Bilişim suçlarında zamanaşımı ne kadardır?

TCK m.243 kapsamındaki en basit bilişim suçu için dava zamanaşımı 8 yıldır. Ağırlaştırıcı hallerle birlikte işlenen suçlarda (banka/kamu sistemlerine saldırı, veri yok etme, haksız kazanç) zamanaşımı daha uzundur. Bilişim suçları şikâyete tabi değildir; savcılık re'sen soruşturma başlatır. Bu nedenle suç ihbarı yapılmasa dahi savcılık haberdar olduğu andan itibaren soruşturma yükümlülüğü doğar.

Phishing veya BEC saldırısında ne yapılmalıdır?

Phishing veya BEC (Business Email Compromise) saldırısında ilk 24-72 saat kritiktir. Derhal yapılması gerekenler: (1) Sahte e-postanın ham başlık bilgisini (header) kaydedin — silmeyin. (2) İlgili banka hesaplarını ve ödeme talimatlarını dondurun. (3) Tüm sistemlerde şifre değişikliği yapın ve çok faktörlü kimlik doğrulama etkinleştirin. (4) Kriminalistik uzman aracılığıyla e-posta başlık analizi, gönderici IP tespiti ve etkilenen sistemlerin log analizi yaptırın. (5) Savcılığa TCK m.157-158 (dolandırıcılık) ve m.243-244 kapsamında suç duyurusunda bulunun. Ödeme gerçekleşmişse bankayı anında arayın — SWIFT ağından geri çağırma penceresi yalnızca birkaç saattir.

Bilişim Suçları ve Siber Saldırı Soruşturması

Q: Bilişim suçlarında delil nasıl toplanır?

Bilişim suçu delilinin geçerliliği, toplanma yöntemine bağlıdır. CMK m.134 kapsamında hâkim kararıyla cihaza el konulur; write-blocker (yazma engel cihazı) ile adli kopya alınır; MD5 ve SHA-256 hash değerleri hesaplanır; zincir muhafaza formu (Chain of Custody) düzenlenir. Hash değeri, kopyanın orijinalle birebir aynı olduğunu matematiksel olarak kanıtlar ve itiraz edilemez kılar. Bu prosedür atlanarak yapılan incelemelerde delil CMK m.206 kapsamında hukuka aykırı sayılır ve reddedilebilir.

Bilişim ve Siber

Gönderi:

Aslan Kriminal

5 Mart 2026

On 5 Mart 2026

Hızlı Tanım — Bilişim Suçu ve Siber Saldırı Soruşturması

Bilişim ve siber soruşturma; dijital delil toplama, log forensiği, malware davranış analizi, ağ trafik incelemesi ve saldırı vektörü tespiti yoluyla bilişim sistemlerine yönelik hukuka aykırı eylemlerin kriminalistik düzeyde aydınlatılmasıdır. Delil geçerliliği, yöntemin standarda uygunluğuyla doğrudan bağlantılıdır: write-blocker ile adli kopya, MD5/SHA-256 hash doğrulama ve zincir muhafaza formu (Chain of Custody) olmaksızın elde edilen dijital bulgu, CMK m.206/2-a kapsamında hukuka aykırı delil olarak reddedilebilir. Kriminalistik bilişim soruşturması; TCK m.243-246 kapsamındaki suçların yanı sıra bilişim aracılığıyla işlenen nitelikli dolandırıcılık (TCK m.158), kara para aklama ve kişisel veri ihlali vakalarında da birincil delil üretme disiplinidir.

Türkçe internet ortamındaki tüm rakip içerikler bu konuya avukat gözünden yaklaşmaktadır: TCK 243, 244, 245 madde metni açıklanmakta ve şikayet süreci anlatılmaktadır. Hiçbirinde saldırı türü × forensik tespit yöntemi × teknik araç tablosu, dijital delil zinciri metodolojisi, Windows Event ID log analizi, malware davranış incelemesi, phishing/BEC/ransomware özgün soruşturma protokolleri, NIST IR çerçevesi veya kurumsal siber olay müdahale rehberi bulunmamaktadır. Bu sayfa tüm bu eksiklikleri kriminalistik bilirkişi perspektifinden kapatmaktadır.

Siber Saldırı Türleri: Forensik Tespit Yöntemi ve TCK Karşılıkları

Rakiplerin tamamında “bilişim sistemine girme suçu” genel başlık altında ele alınmaktadır. Oysa her saldırı türü farklı teknik iz bırakır, farklı forensik araç gerektirir ve TCK kapsamında farklı suç tipiyle örtüşür.

