Kurumsal firmalar da mı artık vatandaşları dolandırıyor? Gerçek bir hikaye!

Ayşe (gerçek ismi değil) bundan yaklaşık 5-6 ay kadar evvel X isimli büyük bir firmadan ev interneti hizmeti satın aldı. Aboneliği başladıktan bir süre sonra, telefonu bilmediği bir numara tarafından çaldı. Hattın diğer ucundaki kişi, X firması adına aradığını söylüyordu. 

Ayşe, X firması ile taahhütsüz bir anlaşma yapmıştı. İnternet hizmetinden de pek memnun sayılmazdı. Telefondaki kişi, X firmasının, Türkiye'deki en büyük telekomünikasyon şirketlerinden biri olan Y firmasına internet alt yapısı hizmeti sunduğunu, dilerse Y firmasıyla bir abonelik başlatarak taahhütlü ve daha hesaplı, üstelik daha hızlı internet hizmeti alabileceğini söylüyordu.

Ayşe kurumsal bir numaradan aranmıştı, hattın ucundaki kişi, kendinden emin konuşmasıyla onu ikna etmişti. Kabul etti, X firması ile olan sözleşmesinin iptalini talep ederek, Y firmasının abonesi oldu. Y firması geldi, gerekli ekipmanları getirdi ve interneti evine kurdu. Aboneliği böylece başlamış oldu.

Faturaları otomatik ödeme talimatında olan Ayşe, aylardır her 2 firmaya birden para verdiğinin farkında değildi. Aboneliğini sonlandırdığı X firmasına hala ödeme yapıyordu. Durumu geç fark etti, nedenini öğrenmek için X firmasını aradı ve hayatının şokunu yaşadı: Y firması tarafından, X firmasının adı kullanılarak kandırılmıştı.

Nasıl mı? 

Y firmasının bayilerinden biri, her nasıl olduysa Ayşe'nin kişisel bilgilerine ulaşmış ve kendisine telefon etmişti. X firmasından arıyormuş gibi davranarak, işin içine türlü yalanlar katmış ve genç kadını ikna etmeyi başarmıştı. X firmasıyla konuştuğunu zanneden Ayşe aboneliği iptal oldu sanmıştı ama yanılmıştı, farkında olmadan aynı anda 2 fatura birden ödüyordu. 

Peki Türkiye'nin en köklü ve bilindik firmalarından biri olan Y, nasıl olmuştu da böyle bir yöntemle kendine müşteri kazanmıştı? Bunun adı dolandırıcılık değil de neydi? Ayşe'nin hangi firmanın müşterisi olduğunu nereden biliyor ve ne hakla o firmanın yetkilileri gibi konuşup yalan beyanda bulunuyordu? 

Bu, gerçekten yaşanmış bir olay. Bu olayı duyanlar, ortak bir tepki verdi: Aynı ya da benzer bir olay, ya kendilerinin başına gelmiş, ya da çevrelerindeki herhangi biri bu tuzağa düşmüştü. Peki nasıl oluyor da elini kolunu sallayan telefon numaralarımıza ulaşıp bizleri arıyor ve bu kadar yalan söyleyebiliyor? Verilerimiz güvende değil mi? Artık en güvenilir sandığımız firmalar da mı bizleri ağına düşürmek için illegal yolların kapısını çalıyor?

Marmara Üniversitesi İletişim Fakültesi Görsel İletişim Tasarımı Anabilim Dalı Başkanı ve Bilişim Teknolojileri Uzmanı sevgili Prof. Dr. Ali Murat Kırık ile konuştuk... 

 - Bu firmalar nasıl oluyor da bizim numaralarımız, aboneliklerimiz gibi kişisel bilgilerimize ulaşabiliyor? 

