Bu aslında nam-ı diğer Xpaj solucanının hikayesidir. Symantec’in ortaya çıkarttığı olay üzerinden benzer olayları ve hukuki boyutuna değineceğiz.

Symantec, ilk bu solucanı keşfettiğinde solucana W32.Xpaj.B adını verdi,  temizlenmesi için kodları hazırladı ve sistemini güncelledi. Normalde solucanın bir süre sonra yok olması gerekirken, bu solucan değişime uğrayarak yayılmaya devam etti. Şirket solucanı izlemeye devam ettiğinde hackerların bu solucanı “tıklama hilesi” için kullandıklarını fark ettiler.

Xpaj’ı hazırlayan bilgisayar korsanları solucanın hangi serverlara bulaşacağını da seçmişler. Örneğin solucan .gov, .mil gibi devletlerle alakalı olabilecek serverlarda olduğunu anlayınca serverdan çıkıyor. Dahası bulaştığı server Kazakistan, Rusya, Belarus, Kırgısıztan, Ukraynada ise yine serverdan çıkıyordu. Korsanlar muhtemelen bu bölgelerde olduğu için yerel hukuk birimlerinden korunmak için bu özelliği eklemişlerdi.

Sistem Nasıl Çalışıyor?
Bu yöntem tıklama başına ödeme yapan reklam modellerinde işe yarıyor. Kullanıcı arama motoruna ait siteye giriyor, bir arama yapıyor, kullanmış olduğu arama kelimeleri solucan tarafından alınıyor. Kullanıcı arama motoruna ait sayfada sonuçların listelenmesini beklerken, solucan devreye giriyor ve kullanıcıyı arama motorunun sonuç sayfasına benzeyen bir sayfaya yönlendiriyor. Bu sayfada yine alışılmış bir sonuç sayfası karşınıza çıkıyor fakat bu sefer bütün linkler aslında birer reklam linki, kullanıcı bu sonuçlardan birisine tıkladığında solucanı yazanlar para kazanıyor.

Reklam veren ve kullanıcı açısından reklam tıklaması yasal gibi görünse de gerçekte solucanı yazanlar reklam vereni dolandırıyorlar. Çünkü ziyaretçi reklama tıkladığında, reklam verenin sistemi açısından dolandırıcıların sitesinden gelen bir kullanıcı olarak göründüğü için, dolandırıcıların hesabına tıklama başına gelir kaydediliyor. Bu olayda 27 Eylül 2010’dan 27 Haziran 2011’kadar günde ortalama 170 dolar gelir elde edildiği tespit edildi.

Hukuksal Durum

Yukarıda anlatılan sistemi tespit etmesi oldukça zor fakat işleyişi de bir o kadar basit bir sistem. Türevleri oldukça fazla ve gün geçtikçe reklam gelirleri üzerinden haksız kazanç elde yöntemleri de artıyor. Bazıları bu örnekte olduğu gibi az az da olsa bir yıl boyunca toplam 62.000 Amerikan Doları gelir elde ederken bazıları da rakiplerinin verdiği reklamları otomatik tıklayan sistemler yaparak haksız rekabet ortamı yaratmaktadır.

Kötü amaçlı kod yazan kişiler bu dosyaları şahısların bilgisayarına bulaştırmak için email gönderiyorlar, çok ziyaret edilen sitelerin serverlarına bulaştırıyorlar veya kendileri site kurup gelen ziyaretçinin bilgisayarına bu kodları bulaştırıyorlar.

Olayın yasalarımızdaki yerini biraz tartışmamız gerekiyor.

Kod yazan kişiler bu dosyayı bilgisayarımıza bize fark ettirmeden bilgisayarımıza kaydetmişler. Fakat arama yaptığımızda gelen sayfadaki hileli sonuçlara tıklıyoruz. Acaba bu durumda dolandırılmış oluyor muyuz?
Öncelikle suçun hedefi mal varlılığıdır. Faillerin amacı ziyaretçinin bir linke tıklaması, bunun karşılığında reklam verenden gelir elde etmektir.
Kullanıcının kandırılmış ve aldatılmış iradesi doğrultusunda, reklam verenin zararına ve kodu yazan kişilerin yararına bir işlem söz konusudur. Mağdur reklam verendir.  Dolandırıcılık bir anlamda “aldatarak hırsızlık”tır. Hile ile kullanıcının iradesinin bozulması aranmaktadır.
O halde kişinin bilgisayarına bulaştırılan solucan nedeniyle arama sonuçlarının kodu yazan kişilerin menfaatine olacak şekilde linklerin getirilmesi kullanıcının iradesini etkileyen bir hile midir?
Belki burada bilişim sisteminin işleyişinin bozulması bir hiledir şeklinde düşünülebilir. Fakat bu yasayı çok geniş yorulmamız sonucunu getirecektir, bu nedenle kullanıcının iradesini etkilemeyen, hatta haberinin dahi olmadığı bilgisayarındaki bu değişiklik kanunun aradığı anlamda bir hile değildir.

