Single Blog Title

This is a single blog caption

Kurumsal E-Posta Hesaplarının Ele Geçirilmesi ve Dolandırıcılık Suçları

Giriş

Kurumsal e-posta hesaplarının ele geçirilmesi, günümüzde şirketlerin karşılaştığı en tehlikeli siber dolandırıcılık yöntemlerinden biridir. Şirket çalışanlarının, yöneticilerinin, muhasebe departmanlarının, satın alma birimlerinin veya tedarikçi ilişkileri yürüten personelin e-posta hesapları hedef alınarak; sahte ödeme talimatları gönderilmekte, IBAN bilgileri değiştirilmektedir, tedarikçi faturaları manipüle edilmekte, müşteri ödemeleri dolandırıcılara yönlendirilmektedir veya şirket içi gizli yazışmalar ele geçirilmektedir.

Bu tür olaylar uluslararası literatürde çoğunlukla Business Email Compromise, yani BEC olarak adlandırılır. FBI, BEC dolandırıcılığını, çoğu kişi ve şirketin günlük işlerinde e-postaya güvenmesini istismar eden ve bilinen bir kaynaktan geliyormuş gibi görünen sahte ödeme veya işlem talepleriyle yürütülen finansal açıdan en zararlı çevrim içi suçlardan biri olarak tanımlamaktadır. FBI’ın verdiği örneklerde, düzenli çalışılan bir tedarikçinin fatura ödeme adresini değiştirmiş gibi görünmesi veya şirket yöneticisi adına acil ödeme talimatı gönderilmesi tipik BEC senaryoları arasında sayılmaktadır.

Türkiye’de bu olaylar yalnızca “mail hacklendi” şeklinde basit bir teknik problem olarak görülmemelidir. Kurumsal e-posta hesabının ele geçirilmesi; TCK m.243 bilişim sistemine girme, TCK m.244 sistemi engelleme, bozma, verileri yok etme veya değiştirme, TCK m.158 nitelikli dolandırıcılık, kişisel verilerin hukuka aykırı ele geçirilmesi veya yayılması, KVKK veri ihlali, ticari sır ihlali, iş hukuku sorumluluğu, banka ve ödeme iadesi süreçleri ile tazminat davaları bakımından birlikte değerlendirilmelidir.

Kurumsal E-Posta Hesabının Ele Geçirilmesi Ne Demektir?

Kurumsal e-posta hesabının ele geçirilmesi, şirket çalışanına, yöneticisine, muhasebe birimine veya yetkili kişiye ait e-posta hesabına yetkisiz kişi tarafından erişilmesidir. Bu erişim doğrudan parola çalınmasıyla gerçekleşebileceği gibi phishing bağlantısı, sahte Microsoft 365/Google Workspace giriş ekranı, zararlı ek, zayıf parola, aynı parolanın farklı platformlarda kullanılması, çok faktörlü kimlik doğrulamanın bulunmaması, eski çalışan hesabının açık kalması veya tedarikçi sisteminin ele geçirilmesi yoluyla da gerçekleşebilir.

E-posta hesabına giren saldırgan, çoğu zaman hemen dolandırıcılık yapmaz. Önce yazışmaları inceler. Hangi müşterilerle ödeme görüşmesi yapıldığını, hangi tedarikçilere ödeme yapıldığını, hangi faturaların açık olduğunu, kimlerin onay yetkisi bulunduğunu, şirketin ödeme takvimini, banka hesaplarını ve çalışanlar arasındaki iletişim dilini öğrenir. Sonra doğru zamanı bekleyerek gerçek yazışmanın içine sahte IBAN veya sahte ödeme talimatı yerleştirir.

Bu nedenle kurumsal e-posta ele geçirilmesi klasik “spam mail” olayından daha tehlikelidir. Dolandırıcı, şirketin gerçek yazışma geçmişini, üslubunu, fatura numaralarını, müşteri isimlerini ve ödeme süreçlerini kullanır. Bu da olayın ikna gücünü artırır. Muhasebe çalışanı veya müşteri, mailin gerçek olduğunu düşünerek para transferi yapabilir.

Business Email Compromise ve CEO Fraud Nedir?