Artık çağımızda kişisel verilerin çok ciddi önemi var, bunun altını çizmemiz gerekir. Kişisel verilerin izinsiz bir şekilde paylaşılması ya da satılması sonucu ortaya çıkan ciddi problemler söz konusu. Müşterilerin bilgilerini nasıl elde ettikleri konusunda birkaç farklı ihtimal var. Bunların başında veri satışı geliyor. Bazı firmalar müşteri bilgilerini 3. taraflara satarak gelir elde edebiliyor. Bu bilgiler, müşterinin hangi internet hizmetini kullandığı ve iletişim bilgilerini, yani telefon numarasını ve adres bilgilerini içerebiliyor. İkinci ihtimal, bir internet hizmeti sağlayıcısının veri tabanı hacklenmiş olabiliyor. Bu durumda saldırganlar müşteri bilgilerine ulaşarak dolandırma ya da kötü amaçla kullanabiliyorlar. Sosyal mühendislik dediğimiz farklı bir yöntem de söz konusu olabilir. Bazen dolandırıcılar müşterilere ulaşabilmek için bilgi toplamaya çalışabiliyor. Yani sizi arayarak bir aboneliğiniz olduğunu ifade ediyor. Bunu aslında oltalama faaliyeti olarak da düşünebilirsiniz. Size oltayı atıyor, diyor ki "Siz buraya üyeymişsiniz..." Belki de değilsiniz. Ama tutanları bu şekilde dolandırabiliyor. Bu da karşımıza çıkıyor. Şu da çok yoğun bir şekilde karşımıza çıkan hususlardan biri, bazı firmalar müşteri bilgilerini iş ortakları ya da bayilik ağı ile paylaşabiliyorlar. Bu durumda bir firma, sizin bilgilerinize ulaşabiliyor ve sizi arayarak kendi hizmetlerini sunmuş oluyor. Bu da ciddi bir risk olarak karşımıza çıkıyor. 

- Kişisel verilerimiz tehdit altında diyebilir miyiz? 

- Evet, açıkçası bunu söylememiz gerekir. Çünkü artık kişisel bilgiler bu sayede dolandırıcıların eline geçebiliyor. Bununla birlikte sizin iletişim, adres bilgilerinize erişim sağlanmış oluyor. Bunlar buz dağının görünen tarafı, bir de görünmeyen tarafı var. Sonuçta bizler abonelik işlemleri gerçekleştirirken bütün kimlik bilgilerimizi veriyoruz. Sadece TC kimlik numarası, ad-soyadı değil. Orada birçok bilgi oluyor. Bazen kimlik fotokopimizi veriyoruz. Bunların 3. taraflara geçmesi ciddi bir tehdit ve risk. Bizim adımıza farklı işlemler de yapabiliyorlar. Dolandırıcılık faaliyetleri gerçekleştirilebiliyor. Bizi borçlandırabiliyorlar. Ya da bizi farklı hizmetlere abone edebiliyorlar. Bu durum gelecek adına, kullanıcı adına ciddi bir tehdit. Zaten son dönemlerde dolandırıcılık vakalarının artmasında yatan en temel etmenlerden biri veri ihlalleri. Bu veri ihlalleri sebebiyle şirketlerin verileri doğru bir şekilde saklayamamasından ötürü ciddi güvenlik riskleri doğuyor. Aynı zamanda bazı şirketlerde çalışanların da bu verileri ele geçirip sızdırabildiği yönünde iddialar da söz konusu. Hem dışarıdan bir tehdidin varlığının altını çizmemiz gerekiyor, hem de içeriden bilgi sızdırılması ihtimali olabilir.

- Adı duyulmayan firmaların bu yola başvurmasını az çok anlayabiliyorum ama Türkiye'nin en büyük, en kurumsal şirketlerinin de artık aynı yöntemle müşteri toplamasını siz nasıl değerlendirirsiniz? 