Saldırı Türü	Teknik Tanım	Forensik İz ve Tespit Yöntemi	Öncelikli Araç	TCK Karşılığı
Phishing (Oltalama)	Sahte e-posta, SMS veya web sitesi yoluyla kimlik bilgisi, şifre veya finansal veri ele geçirme	E-posta header analizi (SMTP relay zinciri, SPF/DKIM/DMARC), gönderici IP coğrafi konum, kayıt tarihi, sahte alan adı benzerlik analizi (typosquatting), erişim logu	Mailheader.org, MXToolbox, PhishTank, URLScan.io, Whois	TCK m.157-158/1-f (bilişim araçlı nitelikli dolandırıcılık): 3-10 yıl + m.243: 1-2 yıl
BEC — İş E-postası Ele Geçirme	Kurumsal e-posta hesabının ele geçirilmesi veya taklit edilerek yöneticiden ödeme talimatı verilmesi	E-posta kuralları (inbox rules) analizi, son giriş IP ve konumu, OAuth token yetkisi incelemesi, e-posta başlık impersonation tespiti, ödeme talimatı değişiklik zaman çizelgesi	Microsoft 365 Audit Log, Google Workspace Admin, HAWK (Microsoft 365 forensik)	TCK m.157-158: 3-10 yıl; m.243/3-4 (ağ dinleme): 1-3 yıl
Ransomware (Fidye Yazılımı)	Sistemlerdeki dosyaları şifreleyerek erişimi engelleyen ve fidye talep eden kötücül yazılım	Şifreli dosya uzantısı ve ransom note metadata, şifreleme algoritması tersine mühendislik, başlangıç vektörü (phishing/RDP/VPN açığı) tespiti, lateral movement ve persistence analizi, C2 (Command & Control) sunucu IP	Magnet AXIOM, Volatility (RAM), Wireshark, ID Ransomware, VirusTotal	TCK m.244/1-4: 1-6 yıl; m.135-136 (veri ihlali); m.149 (yağma kapsamı tartışmalı)
DDoS — Dağıtık Hizmet Engelleme	Çok sayıda botnet cihazından hedef sisteme aşırı trafik göndererek hizmet dışı bırakma	Ağ trafik analizi (NetFlow/PCAP): saldırı trafiği kaynak IP dağılımı, SYN/UDP flood örüntüsü, botnet C2 koordinasyon tespiti, saldırı başlangıç-bitiş zaman damgası	Wireshark, ntopng, Arkime (Moloch), ISP NetFlow kayıtları	TCK m.244/1: 1-5 yıl; kurumsal sisteme karşı artırım
SQL Injection (SQLi)	Web uygulama formlarına kötücül SQL komutu enjekte ederek veri tabanına yetkisiz erişim	Web sunucu erişim logu (apache/nginx): anormal sorgu parametreleri, ‘; DROP TABLE, UNION SELECT örüntüleri; WAF alert kaydı; veri tabanı sorgu logu analizi; exfiltration boyutu	Burp Suite, Web uygulama erişim logu, OWASP ZAP, database query log	TCK m.243: 1-2 yıl; m.135-136 (veri ele geçirme): 1-4 yıl
Sosyal Mühendislik / Vishing	İnsan psikolojisini hedef alan sözlü veya yazılı manipülasyon yoluyla bilgi veya erişim elde etme	Ses kaydı analizi (vishing): ses tanıma ve deepfake tespiti, arama kaydı metadata, OSINT ile sahte kimlik doğrulama, zaman çizelgesi çapraz referanslama	Cellebrite (telefon forensiği), ses analiz yazılımı, OSINT araçları	TCK m.157-158: 3-10 yıl; ses kaydı ifşasında m.133