Business Email Compromise, şirket e-postasının veya şirket gibi görünen sahte e-posta adreslerinin kullanılmasıyla yürütülen dolandırıcılık modelidir. BEC saldırılarında dolandırıcılar genellikle şu yöntemleri kullanır:

Şirket yöneticisi gibi davranarak muhasebe departmanına acil ödeme talimatı gönderirler. Bu yöntem “CEO fraud” olarak bilinir. Tedarikçinin e-posta hesabını ele geçirip “IBAN bilgilerimiz değişti” şeklinde gerçek yazışmaya benzeyen mesaj gönderirler. Müşteriye şirket adına sahte fatura gönderip ödeme hesabını değiştirirler. Satın alma veya finans departmanındaki çalışanın hesabını ele geçirerek gerçek ödeme yazışmalarını manipüle ederler. Bazen de gerçek e-posta adresine çok benzeyen sahte alan adı alırlar; örneğin şirketin alan adındaki bir harfi değiştirerek fark edilmesi zor bir e-posta adresi kullanırlar.

FBI’ın açıklamalarında BEC dolandırıcılığında saldırganların gerçek hesapları taklit edebileceği, küçük alan adı farklılıklarıyla mağdurları kandırabileceği, spear phishing e-postalarıyla şirket hesaplarına, takvimlere ve verilere erişebileceği belirtilmektedir.

Türkiye’de bu tür olaylar özellikle ithalat-ihracat yapan şirketlerde, inşaat ve taşeron ödemelerinde, hukuk bürosu-müvekkil ödeme yazışmalarında, tedarikçi faturalarında, dövizli ticari ilişkilerde, gayrimenkul kapora ve satış bedellerinde, lojistik ve gümrük işlemlerinde sık görülmektedir. Mağdur şirket parayı kendi isteğiyle göndermiş gibi görünse de, bu irade hileli davranışlarla sakatlanmıştır.

E-Posta Ele Geçirme Olaylarında Hangi Suçlar Gündeme Gelir?

Kurumsal e-posta hesabının ele geçirilmesi halinde birden fazla suç tipi aynı anda gündeme gelebilir. Öncelikle fail, şirkete ait e-posta hesabına veya bilişim sistemine hukuka aykırı şekilde girmişse TCK m.243 kapsamında bilişim sistemine girme suçu tartışılır. TCK m.243, bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak girme veya orada kalmaya devam etme fiilini cezalandırmaktadır.

Eğer fail e-posta hesabındaki verileri değiştirmiş, silmiş, erişilmez kılmış, başka yere aktarmış veya sistem işleyişini bozmuşsa TCK m.244 gündeme gelir. TCK m.244’e göre bir bilişim sisteminin işleyişini engelleyen veya bozan kişi cezalandırılır; sistemdeki verileri bozan, yok eden, değiştiren, erişilmez kılan, sisteme veri yerleştiren veya mevcut verileri başka yere gönderen kişi de ayrıca cezai sorumluluk altına girer.

E-posta hesabı kullanılarak sahte ödeme talimatı verilmiş, IBAN değiştirilmiş veya mağdur şirket/kişi para göndermeye ikna edilmişse dolandırıcılık suçu gündeme gelir. TCK m.158’de dolandırıcılık suçunun bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi nitelikli hâl olarak düzenlenmiştir. Aynı madde kapsamında, banka veya kredi kurumlarının araç olarak kullanılması suretiyle işlenen dolandırıcılıkta ceza ağırlaşmaktadır.

Bu nedenle kurumsal e-posta dolandırıcılığı dosyalarında yalnızca “bilişim sistemine girme” değil, olayın sonucuna göre nitelikli dolandırıcılık, bilişim sisteminin araç olarak kullanılması, banka kurumlarının araç olarak kullanılması, kişisel veri suçu, ticari sırların ele geçirilmesi ve resmî/özel belgede sahtecilik ihtimalleri birlikte değerlendirilmelidir.

