Av. M. Gökhan Ahi mgahi@hurriyet.com.tr

Bu sıralar, gazetelerin 3. sayfalarında banka hesapları boşaltılanların hikayelerini okuyoruz. İnternet bankacılığı yapanların kábusu haline gelen sahtekarlara, yaptıkları işin gereği ‘hortumcu’ değil de ‘pipetçi’ demek daha doğru geliyor. Bankalar, en hızlı veya en güvenli İnternet bankacılığının kendilerinde olduğunu iddia ediyorlar. Ancak, güvenlik önlemlerini yeterince alıyorlar mı, gerçekten tartışılır.

En sık rastlanan pipetçilik yöntemi, sahte e.postalarla kullanıcıları aldatmaktır. Örneğin, gönderici kısmında Xbank yazılı olan bir e.postada hesapların YTL’ye çevrileceği veya hesap bilgilerinde bir takım güncellemeler yapılacağı iddia edilerek kullanıcıların linke tıklaması isteniyor. Kullanıcı linke tıkladığında, her zaman kullandığı ve aşina olduğu bankasının sitesine giriyor. Aslında bankaya ait olmayan bu sahte sitede, kullanıcılar işlem yaparak şifrelerini ve özel bilgilerini pipetçilerin eline teslim edebiliyor.

Diğer bir yöntemde ise, pipetçiler küçük casus programları insanların ilgisini çekebilecek içerik bulunduran sitelerde saklayıp kullanıcının bilgisayarına haberi olmadan kurulmasını sağlayabiliyor. Böylelikle casus programcık, kullanıcının İnternet üzerinde kullandığı tüm form bilgilerini ve girdiği şifreleri pipetçilere iletiyor. Bundan sonrası pipetçiler için çok kolay, ilgili bankanın sitesine bağlanmak ve gerekli transferleri yapmak.

Ancak işin hukuki boyutu düşünüldüğünde, mahkemelerin karşısına çözümü çok güç sorunlar çıkmaktadır. Kullanıcılar bankayı dava ettikleri zaman, bankanın mı, kullanıcının mı kusurlu olduğu sorunu mahkemeleri uğraştırıyor. Bankalar, genellikle kendilerini kusurlu saymayıp kendilerine düşen tüm güvenlik önlemlerini aldığını, hesabın boşaltılmasında ancak müşterinin kusurlu olduğunu iddia ediyor. Çünkü müşteriler casus programlardan ve sahte e.postalardan kendini koruyamamıştır.

Bu iddiaların doğru olduğunu varsaysak bile, bir çok bankanın yeteri kadar güvenlik önlemi olmadığını söyleyebiliriz. Hangi yöntemle olursa olsun, pipetçiler çok kolay iz bırakmazlar, ancak hesapları boşaltmak ve paraları transfer etmek için başka bir hesaba ihtiyaç duyarlar. Mutlaka paranın bir yerden çekilmesi gerekir. İşte bu noktada, bankaların korkunç açıkları ortaya çıkmaktadır. Pipetçiler, sahte isimle ve sahte kimlikle başka bir banka ve şubede hesap açıp, boşaltılan hesaplardaki paraları buralardan nakit olarak alabilmektedir. Yeteri kadar kimlik ve referans kontrolü yapmayan bankalar da aslında kusura ortak olmaktadır ve teslim ettikleri nakit para kadar zararı karşılamak durumundadırlar. Eğer bankalar, nakit teslim ederken önlem alabilseydi, İnternet hesaplarının boşaltılması pek işe yaramıyor olacaktı ve pipetçilerin hareket alanı oldukça daralacaktı.

İnternet bankası kullanıcıları kendi kişisel güvenliklerini sağladıktan sonra, bankalarından ekstra güvenlik talep etmelidir. Örneğin, bazı bankalarda olduğu gibi hesaptaki para hareketlerinin kısa mesaj ya da e.posta ile anında bildirilmesi. Bu önlem dahi, pipetçilere yeterli zaman bırakmadan paraların bloke edilmesini sağlayabilecektir.