşı dikkatli olun. E-postalar ve sosyal medya mesajları, gönderen kişi güvenilir görünse bile enfeksiyona neden olacak bağlantılar içerebilir. Bu tür dolandırıcılıklara karşı korunmanın en iyi yolu, gönderilen mesajda çevrimiçi bir şeye tıklamanız isteniyorsa çok dikkatli olmaktır. Bir e-postada böyle bir şey talep ediliyorsa, önce gönderinin gerçekliğini doğrulayın: İlgili şirketin yardım hattına başvurun veya benzer dolandırıcılıklarla ilgili haberleri çevrimiçi olarak arayın. İhtiyatlı olmak, oltalama saldırılarına karşı güçlü bir savunmadır.
  • Yazılımlarınızı güncelleyin. Güncel olmayan yazılımlar, zararlı yazılımların sisteminize sızmak için kullanabileceği zayıf noktalara dönüşebilir. Bir tarayıcı uzantısından işletim sisteminize kadar her şey bir hedef olarak seçilebilir. Bu nedenle, hem bireyler ve hem de şirketler yeni yazılım yamalarını düzenli olarak kontrol etmeli veya sistemlerini otomatik olarak güncellenecek şekilde ayarlamalıdır.
  • Bir VPN kullanın. Sanal özel ağlar (VPN), cihazların gezinti verilerini şifreleyerek Wi-Fi casusluğu ve endpoint veri ihlali risklerini sınırlar. NordLayer, korunması gereken bir donanım ağına sahip işletmeler için etkili kurumsal güvenlik çözümleri de sunar. Hemen şimdi VPN korumasının keyfini çıkarmaya başlayın.

Tek bir tıkla online güvenliğe adım atın.

Dünyanın lider VPN'i ile güvende kalın

Şu dillerde de mevcut: Dansk, English, ve diğer diller.

Ruth Matthews
Ruth Matthews Ruth Matthews
Ruth Matthews, NordVPN'de içerik yöneticisi. Daima veri güvenliği ve dijital gizliliğe ilgi duyan Ruth, bu konularda düzenli araştırmalar yapıp görüşlerini okuyucularla paylaşıyor.