APT — Gelişmiş Kalıcı Tehdit	Uzun süreli, çok aşamalı ve hedefli sızma — devlet destekli veya organize suç grubu	SIEM korelasyon analizi (uzun dönemli baseline sapması), lateral movement tespiti (Pass-the-Hash, Mimikatz artefaktı), persistence mekanizmaları (registry run key, scheduled task, service), C2 domain generation algorithm (DGA) analizi	Elastic SIEM, Splunk, Velociraptor, Magnet AXIOM, YARA kuralları	TCK m.243-244 + m.220 (suç örgütü); uluslararası boyutta MLA süreci
Insider Threat — İçeriden Tehdit	Yetkili kullanıcının veya çalışanın sistemi kötüye kullanması, veri çalması veya sabotaj yapması	UEBA (User and Entity Behavior Analytics): normal davranıştan sapma, mesai dışı erişim, toplu veri indirme, USB yazma olayı, DLP alert analizi, Windows Event Log — Olay 4624/4663/20001	Windows Event Log, DLP platformu, UEBA (Darktrace, Exabeam), USB forensik araçları	TCK m.239 (ticari sır): 1-3 yıl; m.244: 1-6 yıl; m.155 (güveni kötüye kullanma)
Account Takeover (ATO)	Kimlik bilgisi doldurma (credential stuffing), brute-force veya dark web sızdırılmış şifrelerle hesap ele geçirme	Giriş denemesi frekans analizi, coğrafi imkânsız erişim tespiti (birbirinden binlerce km uzakta, dakikalar arayla giriş), User-Agent anomalisi, Have I Been Pwned kontrolü, OAuth uygulama izinleri	SIEM, Cloudflare WAF, Okta log, Google Workspace Admin	TCK m.243: 1-2 yıl; m.132/3 (haberleşme gizliliği): 2-5 yıl
Malware / Trojan / Keylogger	Cihaza yerleştirilen kötücül yazılım yoluyla veri çalma, uzaktan kontrol veya casusluk	Statik analiz: PE header, import table, string analiz, VirusTotal hash kontrolü; Dinamik analiz: sandbox davranış kaydı (süreç oluşturma, ağ bağlantısı, registry değişikliği, dosya sistemi aktivitesi); Bellek forensiği: RAM’de çalışan süreç enjeksiyonu	Cuckoo Sandbox, ANY.RUN, Ghidra (tersine mühendislik), Volatility, YARA	TCK m.243-244: 1-6 yıl; m.135-136 (veri çalma): 1-4 yıl; m.245/A (araç üretme): 1-3 yıl
Web Sitesi Tahrifi (Defacement)	Web sunucuya yetkisiz erişim sağlanarak site içeriğinin değiştirilmesi	Web sunucu erişim logu analizi (ilk giriş yöntemi: SQLi, file upload, CMS açığı), değiştirilmiş dosyaların zaman damgası ve hash değeri, saldırgan tarafından bırakılan shell (webshell) tespiti	Web server log analizi, file integrity monitoring, Sucuri SiteCheck	TCK m.244/2: 6 ay-3 yıl; banka/kamu sistemleri için artırım: TCK m.244/3
SIM Swap (SIM Değiştirme)	Mobil operatörü kandırarak kurbanın telefon numarasını saldırganın SIM kartına taşıma; SMS 2FA’yı aşma	Operatör işlem logu (SIM değişikliği tarih-saat ve yetkili personel kimliği), SMS OTP giriş IP analizi, hesap değişiklik zaman çizelgesi, mağdur iletişim kaydı çapraz doğrulaması	Operatör CDR kaydı, hesap erişim logu, CMK m.134 yazışma	TCK m.243 + m.157-158: toplamda 4-12 yıl; operatör çalışanı dahilse m.137 artırım

