Mobil bankacılık sistemleri üzerinden gerçekleştirilen dolandırıcılık vakalarının aydınlatılmasında, sistemsel verilerin detaylı analizi kritik önem taşımaktadır. Bu analizin ilk aşamasında, işlemlerin gerçekleştirildiği cihazların kimlik bilgileri incelenmelidir. Her mobil cihazın benzersiz IMEI numarası, MAC adresi, işletim sistemi versiyonu ve cihaz modeli gibi temel tanımlayıcı bilgileri kayıt altına alınmaktadır. Ayrıca, cihazın root veya jailbreak durumu, kullanılan mobil bankacılık uygulamasının versiyonu ve tarayıcı bilgileri de önemli teknik veriler arasındadır. Bu bilgiler, şüphelinin kullandığı bilinen cihazlarla karşılaştırılarak ilk teknik tespitler yapılabilir.

1. Cihaz Kimlik Bilgileri Analizi:

• IMEI numarası tespiti ve sorgulaması
• Cihazın MAC adresi kaydı
• Cihaz modeli ve işletim sistemi versiyonu
• Mobil uygulama versiyon bilgisi
• Cihazın root/jailbreak durumu
• Kullanılan tarayıcı bilgileri (web bankacılık için)
• Cihazın benzersiz reklam kimliği (Advertising ID)

Oturum güvenliği ve kimlik doğrulama süreçleri, ikinci kritik analiz alanını oluşturmaktadır. Sistemde kaydedilen login kayıtları, başarısız giriş denemeleri, şifre/PIN değişiklikleri ve SMS doğrulama kodları gibi veriler kronolojik olarak incelenmelidir. Özellikle mobil imza veya dijital sertifika kullanımları, biyometrik doğrulama kayıtları ve oturum token’ları, işlemlerin gerçek kullanıcı tarafından yapılıp yapılmadığının tespitinde önemli rol oynar. Bu verilerin zaman damgaları ve kullanım paternleri, şüpheli işlemlerin belirlenmesinde yol göstericidir.

1. Oturum ve Kimlik Doğrulama Verileri:

• Login kayıtları ve zaman damgaları
• Başarısız giriş denemeleri
• Kullanılan şifre/PIN reset işlemleri
• SMS doğrulama kodları gönderim logları
• Mobil imza veya dijital sertifika kullanım kayıtları
• Biyometrik doğrulama kayıtları (parmak izi/yüz tanıma)
• Session token’ları ve süreleri

Ağ bağlantı analizi, üçüncü temel inceleme alanıdır. İşlemlerin gerçekleştirildiği IP adresleri, bu IP’lerin ait olduğu internet servis sağlayıcıları, kullanılan DNS sunucuları ve olası VPN/Proxy kullanımları detaylı olarak incelenmelidir. SSL/TLS sertifika bilgileri ve API çağrı logları da güvenlik açısından değerlendirilmesi gereken teknik verilerdir. Bu ağ bağlantı bilgileri, işlemlerin gerçekleştirildiği fiziksel lokasyonların tespitinde ve şüphelinin bu lokasyonlarla ilişkisinin kurulmasında kullanılır.

1. Ağ Bağlantı Analizi:

• Bağlantı yapılan IP adresleri ve zaman damgaları
• ISP bilgileri
• Kullanılan DNS sunucuları
• VPN/Proxy tespiti
• SSL/TLS sertifika detayları
• Ağ paket analizleri
• API çağrı logları

Konum verileri, mobil bankacılık güvenlik analizinin dördüncü önemli boyutudur. İşlemler sırasında kaydedilen GPS koordinatları, bağlanılan Wi-Fi ağlarının MAC adresleri ve hücresel ağ baz istasyonu bilgileri, kullanıcının fiziksel konumunu belirlemede kullanılır. IP geolokasyon verileri ile birlikte değerlendirildiğinde, şüpheli işlemlerin gerçekleştirildiği lokasyonlar net bir şekilde tespit edilebilir. Bu veriler, şüphelinin beyan ettiği konum bilgileriyle karşılaştırılarak çelişkili durumlar ortaya çıkarılabilir.

1. Konum Verileri:

• GPS koordinatları
• Bağlanılan Wi-Fi ağlarının MAC adresleri
• Hücresel ağ baz istasyonu bilgileri
• IP geolokasyon verileri
• Konum servislerinin aktif/pasif durumu
• Lokasyon değişim geçmişi

İşlem güvenliği analizi, beşinci temel inceleme alanını oluşturur. Bankaların risk skorlama sistemleri, davranışsal biyometri verileri ve olağan dışı işlem tespitleri detaylı olarak incelenmelidir. Kullanıcının tuş vuruş dinamikleri, dokunmatik ekran kullanım paterni gibi davranışsal veriler, işlemlerin gerçek hesap sahibi tarafından yapılıp yapılmadığının belirlenmesinde önemli ipuçları sağlar. Güvenlik uyarıları, blokaj kayıtları ve şüpheli işlem bildirimleri de bu kapsamda değerlendirilmelidir.