Sahte IBAN ve Fatura Dolandırıcılığı

Kurumsal e-posta ele geçirme olaylarının en yaygın şekli sahte IBAN dolandırıcılığıdır. Fail, tedarikçi veya alacaklı şirketin e-posta hesabına girer ya da o şirketin alan adına çok benzeyen sahte bir adres kullanır. Daha sonra “banka bilgilerimiz değişmiştir”, “ödemenin aşağıdaki hesaba yapılmasını rica ederiz”, “önceki faturadaki hesap kapatılmıştır” gibi mesajlar gönderir. Mesaj çoğu zaman gerçek fatura, gerçek ürün, gerçek teslimat ve gerçek yazışma zinciri içinde yer aldığı için mağdur şüphelenmez.

Bu tür olaylarda hukuki nitelendirme bakımından üç önemli unsur vardır. Birincisi hileli davranıştır. Fail gerçek kişi veya şirket gibi davranarak mağduru aldatır. İkincisi zarar unsurudur. Mağdur parayı yanlış hesaba gönderir. Üçüncüsü haksız menfaattir. Fail veya bağlantılı kişiler parayı kendi hesabına ya da üçüncü kişi hesabına alır.

Eğer işlem banka havalesi, EFT, SWIFT veya ödeme kuruluşu üzerinden yapılmışsa TCK m.158/1-f kapsamında bilişim sistemleri ve banka/kredi kurumlarının araç olarak kullanılması suretiyle nitelikli dolandırıcılık değerlendirmesi yapılabilir. Emniyet Genel Müdürlüğü de dolandırıcılık suçunun TCK m.157 ve m.158’de düzenlendiğini; nitelikli hâller arasında bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılmasının yer aldığını belirtmektedir.

Mağdur Şirket İlk Anda Ne Yapmalı?

Kurumsal e-posta hesabının ele geçirildiği veya sahte IBAN’a ödeme yapıldığı fark edildiğinde zaman çok kritiktir. İlk yapılması gereken işlem, paranın gönderildiği banka ile derhal iletişime geçmektir. Bankaya yazılı ve kayıtlı şekilde başvurularak transferin dolandırıcılık nedeniyle yapıldığı, alıcı hesabın bloke edilmesi, paranın iadesi ve karşı bankaya acil bildirim yapılması talep edilmelidir. Eğer işlem SWIFT ise muhabir banka ve alıcı banka nezdinde recall/geri çağırma işlemi acilen başlatılmalıdır.

İkinci adım, şirketin kendi e-posta sistemini izole etmek ve ele geçirilen hesabın erişimini kesmektir. Parola değiştirilmeli, aktif oturumlar kapatılmalı, çok faktörlü kimlik doğrulama devreye alınmalı, yönlendirme kuralları ve otomatik filtreler kontrol edilmeli, saldırganın e-postaları gizlemek için kural oluşturup oluşturmadığı incelenmelidir.

Üçüncü adım, delillerin korunmasıdır. E-postalar silinmemeli, yazışma zinciri dışa aktarılmalı, e-posta başlık bilgileri korunmalı, IP-log kayıtları alınmalı, ödeme dekontu, fatura, sahte IBAN mesajı, domain bilgileri, DNS kayıtları, hesap giriş kayıtları, kullanıcı hareketleri ve güvenlik uyarıları saklanmalıdır.

Dördüncü adım, Cumhuriyet Başsavcılığı’na hızlı ve teknik delilli suç duyurusunda bulunmaktır. Bu süreçte yalnızca “paramız dolandırıldı” denilmemeli; failin kullandığı e-posta adresleri, alan adları, IP kayıtları, banka hesap bilgileri, para transfer dekontları, yazışma tarihleri ve teknik tespitler dilekçeye eklenmelidir.

Delil Koruma Neden Hayati Önemdedir?

Kurumsal e-posta dolandırıcılığı dosyalarında ispat büyük ölçüde dijital delillere dayanır. E-postanın gerçekten hangi sunucudan gönderildiği, gönderen hesabın kim tarafından kullanıldığı, alan adının ne zaman alındığı, hesaba hangi IP’lerden giriş yapıldığı, e-posta yönlendirme kuralı oluşturulup oluşturulmadığı, paranın hangi hesaba gittiği ve alıcı hesabın kim tarafından açıldığı delillerle ortaya konulur.