Dijital Delil Zinciri: Kriminalistik Standart Prosedür

Dijital delil, toplanma biçimi doğru olmadığı takdirde mahkemede reddedilir. Bu gerçek, rakiplerin hiçbirinde teknik düzeyde ele alınmamaktadır. Kriminalistik standart prosedür şu aşamalardan oluşur:

Tespit

→

Koruma

→

Toplama (Write-blocker)

→

Hash Doğrulama

→

Analiz

→

Raporlama

→

Mahkeme

Aşama	Teknik Gereksinim	Hukuki Gereksinim	Hata Yapılırsa Sonuç
Cihaza El Koyma	Güç durumuna göre strateji: açık cihazda RAM görüntüsü önce alınmalı; şifreli cihazda uçak modu + Faraday kafes	CMK m.134 hâkim kararı; gecikmede sakınca varsa savcı emri + 24 saat onay	Hâkim kararı olmadan el koyma = hukuka aykırı delil; CMK m.206 kapsamında reddedilir
Adli Kopya (Forensic Image)	Write-blocker (Tableau, Wiebetech) ile fiziksel veya mantıksal kopya; DD, FTK Imager veya Cellebrite araçları; bit-by-bit kopyalama	Orijinal cihazın mühürlenmesi; tutanakla teslim; zincir muhafaza formu (CoC) imzalanması	Write-blocker kullanılmadan kopyalama = meta veri değişikliği riski; hash uyuşmazlığı; delil geçersizliği
Hash Doğrulama	MD5 ve SHA-256 hash değerleri hem orijinal hem kopya için hesaplanır ve karşılaştırılır; eşleşme zorunludur	Hash değerleri tutanağa eklenir; her analiz öncesinde yeniden doğrulanır	Hash uyuşmazlığı = delilin bütünlüğü bozulmuş; sanık avukatı itiraz edebilir; mahkeme reddedebilir
Zincir Muhafaza (CoC)	Delile her temas eden kişi, tarih, saat ve amaç kayıt altına alınır; mühürlü ambalaj; depo logu	ISO/IEC 27037 standardı; her devir imzalı tutanakla gerçekleşir	Zincir kopukluğu = delile müdahale şüphesi; sanık savunması bu noktayı saldırı aracı olarak kullanır
RAM (Bellek) Analizi	Cihaz açıkken Volatility veya Magnet AXIOM ile bellek görüntüsü alınır; şifreleme anahtarı, aktif süreçler ve network bağlantıları RAM’de bulunur	Bellek görüntüsü adli kopyayla birlikte saklanır; zaman damgası kaydedilir	Cihaz kapatılırsa RAM içeriği kalıcı olarak silinir; şifreleme anahtarı kaybedilir; kritik delil yok olur
Log Kaynakları Güvenceye Alma	Varsayılan log saklama süreleri 30-90 gündür; yasal tutma emri (legal hold) gönderilmezse loglar otomatik silinir	Savcılık yazısıyla bulut sağlayıcı, ISP veya kurumsal SIEM’e tutma emri; 5809 Sayılı Kanun kapsamında trafik verisi saklama yükümlülüğü	Legal hold atlanırsa delil kalıcı kaybolur; ISP trafik kaydı 2 yıl saklar; bu süre sonrası erişilemez

En Kritik Hata — RAM Analizi Penceresi: Fidye yazılımı, trojan veya şifreli disk durumunda cihaz kapatılmamalıdır. Aktif süreçler, şifreleme anahtarları ve ağ bağlantıları yalnızca RAM’de bulunur. Cihaz kapatıldığı anda bu veriler kalıcı olarak yok olur. Kriminalistik soruşturmada doğru sıra: (1) Ağ bağlantısını kesin, (2) RAM görüntüsü alın, (3) ardından adli disk kopyası alın, (4) son olarak cihazı kapatın.

Windows Event Log Forensiği: Kritik Olay Kimlik Numaraları

Windows olay günlükleri, bir bilişim saldırısının zaman çizelgesini yeniden kurmanın temel kaynağıdır. Bu tablo Türkçe internet ortamında hiçbir rakip sayfada yer almamaktadır.

Event ID	Log Kaynağı	Anlam	Forensik Önemi
4624	Security	Başarılı oturum açma	Logon Type değeriyle oturum türü ayrılır: Type 3 (ağ), Type 10 (uzak masaüstü), Type 4 (zamanlı görev); saldırganın erişim yöntemi tespit edilir
4625	Security	Başarısız oturum açma	Yüksek frekanslı 4625 = brute-force girişimi; Sub Status kodu kilitleme nedenini gösterir; saldırı başlangıç zamanı
4648	Security	Açık kimlik bilgisiyle oturum açma girişimi	Pass-the-Hash ve Pass-the-Ticket saldırısının işareti; lateral movement izleme
4663	Security	Nesneye erişim girişimi (dosya, klasör, kayıt defteri)	Hangi dosyaya kim ne zaman erişti; veri exfiltration miktarı; veri silme eylemi
4688	Security	Yeni süreç oluşturuldu	Komut satırı argümanları dahil; PowerShell ile kötücül komut çalıştırma; malware süreç oluşturma zinciri
4720	Security	Kullanıcı hesabı oluşturuldu	Saldırgan kalıcılık (persistence) için arka kapı hesabı açmış olabilir; oluşturan hesap kimliği kritik
4732/4728	Security	Güvenlik grubuna üye eklendi	Yetki yükseltme girişimi; saldırganın kendini admin grubuna eklediğinin kanıtı
4776	Security	NTLM kimlik doğrulama girişimi	Hash dump sonrası NTLM authentication — Mimikatz kullanımının işareti; lateral movement
7045	System	Yeni servis kuruldu	Malware persistence mekanizması; servis adı ve çalıştırılan dosya yolu; kurulum zamanı
20001	System	USB cihaz yüklendi	Fiziksel cihaz tarafından veri kopyalama; cihaz seri numarası ve bağlanma zamanı; USB forensik için başlangıç noktası
1102	Security	Denetim günlüğü temizlendi	Saldırganın izini silme girişiminin kesin kanıtı; temizleyen hesap ve zamanı; antiforensik aktivite
4698/4702	Security	Zamanlı görev oluşturuldu / değiştirildi	Malware’in yeniden başlatma sonrası kalıcı çalışma kurgusu; görev içeriği ve tetikleyicisi analiz edilir