Uygulama kullanım verileri, altıncı analiz alanı olarak önem taşır. Mobil bankacılık uygulamasının açılış/kapanış zamanları, ekran görüntüleme süreleri ve navigasyon geçmişi gibi veriler, kullanıcı davranış profilinin çıkarılmasında kullanılır. Yapılan işlem türleri, kullanılan menüler ve özellikler, cache dosyaları ve uygulama hata logları da detaylı olarak incelenmelidir. Bu veriler, normal kullanım paterni ile şüpheli işlemler sırasındaki kullanım paterninin karşılaştırılmasına olanak sağlar.

İşlem detay kayıtları, gerçekleştirilen para transferlerinin miktarı, alıcı bilgileri, açıklamaları ve zaman damgaları detaylı olarak analiz edilmelidir. Kullanılan hesap/kart bilgileri, işlem referans numaraları ve limit kullanım bilgileri de bu kapsamda değerlendirilir. Kaydedilen alıcı bilgileri ve düzenli işlem paternleri, normal kullanım profilinin belirlenmesinde ve şüpheli işlemlerin tespitinde önemli rol oynar.

1. Uygulama Kullanım Verileri:

• Uygulama açılış/kapanış zamanları
• Ekran görüntüleme süreleri
• Navigasyon geçmişi
• Yapılan işlem türleri ve sıklıkları
• Kullanılan menüler ve özellikler
• Cache ve temporary dosyalar
• Uygulama hata logları

Entegrasyon noktaları analizi, sekizinci inceleme alanını oluşturur. Üçüncü parti uygulama entegrasyonları, API kullanımları ve web servis çağrıları detaylı olarak incelenmelidir. Push notification kayıtları, deeplink kullanımları ve SDK versiyon bilgileri de güvenlik açısından değerlendirilmesi gereken teknik verilerdir. Bu entegrasyon noktaları, olası güvenlik açıklarının ve yetkisiz erişimlerin tespitinde önemlidir.

Veri depolama analizi, dokuzuncu temel inceleme alanıdır. Mobil cihazda saklanan lokal veritabanı kayıtları, SharedPreferences dosyaları ve cache bellek içeriği detaylı olarak incelenmelidir. Temporary dosyalar, uygulama logları ve backup dosyaları da analiz edilmesi gereken veriler arasındadır. Şifrelenmiş depolama alanlarının incelenmesi, gizli kalmış işlem kayıtlarının ortaya çıkarılmasında yardımcı olabilir.

Bu kapsamlı teknik analiz çalışmaları sonucunda, dolandırıcılık vakalarında kullanılan cihazlar, gerçekleştirilen işlemler ve bu işlemlerin kimlikleri net bir şekilde ortaya konulabilir. Elde edilen veriler, şüphelinin bu işlemlerle ilgisinin olup olmadığının tespitinde ve gerçek faillerin belirlenmesinde kritik öneme sahiptir.

ATM lokasyonlarından para çekimi yapan şahsın fiziksel özellikleri ile şüpheli XXXXXXXXX’ in eşkal bilgileri karşılaştırıldığında belirgin farklılıklar olduğu görülmektedir. Kamera kayıtlarındaki şahsın, üniversite öğrencisi olan şüpheli XXXXXXXX’den daha farklı fiziksel özelliklere sahip olduğu tespit edilmiştir. Ancak bu önemli eşkal farklılıklarına rağmen, banka güvenlik kamera kayıtları soruşturma dosyasına tam olarak kazandırılmamış ve delil olarak değerlendirilmemiştir. Bu durum soruşturmanın eksik yönlerinden birini oluşturmaktadır. ATM kamera kayıtlarının adli bilişim uzmanları tarafından detaylı analizi ve raporlanması, şüphelinin masumiyetinin ispatında önemli bir delil teşkil edecektir.

Para Akışı Analizi: Dolandırıcılık işlemleri sonucunda elde edilen paraların akış yönü ve kullanım şekli detaylı olarak incelenmelidir. Şüpheli hesaplara gelen paraların hangi ATM’lerden, hangi saatlerde çekildiği, online alışverişlerde kullanılıp kullanılmadığı ve varsa başka hesaplara transfer edilip edilmediği tespit edilmelidir. Bu paraların çekildiği ATM lokasyonları ile şüphelinin o saatlerde bulunduğu yerler (üniversite kampüsü, yurt binası vb.) karşılaştırıldığında, işlemlerin şüpheli tarafından gerçekleştirilmesinin fiziken mümkün olmadığı ortaya çıkacaktır. Ayrıca yapılan harcamaların şüphelinin normal yaşam tarzı ve harcama alışkanlıkları ile uyuşmadığı da görülecektir. Para akış analizi yapılarak suçun gerçek faillerinin tespiti mümkün olabilecekken, bu yönde bir araştırma yapılmamış veya eksik bırakılmıştır. Bu durum olayın aydınlatılmasını engelleyen önemli bir eksikliktir.