Ekran görüntüsü tek başına yeterli olmayabilir. E-postaların ham başlık bilgileri, sunucu logları, Microsoft 365/Google Workspace audit kayıtları, IP giriş kayıtları, MFA kayıtları, cihaz bilgileri, ödeme dekontları, banka yazışmaları, sahte alan adı WHOIS bilgileri, DNS kayıtları ve varsa güvenlik raporu delil dosyasına alınmalıdır.

Şirketler çoğu zaman saldırı sonrası hesabı temizlemeye çalışırken saldırganın izlerini de silmektedir. Bu hatalıdır. E-posta hesabındaki şüpheli kurallar, silinmiş klasörler, otomatik yönlendirmeler, son giriş kayıtları ve yetkisiz uygulama izinleri adli bilişim incelemesi yapılmadan kaldırılmamalıdır. Önce delil alınmalı, sonra temizlik ve güvenlik iyileştirmesi yapılmalıdır.

Savcılık Şikâyeti Nasıl Hazırlanmalıdır?

Savcılığa yapılacak suç duyurusu teknik ve hukuki açıdan ayrıntılı hazırlanmalıdır. Dilekçede olayın kronolojisi açıkça anlatılmalıdır. Hangi tarihte hangi şirketle yazışma yapıldı? Hangi fatura veya ödeme ilişkisi vardı? Hangi e-posta adresinden IBAN değişikliği bildirildi? Ödeme hangi banka hesabına yapıldı? Ne zaman dolandırıcılık fark edildi? Bankaya ne zaman bildirim yapıldı? Şirket hesabına hangi IP’lerden giriş oldu? Hangi veriler etkilenmiş olabilir?

Suç duyurusunda şu talepler özellikle yer almalıdır: alıcı banka hesabına bloke konulması, para hareketlerinin tespiti, hesap sahibinin ve hesabı kullanan kişilerin belirlenmesi, ATM/kamera kayıtlarının istenmesi, hesap açılış belgelerinin alınması, ilgili e-posta servis sağlayıcılarından IP-log kayıtlarının talep edilmesi, sahte alan adı kullanılmışsa domain kayıtlarının araştırılması, uluslararası servis sağlayıcılara adli yardımlaşma veya ilgili usullerle başvuru yapılması, şüpheliler hakkında TCK m.158, m.243, m.244 ve somut olaya göre diğer suçlardan işlem yapılması.

Eğer para henüz çekilmemişse bloke ve iade için hız çok önemlidir. Bu nedenle suç duyurusu bekletilmemeli; banka başvurusu, savcılık şikâyeti ve teknik delil toplama aynı anda yürütülmelidir.

Bankaya ve Ödeme Kuruluşuna Başvuru

Sahte IBAN’a ödeme yapıldıysa banka başvurusu ayrı bir hukuki kanaldır. Mağdur şirket, gönderici bankaya derhal yazılı başvuru yapmalı, transferin dolandırıcılık nedeniyle gerçekleştirildiğini belirtmeli, paranın karşı bankada bloke edilmesini ve iade sürecinin başlatılmasını istemelidir. Alıcı banka da mümkünse ayrıca bilgilendirilmelidir.

Başvuruda ödeme dekontu, sahte e-posta, gerçek ticari ilişkiyi gösteren fatura, dolandırıcılığın fark edildiği tarih ve savcılık başvurusu bilgileri sunulmalıdır. Eğer işlem yabancı ülke bankasına gitmişse SWIFT recall işlemi gecikmeden başlatılmalıdır. Bazı durumlarda para farklı hesaplara çok hızlı aktarılır; bu nedenle ilk saatler kritik önemdedir.

Banka sorumluluğu her somut olayda ayrıca değerlendirilir. Banka yalnızca müşteri talimatını uygulamış olabilir. Ancak hesap açılışında şüpheli işlem, olağan dışı para hareketi, kara para aklama uyarıları, hızlı nakit çekim veya bildirim sonrası gecikme gibi durumlar varsa bankanın özen yükümlülüğü tartışılabilir. Bu nedenle banka yazışmaları kayıtlı yürütülmelidir.

KVKK Bakımından Veri İhlali Var mı?