Phishing ve BEC Soruşturması: Adım Adım Protokol

BEC (İş E-postası Ele Geçirme), Türkiye’de kurumsal düzeyde en büyük mali zararı yaratan siber suç türlerinden biridir. İlk 24-72 saat içinde yapılan doğru müdahale, hem paranın geri alınma ihtimalini hem de delil güvencesini doğrudan etkiler.

Anlık Müdahale — Paranın DondurulmasıSahte ödeme talimatına göre yapılan transfer fark edildiği anda bankayı arayın. SWIFT ağında geri çağırma (recall) penceresi yalnızca birkaç saattir; bu süre geçtikten sonra paranın geri alınması neredeyse imkânsızlaşır. Türkiye’deki banka aracılığıyla uluslararası transferin durdurulması için BDDK kanalıyla acil bildirim yapılabilir. Hesabın donduruluması için savcılık CMK m.128 tedbir kararı alabilir.
E-posta Başlık Analizi — Ham Delili KorumaSahte e-postayı silmeyin; “Show original” / “Ham mesajı göster” seçeneğiyle tam başlık bilgisini (header) kaydedin. Received: satırları gönderici sunucu zincirini; X-Originating-IP gerçek kaynak IP’yi; Authentication-Results SPF/DKIM/DMARC doğrulama durumunu gösterir. Alan adı benzerlik analizi yapılır: ornek.com yerine 0rnek.com, ornek.co gibi typosquatting tespiti. MX Toolbox ve MXTool ile alan adı kayıt tarihi sorgulanır.
E-posta Hesabı Forensiği — İç İhlal mi, Dış Taklit mi?Gerçek kurumsal e-posta hesabı ele geçirildiyse: Microsoft 365 Audit Log veya Google Workspace Admin Log’da son oturum açma IP ve konumu, oluşturulan inbox rule (gelen kutusu kuralı) — saldırgan genellikle e-postaları gizlemek için otomatik silme veya taşıma kuralı oluşturur — ve yetkili OAuth uygulamaları incelenir. HAWK (Hunting Adversaries in the Wild with KQL) ve Microsoft 365 Investigation aracıyla kapsamlı analiz yapılır.
Etkilenen Sistemlerin Tespiti ve İzolasyonuKimlik bilgisi phishing yoluyla çalınmışsa aynı şifrenin kullanıldığı tüm sistemlerde yetki kötüye kullanımı ihtimali değerlendirilir. Etkilenen hesap geçici olarak devre dışı bırakılır; tüm sistemlerde şifre sıfırlama ve çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilir. Aktif oturumlar (active sessions) sonlandırılır.
Dijital Delil Paketi OluşturmaHam e-posta (EML/MSG formatında); e-posta başlık kaydı; sahte web sitesinin ekran görüntüsü ve Wayback Machine arşivi; etkilenen sistemlerin log çıktısı; banka işlem kaydı ve ödeme talimatının orijinal hali. Her belge tarih-saat damgasıyla kayıt altına alınır. Hash değerleri hesaplanır.
Suç Duyurusu — TCK ve Uluslararası BildirimSavcılığa TCK m.157-158/1-f (bilişim araçlı nitelikli dolandırıcılık) ve m.243 kapsamında suç duyurusu yapılır. Uluslararası transfer söz konusuysa Interpol I-24/7 kanalıyla bildirim ve FATF Financial Intelligence Unit (MASAK) iş birliği talep edilebilir. Yabancı ülkedeki banka hesabı için ilgili ülkenin FIU’su veya FBI IC3 (Internet Crime Complaint Center) portal bildirimi yapılır.

