E-posta hesabının ele geçirilmesi; kimlik doğrulaması için kullanılan omurga hesaba saldırı anlamına gelir ve zincirleme biçimde bankacılık, sosyal medya ve kripto varlık kayıplarına yol açabilir. TCK m.243-244 bilişim suçları, m.136 kişisel veriler ve m.132 haberleşmenin gizliliği hükümleri birlikte uygulanır.
Yasal Nitelendirme
- TCK m.243 – Bilişim sistemine girme.
- TCK m.244 – Sistemi engelleme, bozma, verileri değiştirme veya yok etme.
- TCK m.132 – Haberleşmenin gizliliğini ihlal (özel yazışmaların ele geçirilmesi).
- TCK m.136 – Kişisel verilerin hukuka aykırı ele geçirilmesi veya yayılması.
- TCK m.158/1-f – Bilişim yoluyla nitelikli dolandırıcılık (kimlik doğrulama için kullanılan e-posta üzerinden finansal hesap ele geçirme).
Saldırı Biçimleri
- Oltalama ile elde edilmiş parola.
- Veri ihlali sonrası sızmış parolanın başka servisle eşleşmesi (credential stuffing).
- SIM swap ile SMS doğrulamasının ele geçirilmesi.
- Kurumsal e-posta iş akışlarında CEO fraud (Business Email Compromise).
Acil Adımlar
- Parola değişikliği ve iki faktörlü doğrulama (tercihen donanım anahtarı veya authenticator app).
- Oturumları sonlandırma, bağlı cihazları gözden geçirme.
- İletişim bilgileri (yedek e-posta, telefon) değişmişse provider üzerinden geri alma.
- Gelen kutusu kurallarını kontrol edin (saldırgan gelen mesajları otomatik yönlendiriyor olabilir).
- Bankacılık, sosyal medya ve bulut hizmetlerinde oturumları gözden geçirme.
- Cumhuriyet Başsavcılığına suç duyurusu, gerekiyorsa KVKK veri ihlali bildirimi.
Kurumsal Boyut (BEC)
Business Email Compromise (BEC), kurumsal e-posta üzerinden sahte ödeme talimatları gönderilerek yapılan dolandırıcılık türüdür. Bankaya ivedi bildirim, IBAN geri çağırma süreci (recall) ve sigortacıyla iletişim kritik önemdedir. Sigorta poliçesinin tetiklenmesi için ihlalin belgelenmesi ve bildirim sürelerine uyulması gerekir.
Delil Toplama
- Tam e-posta başlık (header) bilgisi, SPF/DKIM/DMARC raporları.
- Oltalama mesajının kaynağı ve varsa link analizi.
- Posta kutusu log kayıtları (Microsoft 365, Google Workspace).
- Cihazda çalışan zararlı yazılım için imaj alma ve adli bilişim raporu.
KVKK Boyutu
Kurumsal veri sorumlusu bakımından e-posta üzerinden kişisel veri sızması, KVKK m.12/5 uyarınca 72 saat içinde Kurula bildirim yükümlülüğü doğurur. İlgili kişilere de mümkün olan en kısa sürede bildirim yapılır.
Önemli Süreler
| İşlem | Süre | Dayanak |
|---|---|---|
| KVKK veri ihlali bildirimi | 72 saat | KVKK m.12/5 |
| Dolandırıcılık dava zamanaşımı | 8-15 yıl | TCK m.66 |
| Manevi tazminat | 2 / 10 yıl | TBK m.72 |
| Sigorta bildirim süresi | Poliçede | Özel hüküm |
Sık Sorulan Sorular
Gmail desteğinden yanıt alamıyorum, ne yapabilirim?
Ulusal hukuk yolları; savcılığa suç duyurusu ve 5651 s.K. m.9 kapsamında içerik çıkarma başvurusu paralel olarak yürütülür.
İş yeri e-postam ele geçirildi, özel yazışmalara da sızıldı. Sorumluluk bende mi?
İş sözleşmesi, kullanım politikaları ve alınmış teknik tedbirler değerlendirilir. Zararın dağıtımı dosya bazında belirlenir.
SIM swap yapıldıysa operatörün sorumluluğu nedir?
Operatörün kimlik doğrulama tedbirlerindeki eksiklikler nedeniyle sorumluluğu somut olayda değerlendirilir; tüketici hukuku ve haksız fiil hükümleri birlikte uygulanır.
İlgili Rehberler
Yasal Uyarı: İçerik bilgilendirme amaçlıdır; hukuki danışmanlık niteliği taşımaz.