Kurumsal e-posta hesabının ele geçirilmesi çoğu zaman kişisel veri ihlali doğurur. Çünkü e-posta hesabında müşteri adları, telefon numaraları, e-posta adresleri, teklif dosyaları, sözleşmeler, çalışan bilgileri, bordro belgeleri, kimlik fotokopileri, banka bilgileri, fatura detayları, ticari yazışmalar ve bazen özel nitelikli kişisel veriler bulunabilir.

KVKK’ya göre veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. Kurum, veri sorumlusunun kişisel verileri kendi adına işleyen kişi veya kuruluşlarla birlikte gerekli tedbirlerin alınması konusunda müştereken sorumlu olabileceğini de belirtmektedir.

E-posta hesabına yetkisiz kişi girdiyse, kişisel verilere erişim riski doğmuştur. Bu durumda şirket şu soruları cevaplamalıdır: Hangi posta kutusu ele geçirildi? İçinde kişisel veri var mıydı? Hangi kişi grupları etkilenebilir? Veriler dışarı aktarıldı mı? E-posta yönlendirme kuralı oluşturuldu mu? Saldırgan eklere erişti mi? Özel nitelikli veri var mı? Etkilenen kişi sayısı tahmini nedir?

Eğer kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilirse veya bu yönde ciddi risk varsa, Kişisel Verileri Koruma Kurulu’na bildirim yükümlülüğü gündeme gelir.

KVKK 72 Saat Bildirimi

Kişisel veri ihlali söz konusuysa veri sorumlusu, ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirim yapmalıdır. KVKK’nın güncel kamuoyu duyurusunda da 24.01.2019 tarihli ve 2019/10 sayılı Kurul kararı uyarınca ihlalin öğrenilmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yükümlülüğü bulunduğu açıkça belirtilmiştir.

Bu bildirim yapılırken tüm teknik incelemenin bitmiş olması gerekmez. İlk bildirim mevcut bilgilerle yapılabilir; sonradan ek bilgi ve güncelleme sunulabilir. Bildirimde ihlalin ne zaman gerçekleştiği, ne zaman öğrenildiği, etkilenen kişi grupları, etkilenen veri kategorileri, ihlalin muhtemel sonuçları, alınan tedbirler ve iletişim kişisi bilgileri yer almalıdır.

Ayrıca etkilenen kişilere de açık ve sade bir dille bildirim yapılması gerekebilir. Özellikle müşterilerin sahte ödeme e-postalarına karşı uyarılması, tedarikçilerin IBAN değişikliği e-postalarını teyit etmesi, çalışanların parola değiştirmesi ve kimlik avı riskine karşı dikkatli olması sağlanmalıdır.

Şirketin Müşteri ve Tedarikçilere Bildirim Yapması

E-posta hesabı ele geçirilen şirketin ticari ilişkide bulunduğu kişiler de risk altındadır. Dolandırıcı, ele geçirilen hesabı kullanarak müşterilere sahte ödeme talimatı gönderebilir veya tedarikçilerden gizli bilgi isteyebilir. Bu nedenle şirketin sadece iç sistemleri düzeltmesi yetmez; dış paydaşlara da kontrollü bildirim yapılmalıdır.

Bildirimde olayın gereksiz panik yaratmadan açıkça anlatılması gerekir. Örneğin: “Şirketimize ait belirli bir e-posta hesabında yetkisiz erişim tespit edilmiştir. Şirketimiz adına gönderilen IBAN değişikliği, ödeme talimatı veya acil ödeme içerikli e-postaların telefonla teyit edilmeden dikkate alınmaması önemle rica olunur.” şeklinde net ve yol gösterici bir metin kullanılabilir.

Ancak şirket, henüz doğrulanmamış bilgileri kesinmiş gibi açıklamamalıdır. “Hiçbir veri etkilenmemiştir” denilecekse teknik raporla desteklenmelidir. Aksi hâlde ileride KVKK, tazminat veya güven ilişkisi bakımından sorun doğabilir.

Çalışan Sorumluluğu ve İç Soruşturma

Kurumsal e-posta ele geçirme olaylarında çalışan hatası sık görülür. Çalışan phishing e-postasına tıklamış, sahte giriş ekranına parolasını yazmış, MFA kodunu paylaşmış, zayıf parola kullanmış veya kurumsal hesabı kişisel cihazında güvensiz şekilde açmış olabilir. Ancak bu durum şirketin tüm sorumluluğunu otomatik olarak çalışana yüklemez.