- Adı duyulmamış firmalar dolandırıcılık amacıyla bu tip yöntemlere başvuruyorlar fakat adı bilinen, itibarlı, özellikle telekomünikasyon sektöründe uzun yıllardır çalışmış ve marka haline gelmiş bir firmanın benzer eylemlerde bulunması çok endişe verici ve veri ihlalleri açısından mutlaka üzerinde durmamız gereken bir husus. Şunları da göz ardı etmememiz lazım, tanınmış firmalara her zaman bu olayı mal etmemek lazım. Bazen iç ihlaller yaşanabilir. Bu firmalarda çalışan bazı bireyler yetkilerini kötüye kullanarak müşteri bilgilerini yasa dışı yollarla satabiliyorlar. Bazen bu firmanın genel politikalarından bağımsız bir bireysel suistimal olabiliyor. Bu tabii şu demek değil, "Bizim çalışanımız yaptı" deyip kenara geçilemez. Sonuçta çalışanı işe alan, veri güvenliğini sağlaması gereken de firmanın ta kendisidir. Bir de zayıf güvenlik önlemleri karşımıza çıkabiliyor. Tanınmış, bilinmiş firmaların güvenlik önlemleri bazen yeterli olmayabiliyor. Bu tür firmalar müşteri verilerini korumak için gerekli güvenlik politikalarını güncellemediğinden ötürü dolandırıcılar bu açıkları kullanabiliyorlar. Şu da çok yaşanan olaylardan biri, iş ortakları ve taşeron firmalar da söz konusu olabiliyor. Büyük firmalar genellikle iş ortakları ya da taşeronlarla çalışıyorlar. Bu, üçüncü tarafların ister istemez müşteri bilgilerine erişim sağlayabilmesi ve kötü niyetli eylemlerde bulunabilmesi anlamına geliyor. İşte bu firmanın, ş ortaklarının ve taşeronların veri güvenliği uygulamalarını yeterince denetlememiş olmasından da kaynaklanabilme durumu söz konusu. Bir de bazı büyük firmalar şeffaflık ve veri gizliliği konularında çok dikkatli olmayabiliyor. Müşteri bilgilerini izinsiz paylaşabiliyorlar veya veri toplama politikalarını müşterilerine tam olarak açıklamayabiliyorlar. Bir de firma imajının kullanılması oluyor. Dolandırıcılar güven tesis etmek için bilinen firmaların ismini, logosunu kullanabiliyorlar. Ya da bir komisyon bedeli veriyor şirket. Örneğin ben büyük bir işletmeyim, bir bayilik veriyorum, bu bayiliğe de diyorum ki "Benim şirketime bu kişiyi abone ettiğinde sana yüzde 10 prim..." 

- Yıllardır benzer haberleri yapıp duruyoruz, sizce bu dolandırıcılık faaliyetlerinin sona ermemesinin nedeni, yaptırımların yetersizliği olabilir mi? 

- Tabii. Aslına bakarsanız bu tür haberlerin varlığı üzülerek söylemek gerekir ki mevcut yaptırımların ve hukuki düzenlemelerin yetersiz olduğunu gösteriyor. Yaptırımların yeterince caydırıcı olmaması, firmaların ve bireylerin veri ihlallerini, dolandırıcılığı göze almasını kolaylaştırıyor. Cezaların ağır olmaması, firmaların ve bireylerin bu tür eylemlerden kaçınmamasına yardımcı oluyor. Para cezasıyla mesela iş kapanmış oluyor. Ama veriler sızdırıldı, ne olacak? Düzenleyici kurumların, yasaların veri gizliliği konusunda yeterince sıkı olmaması da ihlallerin çok daha fazla yaşanmasına neden oluyor. Bu yüzden denetimlerin artırılması ve düzenlemelerin sıkılaştırılmasının çok önemli olduğunun altını çizmemiz gerekir.

- Nasıl koruyacağız kendimizi?

- Farkındalık eğitimlerinin son derece önemli olduğunu düşünüyorum. Bu sürecin daha küçük yaşlarda anlatılması ve aktarılması son derece önemli. Şirketlerin mutlaka bu verileri çok daha sıkı bir şekilde koruması ve çalışanlarıyla buna özgü protokoller oluşturması son derece önemli. Sözleşmelerdeki açıklar ve eksiklerin giderilmesi, son kullanıcıyı koruması adına son derece önemli. Her zaman son kullanıcının yani tüketicinin mutlaka bu tarz işlemlere telefon üzerinden onay vermek yerine yüz yüze, imzalayacağı sözleşmedeki detayları mutlaka kontrol ederek bu işlemleri gerçekleştirmesi önemli. Bu tarz abonelik geçişleri-iptalleri esnasında teyit etmeden, asla ve asla bu olay bitmiştir diye düşünmememiz gerekiyor.