Mailde Araya Girme Dolandırıcılığına Dikkat! Tahsilatlarınız Dolandırıcıların Hesabına Yatmasın
20 Ağustos 2020
Araya girme veya araya giren adam dolandırıcılığı olarak adlandırılan bu suç sizin firmanızın veya size ödeme yapacak olan firmanın e-posta şifresini bir şekilde ele geçirme veya tahmin etme veya benzer bir domain ile benzer bir e-posta adresi açıp kullanma ( Örneğin : export@carpetcompany.com maili yerine export@carpetscompany.com mail hesabı açarak ) ile ödeme yazışmalarınızı taklit etme ve ödemelerin dolandırıcıya ait farklı bir banka hesabına yapılmasını sağlamak yöntemine dayanmaktadır.
Bu suç tipinde dolandırıcılık eylemi büyük bir ticari iş yapan iki firma veya kişiden birisinin e-posta şifresinin ele geçirilmesi ve yazışmaların okunması ile başlamaktadır. Bilişim suçları arasından yer alan e-mail hacklenmesi (kırılması) bir e-mail hesabının, hesap sahibi dışında başka biri tarafından şifrenin hukuka aykırı ele geçirilmesi, şifrenin sıfırlanması ve taklit mail adresi yoluyla hesabın denetiminin ele geçirilmesidir. E-posta adresinin şifresi, kullanıcı adı ve şifre kombinasyonlarının “brute-force” yoluyla denenmesi şeklinde kırılabileceği gibi bilgisayara yüklenen özel bir takım zararlı yazılımlar (truva atı, tuş kaydedici vs) ile de ele geçirilebilmektedir. Ayrıca e-posta hesabının kurtarılması için gerekli olan gizli sorunun cevaplanması gibi fazla karmaşık olmayan yollarla da e-posta hesabı ele geçirilebilmektedir.
Bu suç tipinde failler öncelikle hedef seçtikleri şirketlerin e-posta hesaplarını ele geçirip yazışmaları takip etmeye başlamaktadır. Ardından ticari bir takım yazışmalara ulaşıp, olası yüksek bedelli bir satın alma veya önemli para transferi olup olmadığını kontrol etmektedir. Bu şekilde yüklü para transferini tespit ettiklerini bir e-posta yazışmasında taraflardan birisinin e-posta adresini tek karakter farkıyla taklit edecek bir email hesabı açmaktadırlar. Daha sonra ise e-postasını taklit ettikleri kişi olarak e-posta gönderiyormuş izlenimi yaratarak yazışmaya dahil olmaktadırlar. Son aşamada da banka hesap bilgisi olarak farklı bir ülkede açılan farklı bir banka hesap bilgisi yani suç ortağının bilgilerini vermekte böylece para, ticari ilişkinin tarafına değil dolandırıcının suç ortağının hesabına yatmaktadır. Bu dolandırıcılık tipinde bazen e-posta adresi taklit edilmek yerine bir takım özel yazılımlarla gerçek email adresleri de birebir taklit edilebilmektedir. Böylece sanki gerçekten karşı firmadan e-posta geliyormuş gibi muhasebe birimleri kandırılmaktadır.
Bu dolandırıcılık yönteminde maddi kayıplar yüksek olmaktadır. Araya girme yöntemiyle işlenen bu tür e-posta dolandırıcılığı suçlarında uğranılan maddi zarar genelde yüz binlerce doları bulabilmektedir. Dolayısıyla araya giren adam dolandırıcılığı suçu nedeniyle mağdur olanların bu alanda tecrübeli bir bilişim avukatı ile çalışması yerinde olacaktır.
Son yıllarda bu tip dolandırıcılık yöntemi ile, ihracat yapan ve yurtdışından yüksek tuturlarda ödemeler alan firmalardan 100 binlerce dolar dolandırıldığı bilinmektedir.
Firmaların "Hesap numaramız değişti. Ödemenizi gönderdiğimiz hesap numarasına yapın" mailiyle dolandırılmalarına karşı dikkatli davranmaları gerekmektedir. Bu dolandırıcılık yönteminde firmalar adına yurtdışında ihracat yaptığı müşteriye gönderilen mailler ile hesap numaralarının değiştiği, ödemelerinin farklı bir hesaba yapılması istenmektedir. Bu değişikliği sorgulamayan yurtdışı müşterileri bu maillere inanarak ödemeleri bilmeden dolandırıcıların hesabına yapmaktadırlar. Sonrasında ödeme yapılan hesap dolandırıcı tarafından kapanmakta ve yurtdışında olan bu hesap ile ilgili hukuki bir işlem yapılması da zorlaşmaktadır.
Araya Girme Yöntemiyle Yapılan Dolandırıcılığa Karşı Neler Yapılmalı?
Öncelikle firmalar personellerini bu tarz dolandırıcılık yöntemlerine karşı eğitmeli ve uyarmalıdır. Bundan sonra titizlikle yapılması gerekenler;
1. Bilgisayarlarda güncel bir Antivirüs Programı kullanılmalı ve zaman zaman güncel olup olmadığı kontrol edilmelidir.
2. Kullanılan mail hesaplarının şifreleri güçlü şifreler olmalı. Bu şifreler en az 8 karakter ve rakamdan karışık bir şekilde oluşturulmalıdır. Örneğin : 25/85?*AghX gibi karmaşık bir şifre yapısı kullanılmalı.
3. Kullanılan şifreler bilgisayarda veya herhangi bir cihazda not olarak tutulmamalıdır.
4. Firmaya ait farklı e-posta adresleri için farklı şifreler kullanılmalıdır. Çalışanlar birbirlerinin e-posta şifrelerini bilmemelidir.
5. Belli aralıklarla e-posta şifreleri değiştirilmeli
6. Dikkat edilmesi gereken en önemli konu ise yurtdışından ödeme alınacak firma ile bu konuyu telefonda görüşüp, telefon ile onay almadan banka hesap bilgilerinde gerçekleşen herhangi bir değişiklik sonrası ödeme yapılmaması gerektiği konusunda mutabık kalınmalıdır. Banka hesabı değişikliğini telefon üzerinden teyit edilmeli, karşılıklı teyit olmadan farklı bir banka hesabına yapılacak ödemelerden firmanın sorumlu olmayacağı karşı firmaya özellikle belirtilmelidir.