Şirketin çalışanlara bilgi güvenliği eğitimi verip vermediği, çok faktörlü kimlik doğrulama kullanıp kullanmadığı, parola politikası olup olmadığı, şüpheli ödeme talimatları için ikili onay mekanizması kurup kurmadığı, IBAN değişikliklerinde telefon teyidi zorunluluğu getirip getirmediği incelenir.

Çalışan kötü niyetli hareket etmişse iş akdinin haklı nedenle feshi, suç duyurusu ve tazminat/rücu talepleri gündeme gelebilir. Ancak olay yalnızca ihmal ise, çalışanın kusuru ile şirketin organizasyon kusuru birlikte değerlendirilmelidir. Özellikle muhasebe ve finans departmanlarında ödeme güvenliği prosedürü bulunmaması şirket açısından ciddi zafiyet oluşturur.

Şirketin Tazminat Sorumluluğu

Kurumsal e-posta hesabının ele geçirilmesi sonucunda müşteri veya tedarikçi zarar görebilir. Örneğin müşteri, şirketten geldiğini düşündüğü sahte e-posta nedeniyle dolandırıcı hesaba ödeme yapmış olabilir. Bu durumda müşteri parayı şirkete ödemiş sayılıp sayılmayacağını, şirketin kusuru olup olmadığını ve zararın kim tarafından üstlenileceğini tartışabilir.

Bu tür uyuşmazlıklarda şu kriterler önemlidir: E-posta hesabı gerçekten şirket hesabı mıydı? Hesabın ele geçirilmesinde şirketin güvenlik zafiyeti var mıydı? Müşteri olağan dışı IBAN değişikliğini teyit etti mi? Ticari teamülde ödeme hesabı değişiklikleri nasıl yapılırdı? Şirket daha önce müşteriyi uyarmış mıydı? Dolandırıcılık fark edilince bildirim gecikti mi? Taraflar arasında güvenli ödeme prosedürü var mıydı?

Eğer şirket temel güvenlik önlemlerini almamışsa, MFA kullanmamışsa, olağan dışı ödeme talimatlarına karşı iç kontrol kurmamışsa veya ihlal sonrası müşteriyi geç uyarmışsa tazminat sorumluluğu tartışılabilir. Buna karşılık müşteri de olağan dışı IBAN değişikliğini teyit etmeden yüksek tutarlı ödeme yaptıysa müterafik kusur gündeme gelebilir.

Ticari Sır ve Gizli Bilgi Riski

Kurumsal e-posta hesaplarında yalnızca kişisel veri değil, ticari sırlar da bulunabilir. Teklif dosyaları, fiyat listeleri, müşteri portföyü, sözleşmeler, ihale bilgileri, stratejik planlar, teknik çizimler, kaynak kodlar, ortaklık görüşmeleri ve finansal raporlar saldırganın eline geçebilir.

Bu durumda şirketin rakip zararları, haksız rekabet, ticari sırların korunması, sözleşmesel gizlilik ihlalleri ve tedarikçi/müşteri ilişkileri bakımından ayrıca değerlendirme yapması gerekir. Eğer ele geçirilen bilgiler bir çalışan veya eski çalışan aracılığıyla sızdırılmışsa iş hukuku, haksız rekabet ve ceza hukuku yolları birlikte kullanılabilir.

Teknik ve Hukuki Önleyici Tedbirler

Kurumsal e-posta dolandırıcılığında en etkili savunma, olay olmadan önce alınan tedbirlerdir. Şirketler öncelikle tüm kurumsal e-posta hesaplarında çok faktörlü kimlik doğrulamayı zorunlu hale getirmelidir. Özellikle yönetici, finans, muhasebe, satış ve satın alma hesaplarında MFA olmazsa saldırı riski ciddi ölçüde artar.