Üçüncü bir kişinin aldatılması halinde de bu kişinin haksız olarak alınan mal varlığı üzerinde de bir hakimiyet hakkının olması gerekiyor. Bu olayda ise aldatıldığını düşündüğümüz bilgisayar kullanıcısının reklam verenler ile bağlantısı dahi yok.

Mevcut olayda maddi kayba uğrayan reklam şirketleridir, solucanı yazan kişilerin hedefi reklam şirketlerinin mal varlığıdır. Kullanıcının her tıklaması suç işleyenlerin hesabına haksız kazanç olarak geçmektedir. Ceza Kanunumuzun hırsızlıkla ilgili hükmü hırsızlığın bilişim sistemleri ile işlenmesi halinde ağırlaştırıcı bir husus olarak düzenlenmiştir. Bankalardaki paranın taşınabilir bir mal olmaması nedeniyle konuya itiraz edilmişse de bilişim suçlarının düzenlendiği madde metninde “daha ağır cezayı gerektiren başka bir suç oluşturmaması halinde” denildiği için bunun bir tali hüküm olduğu gerekçesiyle, Yargıtay Ceza Genel Kurulu internet bankacılığı konusunda işlenen suçların nitelikli hırsızlık olduğu sonucuna varmıştır. Bu husus halen tartışmalıdır.

Olayda failler öncelikle kullanıcının bilgisayarına solucan bulaştırmaktadırlar, bu durum Ceza Kanunumuzun 244. maddesi  anlamında bilişim sisteminin işleyişini bozmaktır. Şu durumda failler bilgisayarına solucan bulaştırdıkları kullanıcılar açısından 244. maddeden yargılanacaktır. Bu fiil ile haksız kazanç elde ettikleri için ceza artacaktır. Olayın bilişim sistemini bozarak haksız kazanç elde etme suçu olduğu açıktır. Fakat madde metnin de başka bir suç oluşturmaması halinde hükme nedeniyle kafalar karışmakta ve Yüksek Mahkemenin de hükme bağladığı gibi nitelikli hırsızlık akla gelmektedir.

Mahkeme kararına konu olan suçta failler internet bankacılığı üzerinden, eriştikleri kaydi parayı belirledikleri hesaplara transfer etmişlerdir. Olayda sadece bu paranın bir veri olması, bunun da kanunda tanımlanan taşınır mal tanımlanmasının içinde olmaması nedeniyle itiraza konu olmuştur, fakat görüş yine de değişmemiştir. Yazımıza konu olan olayda ise direkt erişilen bir mal varlığı da söz konusu da yoktur. Kullanıcıların bilgisayarlarının işleyişi bozulmakta, bu kullanıcılara maddi bir zarar vermezken, reklam verenler gelen bu ziyaretleri normal bir giriş kabul ettiği için faillere ödediği bir bedel söz konusudur. Aslında ziyaret edilen sayfaların kullanıcıların gerçekten aradığı sayfalar olması halinde reklam verenler açısından da bir sorun yoktur. Problem ilgisiz tıklamalardan kaynaklanmaktadır.

Sonuç olarak faillerin Ceza Kanunumuzun 244. Maddesindeki bilişim sistemini bozma suçunu işlemişlerdir, haksız kazanç elde ettikleri için de  iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezası almaları muhtemeldir.

İnternet gelir elde etme modelleri arttıkça bunlardan haksız kazanç elde etmeye çalışan kişiler de artacaktır. Reklam alt yapısını kuranlar, kurdukları sistemin güvenliğini ve açıklarını düzenli olarak kontrol etmeleri gerekmektedir. Görüldüğü gibi böyle bir suçun da kanunlarımızda yeri vardır.

Önceki yazıyı okuyun:
NİTELİKLİ DOLANDIRICILIK – HAKSIZ ÇIKAR SAĞLAMA – BİLİŞİM SUÇU

YARGITAY 11. CEZA DAİRESİ E. 2009/1616  K. 2009/11328   T. 7.10.2009 DOLANDIRICILIK ( Gerçek Bir Kişiyle Karşı Karşıya Gelmeden Bir Başka...

Kapat