Phishing, saldırganın meşru bir kurumu veya platformu taklit ederek kullanıcının giriş bilgilerini, seed phrase’ini veya özel anahtarını elde etmesi yöntemidir. Kripto ekosisteminde phishing; sahte borsa siteleri, cüzdan güncellemesi iddiasıyla oluşturulan sahte uygulamalar ve airdrop duyurusu kılığında yapılan smart contract onay tuzakları şeklinde karşımıza çıkmaktadır.
Tipik Phishing Yöntemleri
En yaygın yöntemler şunlardır: (1) Sahte borsa/cüzdan siteleri (URL’de küçük harf farkı, unicode domain benzerliği), (2) Sahte donanım cüzdan güncelleme e-postaları (seed phrase talebi), (3) Wallet drainer smart contract’ları (token approval istismarı), (4) SMS/Telegram üzerinden destek taklidi, (5) Sahte airdrop/NFT mint siteleri. Tüm bu yöntemler 5237 TCK m.243 (bilişim sistemine girme), m.244 (sistemi engelleme) ve m.245/A (yasaklı cihaz ve program kullanımı) kapsamında suç oluşturmaktadır.
TCK Kapsamında Suç Tipleri
Phishing neticesinde varlıkların transferi yaşanırsa eylem, 5237 Sayılı TCK’nın dolandırıcılık (m.157-158), nitelikli hırsızlık (m.141-142) veya sistemin bozulması (m.244) suçlarından biri ya da birkaçını aynı anda oluşturabilir. Yargılamada içtima kuralları (TCK m.42, 44) uygulanır. Bilişim sistemleri aracılığıyla işlenen dolandırıcılık TCK m.158/1-f kapsamında nitelikli sayılır.
Mağdurun Hukuki Hakları
Phishing mağduru, cumhuriyet başsavcılığına suç duyurusu ile ceza soruşturmasını başlatabilir; aynı anda haksız fiile dayanan tazminat davası (TBK m.49 vd.) açabilir. Fonlar lisanslı bir platforma aktarıldıysa CMK m.128 çerçevesinde elkoyma talep edilebilir. MASAK bildirim sistemiyle şüpheli hesaplar tespit edilebilir. Suçun organize bir yapıyla işlendiği durumlarda 6415 sayılı TFÖK ve ilgili özel kanun hükümleri de devreye girebilir.
Delil Koruma
Phishing sonrası yapılması gerekenler: (1) Etkilenen cüzdanı terk ederek yeni bir cüzdana kalan fonları aktarmak, (2) Kötü amaçlı URL’lerin ekran görüntüsü ve whois kayıtlarını almak, (3) Tüm token approval’larını revoke.cash gibi araçlarla iptal etmek, (4) Blok zinciri explorer’dan TxID ve hash kayıtlarını çıkartmak, (5) E-posta başlıklarını (header) analiz için saklamak, (6) Cumhuriyet başsavcılığına başvurarak CMK 134 çerçevesinde dijital adli bilişim talebinde bulunmak.
Sıkça Sorulan Sorular
Phishing sonucu seed phrase’imi verdim, bu durum beni ihmalkar mı yapar? Kusur durumu tazminat hesabında etken olabilir, ancak ceza soruşturması açısından mağdur sıfatınız devam eder. Hile unsurunun varlığı durumunda mağdurun dikkatsizliği faili cezai sorumluluktan kurtarmaz.
Smart contract ile token’larım çekildi, geri alabilir miyim? Blok zinciri üzerindeki işlemler geri döndürülemezdir. Ancak saldırganın tespit edilip fonları merkezi bir borsaya geçirmesi halinde, elkoyma ve iade süreci işletilebilir.
Sahte siteyi hangi kuruma bildirebilirim? USOM (Ulusal Siber Olaylara Müdahale Merkezi — usom.gov.tr), BTK İhbar Web ve ilgili alan kayıt sağlayıcısına başvurulabilir. Ayrıca cumhuriyet başsavcılığı eliyle erişim engeli kararı talep edilebilir.
Phishing’te kimlik bilgilerim alındı, kişisel veri yönünden ne yapabilirim? 6698 Sayılı KVKK kapsamında Kişisel Verileri Koruma Kurulu’na şikayet yapılabilir; ayrıca TCK m.136 (kişisel verilerin hukuka aykırı ele geçirilmesi) yönünden suç duyurusunda bulunulabilir.
Borsanın phishing’e karşı sorumluluğu var mı? Lisanslı borsalar 7518 SK kapsamında güvenlik ve müşterinin tanınması yükümlülüklerini taşır. Güvenlik açığı ya da yetersiz koruma iddiası sözleşme ve haksız fiil sorumluluğu doğurabilir.
İlgili Rehberler
- Kripto Cüzdan Hacklendi
- Kripto Dolandırıcılığı Rehberi
- Kripto Mağdurları Hakları
- Kripto Para Avukatı (Ana Rehber)
Resmi Kaynaklar
- T.C. Resmî Gazete — Mevzuat Bilgi Sistemi
- Sermaye Piyasası Kurulu
- MASAK — Mali Suçları Araştırma Kurulu
- Yargıtay Karar Arama
- Gelir İdaresi Başkanlığı
- Türkiye Cumhuriyet Merkez Bankası
Hazırlayan Avukat
Av. Bilal ALYAR — İstanbul Barosu Sicil No: 54965
Marmara Üniversitesi Hukuk Fakültesi mezunu (2015). Kripto para hukuku, bilişim hukuku, şirketler hukuku ve ceza hukuku alanlarında faaliyet göstermektedir. MASAK, SPK ve 7518 Sayılı Kanun kapsamında hukuki danışmanlık sunmaktadır.
Bu içerik yalnızca genel bilgilendirme amaçlıdır; somut hukuki görüş ya da avukat-müvekkil ilişkisi oluşturmaz. Her dosya kendine özgü koşullar içerdiğinden, hukuki sorunlarınız için bir avukata danışmanız önerilir.