İkinci olarak ödeme güvenliği prosedürü oluşturulmalıdır. IBAN değişikliği, yeni tedarikçi hesabı, yüksek tutarlı ödeme, acil ödeme talimatı veya yurt dışı transferlerinde mutlaka daha önce kayıtlı telefon numarası üzerinden teyit alınmalıdır. Teyit, e-postadaki veya mesajdaki numaradan değil, şirket kayıtlarında önceden bulunan numaradan yapılmalıdır.

Üçüncü olarak e-posta güvenliği teknikleri kullanılmalıdır. SPF, DKIM ve DMARC kayıtları doğru yapılandırılmalı; dış kaynaklı e-postalar işaretlenmeli; şüpheli alan adları izlenmeli; mail forwarding kuralları denetlenmeli; Microsoft 365/Google Workspace audit logları aktif olmalıdır.

Dördüncü olarak çalışan eğitimi yapılmalıdır. Çalışanlar sahte giriş ekranlarını, acil ödeme baskısını, IBAN değişikliği dolandırıcılığını, CEO fraud senaryolarını ve MFA kodu paylaşma riskini bilmelidir. Eğitimler kayıt altına alınmalı ve periyodik olarak tekrarlanmalıdır.

Beşinci olarak olay müdahale planı hazırlanmalıdır. E-posta hesabı ele geçirilirse kim parolayı sıfırlayacak, kim bankaya başvuracak, kim savcılık dilekçesini hazırlayacak, kim KVKK değerlendirmesi yapacak, kim müşterileri bilgilendirecek önceden belirlenmelidir.

BTK bünyesindeki USOM’un siber olaylara müdahalede ulusal ve uluslararası koordinasyon çalışmalarını 7/24 yürüttüğü açıklanmaktadır. Büyük ölçekli, sektörel veya kritik nitelikli saldırılarda şirketin faaliyet alanına göre USOM ve ilgili sektörel SOME süreçleri de ayrıca değerlendirilmelidir.

Sonuç

Kurumsal e-posta hesaplarının ele geçirilmesi, şirketler açısından teknik bir güvenlik açığından çok daha fazlasıdır. Bu olaylar çoğu zaman sahte ödeme talimatı, IBAN değişikliği, tedarikçi fatura dolandırıcılığı, müşteri ödemesinin yönlendirilmesi, gizli bilgilerin ele geçirilmesi ve kişisel veri ihlali gibi ağır sonuçlar doğurur. Bu nedenle şirketler e-posta güvenliğini yalnızca IT departmanının sorumluluğu olarak değil, kurumsal risk yönetimi ve hukuki uyum meselesi olarak ele almalıdır.

E-posta hesabının ele geçirilmesi halinde TCK m.243 kapsamında bilişim sistemine girme, TCK m.244 kapsamında verileri bozma, değiştirme, erişilmez kılma veya başka yere gönderme ve TCK m.158 kapsamında bilişim sistemleri ile banka/kredi kurumlarının araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçları gündeme gelebilir.

Şirketin ilk yapması gerekenler; banka ve ödeme kuruluşuna acil bildirim, alıcı hesaba bloke talebi, delillerin korunması, e-posta loglarının alınması, savcılığa teknik delilli suç duyurusu, KVKK veri ihlali değerlendirmesi, gerekiyorsa 72 saat içinde Kurul bildirimi ve etkilenen kişilere açık bilgilendirmedir. KVKK, kişisel veri ihlallerinde ihlalin öğrenilmesinden itibaren en geç 72 saat içinde Kurul’a bildirim yapılması gerektiğini açıkça belirtmektedir.

Sonuç olarak kurumsal e-posta dolandırıcılığına karşı en etkili hukuki koruma, olaydan sonra dava açmak değil, olaydan önce güçlü iç kontrol sistemi kurmaktır. Çok faktörlü kimlik doğrulama, ödeme talimatlarında çift onay, IBAN değişikliklerinde telefon teyidi, SPF-DKIM-DMARC yapılandırması, çalışan eğitimi, log kayıtlarının tutulması, veri ihlali müdahale planı ve tedarikçi sözleşmelerinde güvenlik hükümleri şirketi hem dolandırıcılığa hem de sonradan doğabilecek tazminat ve idari yaptırım risklerine karşı korur.

Leave a Reply

Call Now Button