GSM Baz İstasyonu Analizi: Yapılan incelemede, dolandırıcılık olaylarında kullanılan 0531 239 XXXX numaralı GSM hattı ile şüpheli XXXXX’in kullandığı 0544 960 XX XX numaralı GSM hattının baz istasyonu kayıtları karşılaştırılmalıdır. Bu analiz sonucunda, dolandırıcılık işlemlerinin gerçekleştiği zamanlarda şüphelinin Çanakkale’de bulunduğu ve üniversite eğitimine devam ettiği görülebilecektir. Suç konusu olaylarda kullanılan 0531 239 XX XX numaralı GSM hattının sinyal verdiği baz istasyonları ile şüphelinin kullandığı hattın sinyal verdiği baz istasyonlarının farklı şehirlerde olması, şüphelinin bu suçları işleyemeyeceğini teknik olarak ortaya koyacaktır. Ayrıca şüphelinin telefonunda bulunan konum servisleri, Google Timeline verileri, fotoğraf GPS bilgileri ve diğer konum tabanlı uygulama verileri incelenerek, şüphelinin suç tarihlerinde nerede olduğu kesin olarak tespit edilebilir. Bu veriler, şüphelinin iddia edildiği gibi Çanakkale’de üniversite eğitimine devam ettiğini ve suçun işlendiği lokasyonlarda bulunmadığını kanıtlayabilecek niteliktedir. Ancak GSM operatöründen baz istasyonu kayıtlarının talep edilmediği ve şüphelinin telefonundaki konum verilerinin incelenmediği ya da dosyaya kazandırılmadığı görülmektedir. Bu durum soruşturmanın eksik yönlerinden bir diğerini oluşturmaktadır.

Sonuç;
Ceza yargılamasının temel ilkelerinden biri, suçluluğun ispatı yükümlülüğünün iddia makamında olmasıdır. İncelenen dosyada bu temel ilkenin aksine, şüpheli XXXXX  kendisinin suçsuz olduğunu ispatlama yükümlülüğü altına sokulmuştur. Oysaki CMK ve yerleşik Yargıtay içtihatları uyarınca, şüpheli veya sanığın suçsuzluğunu ispat zorunluluğu bulunmamaktadır.

İlgili banka hesabına yönelik yapılması gereken teknik incelemeler şu şekildedir:

– Hesabın ilk açılış aşamasındaki kimlik tespiti ve biyometrik verilerin kontrolü

– Hesaba erişim sağlayan cihazların IMEI, IP ve konum bilgileri

– Mobil bankacılık uygulaması üzerinden yapılan işlemlerin teknik analizi

– Hesap şifre değişikliği ve yeni cihaz tanımlama kayıtları

– Olağandışı işlem ve erişim kayıtları

Bu teknik verilerin tamamı bankacılık sisteminde kayıt altında tutulmakta olup, mahkeme tarafından celp edilebilecek niteliktedir. Ayrıca hesabın ele geçirilmiş olma ihtimali de göz önünde bulundurularak:

– Hesap üzerinde yapılan şüpheli işlemlerin tespiti

– Alışılmışın dışındaki para transferlerinin analizi

– Farklı IP adreslerinden yapılan erişimlerin incelenmesi

– Şifre sıfırlama taleplerinin değerlendirilmesi

gerekmektedir.

Tüm bu teknik delillerin toplanması ve değerlendirilmesi yapılmadan, salt hesabın şüpheli adına kayıtlı olması nedeniyle suçun şüpheli tarafından işlendiği kabul edilemez. Nitekim günümüz teknolojisiyle banka hesaplarının ele geçirilmesi veya sahte kimlik bilgileriyle hesap açılması mümkün olup, bu tür siber suçlarda adli bilişim delilleri olmaksızın şüphelinin suçluluğuna hükmedilemez.

CMK’nın 217/2 maddesi uyarınca “Yüklenen suç, hukuka uygun bir şekilde elde edilmiş her türlü delille ispat edilebilir.” Bu bağlamda, yukarıda belirtilen teknik delillerin toplanması ve değerlendirilmesi, maddi gerçeğin ortaya çıkarılması için zorunludur. Şüphelinin lehine ve aleyhine olan tüm delillerin toplanması görevi CMK 160/2 uyarınca Cumhuriyet Savcılığına ait olup, bu yükümlülük yerine getirilmeden verilen kararlar hukuka aykırı olacaktır.

Sonuç olarak, bankacılık sisteminden elde edilecek adli bilişim verileri, GSM operatörlerinden alınacak baz istasyonu kayıtları ve ATM kamera görüntüleri gibi teknik deliller incelenmeden, salt hesabın şüpheli adına kayıtlı olması nedeniyle suçun şüpheli tarafından işlendiğinin kabulü, ceza hukukunun temel ilkelerine ve CMK hükümlerine aykırılık teşkil etmektedir.

Aklınıza takılan konular ile ilgili iletişim numaralarından mail adresinden bize ulaşarak bilgi alabilirsiniz.

Adli bilişim alanında danışmanlık, raporlama hizmeti verilmektedir.