| Okuma Süresi: 3 Dakika

BİR BİLİŞİM SUÇU OLARAK; CRYPTOLOCKER İÇERİKLİ RANSOMWARE YAZILIMLAR

AV. ADEM AKKIR ICT MÜDÜRÜ ÖZCAN ELMALI

Fidye Yazılımlar Nedir?

Fidye yazılımları (Ransomware), bir cihazı kilitleyebilen veya sahibinden para koparmak için içeriklerini şifreleyebilen kötü amaçlı yazılımlardır.

Bu tür bir yazılım kullanılarak işlenmiş suç ile ilgili belgelenmiş ilk olay Josep Popp tarafından 1989 yılında gerçekleştirilen AIDS Truva Atı idi. AIDS ile ilgili bilgilendirici bir disket fiziksel olarak posta aracılığıyla pek çok kişiye dağıtılmış çalıştırıldığında bilgisayarların diskine erişim engellenmiştir. Fidyeci bu kilidi kaldırmak için 189 dolar ücretin Panama’da bir posta kutusuna gönderilmesini talep etmiştir. Bu olayda Joseph Popp’un akıl sağlığı yerinde olmadığı gerekçesiyle yargılanmamıştır. ([1])

Yakın zamanda da WannaCry, Petya ve Bad Rabbit gibi zararlı yazılım haberleri gündemi oldukça meşgul etti. Fidye saldırı sayılarında niteliksel bir azalma görünse de, her geçen yıl benzersiz fidye yazılım çeşitliliğinde artış olmuştur. Sonicwall 2017 siber tehdit raporuna göre benzersiz fidye yazılımında 2017 yılında %101,2’lik bir artış gerçekleşmiştir. Bu da saldırı stratejilerinin değiştiğinin önemli bir göstergesidir.([2])

Fidye yazılımlar ile saldırı, tıpkı phishing ([3]) saldırılar gibi en çok e-posta yoluyla gerçekleştirilmektedir. Türkiye’de sıklıkla e-posta içeriği gönderilen kişiye fatura gönderilmiş gibi gösterilmektedir. Virüsü yayan siber saldırgan genellikle sahte bir e-fatura dosyası oluşturmakta, fatura tutarını oldukça yüksek göstererek kullanıcının dikkatini çekmekte ve kullanıcıyı gönderdiği maildeki linke (örneğin “http://efatura.ttnet-fatura.com/” benzeri) tıklamaya yönlendirmekte, linkten e-faturanın “zip” uzantılı bir dosya halinde indirilmesini sağlamaktadır. ([4]) Kullanıcıya link üzerinden veya e-posta ekinde gönderilen dosyayı (.exe uzantılı) indirip açtığı zaman bilgisayardaki tüm dosyaları şifrelemeye başlanmaktadır. Şifreleme yaparken aynı zamanda dosyalara şifre çözme talimatı eklenmekte ve kullanıcılardan şifreyi kaldırmak için ödeme talep edilmektedir. Şu sıralar en çok talep edilen ödeme aracı da izi takip edilemediği için Bitcoin’dir.

Peki ne yapmalıyız, bu saldırıyı yapan toplum mühendisleri gündemi yakından takip ettikleri için Örneğin seçim nedeniyle şu sıralar Yüksek Seçim Kurulu’ndan, bankalardan, GSM operatörlerinden ve Apple / Google gibi online içerik sağlayıcılardan geldiği düşünülen maillerin adresini mutlaka kontrol etmeliyiz. @ işaretinden sonraki adres bölümü, size maili gönderdiği iddia edilen firmanın/kurumun web sitesi adresinden farklı ise, kesinlikle mail içerisindeki hiç bir linke tıklamayınız, ekli dosya varsa açmaya çalışmayınız ve hiç bir alana kullanıcı adı ve şifre bilgilerinizi girmeyiniz.

Örneğin son günlerde Apple firması tarafından gönderiliyormuş gibi gösterilen “Payment Successfully” başlıklı mailler gelmektedir. Ekteki dosyayı açtığınızda bilgisayarınızdaki dosyalar şifrelenmekte ve açılması için BitCoin karşılığı ödeme yapmanız istenmektedir.

Ayrıca bu maillerde göz yanılgısı oluşturmak amacıyla, maili göndermiş gibi gösterilen firmaların gerçek adresleri de alıcı kısmına eklenmektedir. Bu nedenle aşağıdaki örnekte olduğu gibi, mailin alıcı kısmını değil, gönderildiği adresi kontrol edilmesi çok önemlidir.

 

Fidye Yazılım yoluyla gerçekleştirilen eylemlerin yaptırımı nedir?

Öncelikli olarak Türk Ceza Kanunun 244 maddesinin birinci fıkrası ile “Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılacağı” kabul edilmiştir. İkinci fıkrası ile de “bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişinin, altı aydan üç yıla kadar hapis cezası ile cezalandırılacağı” kabul edilmiştir. Dördüncü fıkrada da bu eylemleri gerçekleştiren kişi bunu kendine veya bir başkasına çıkar sağlamak için yapıyor ise iki yıldan altı yıla kadar hapis cezası ile cezalandırılacağı benimsenmiştir.

Suçun oluşması, sistemin işleyişinin engellenmesi veya bozulması neticesine bağlanmıştır. Dolayısıyla suç neticeli bir suçtur. Aynı zamanda suç serbest hareketli bir suçtur, suçun her türlü hareket ile işlenmesi mümkündür.

Suçun oluşması için verilerin tamamen erişilmez kılınması gerekli değildir. Bir sürede olsa veriler erişilmez hale gelmiş ise suçun unsuru yerine gelmiş olacaktır.

Yargıtay da benzer eylemlerin cezalandırılması gerektiğine hükmetmiştir. “Katılana ait hotmail adresine hukuka aykırı olarak giren ve yeni şifre oluşturup katılanın erişimini engelleyerek e-mail adresini kullanan sanığın eylemine uyan TCK. nun 244/2. madde ve fıkrası uyarınca cezalandırılması gerektiği..” Yargıtay 8.CD, E. 2013/771, K.2014/15833 T.23.06.2014

Yine bu erişimi engellenen ve ele geçirilen veriler içerisinde gerçek kişiye ait kişisel verilerin bulunması halinde Türk Ceza Kanunun 136. Maddesinde öngörülen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçu oluşmuş olacaktır.

Bu tür bir saldırıya maruz kalan kişi ve kurumlar tarafından verilere erişmek için ödemenin yapılması kaçınılmaz gibi görünse de, yapılan bu ödeme soncunda şifrelerin kaldırılacağının da garantisi bulunmamaktadır. Bu nedenle hukuki olarak alınması gereken önlemlerle birlikte veri güvenliği çözümü sunan firmalardan destek alınması önerilmektedir.

 


[1] Kaynak: https://www.eset.com/tr/ransomware/

[2] Kaynak: https://www.m2s.com.tr/bulten/2018_Sonicwall_siber_tehdit_raporu-TR.pdf

[3] Phising Saldırı : Olta saldırısı (phishing), anlam olarak İngilizce “password” (şifre) ve “fishing” (balık avlamak) kelimelerin birleşiminden oluşturulmuştur. Bir kişinin hassas bilgilerinin (şifre, parola, müşteri numarası, kullanıcı adı, kredi kartı numarası vb.) kod ve bilgilerinin elektronik ortamlarda ele geçirilmesini amaçlayan saldırı türüdür. (Kaynak: https://www.tbb.org.tr/gec/KTPV14.pdf)

[4] Kaynak: http://www.udhb.gov.tr/images/duyurular/74bc0128f065b41.pdf