Ransomware Soruşturması: Saldırı Anatomisi ve Forensik

Ransomware Saldırı Aşamaları (Kill Chain)

İlk Erişim: Phishing e-postası, açık RDP portu, VPN güvenlik açığı veya tedarik zinciri saldırısı
Keşif (Discovery): Ağ taraması (nmap), Active Directory sorgulaması, varlık envanteri
Yatay Hareket (Lateral Movement): Mimikatz ile kimlik bilgisi dump, PsExec, WMI uzaktan çalıştırma
Kalıcılık (Persistence): Zamanlı görev, servis kurulumu, registry run key
Veri Sızdırma (Exfiltration): Şifrelemeden önce veri çalma — çift gasp (double extortion)
Şifreleme: Dosya uzantısı değişikliği, ransom note bırakma, shadow copy silme

Forensik Soruşturma Öncelikleri

Başlangıç vektörünü tespit et: phishing, RDP brute-force, VPN CVE analizi
Hasta sıfır (Patient Zero) sistemini belirle: en erken şifreleme zaman damgası
Lateral movement rotasını izle: 4624/4648 Event ID, PsExec ve WMI artefaktları
Shadow copy ve yedekleme silme kaydını belirle: vssadmin delete shadows
Exfiltration kanalını tespit et: ağ trafiği çıkış boyutu ve hedef IP analizi
Fidye yazılımı ailesini tanımla: ID Ransomware, No More Ransom projesi

NIST Siber Olay Müdahale Çerçevesi

NIST SP 800-61 Rev.2 standardı, kriminalistik bilişim soruşturmasının uluslararası referans çerçevesidir. Rakiplerin hiçbirinde bu yapısal yaklaşım yer almamaktadır.

Hazırlık

Preparation

Tespit & Analiz

Detection & Analysis

Sınırlama

Containment

Temizleme

Eradication

Kurtarma

Recovery

Ders Çıkarma

Post-Incident

Kriminalistik Not: NIST çerçevesinin 3. aşaması olan “Sınırlama” kritik bir karar noktasıdır. Etkilenen sistemi hemen ağdan izole etmek doğru görünse de bazı durumlarda saldırganın ağdaki aktivitesini gözlemlemeye devam etmek, diğer ele geçirilmiş sistemlerin ve C2 sunucusunun tespiti için değerlidir. Bu karar kriminalistik uzmanla birlikte alınmalıdır. Ayrıca sınırlama öncesi RAM görüntüsü ve network capture alınması zorunludur; aksi halde geçici veriler kalıcı olarak yok olur.

TCK 243–246 + KVKK: Bilişim Suçları Hukuki Çerçevesi

Madde	Suç Tipi	Temel Ceza	Nitelikli Hal / Artırım	Önemli Not
TCK m.243/1	Bilişim sistemine hukuka aykırı girme	1 yıla kadar hapis veya adli para cezası	Veri yok olursa: 6 ay–2 yıl; bedelli sistemlerde indirim	Şikâyete tabi değil; re’sen soruşturulur; ağ dinleme (m.243/4): 1-3 yıl
TCK m.244/1-2	Sistemi engelleme, bozma, veri yok etme veya değiştirme	1-5 yıl (engelleme); 6 ay-3 yıl (veri bozma)	Banka, kamu, kritik altyapı sistemine karşı: yarı artırım	DDoS, ransomware, web defacement bu kapsamda; haksız çıkar elde edilirse m.244/4: 2-6 yıl
TCK m.244/4	Bilişim sistemi araçlı haksız çıkar sağlama	2-6 yıl hapis + 5.000 güne kadar adli para	Başka suç oluşturmaması şartı; aksi halde ağır suçla fikri içtima	Ransomware fidye tahsilatı bu madde kapsamında değerlendirilebilir
TCK m.245/1	Banka veya kredi kartının kötüye kullanılması	3-6 yıl hapis + 5.000 güne kadar adli para	Sahte kart üretimi: 3-7 yıl (m.245/2); sahte kartı kullanma: 4-8 yıl (m.245/3)	Etkin pişmanlık: soruşturmada 2/3, kovuşturmada 1/2 indirim (TCK m.168)
TCK m.245/A	Bilişim suçu aracı üretme, bulundurma, dağıtma	1-3 yıl hapis + 5.000 güne kadar adli para	Exploit kit, hacking aracı, credential stealer, keylogger üretme/satma/verme	Araç kullanılmaksızın yalnızca bulundurma da suçtur; Europol çerçevesiyle uyumlu
TCK m.158/1-f	Bilişim sistemleri araçlı nitelikli dolandırıcılık	3-10 yıl hapis + adli para	Kamu görevlisi, birden fazla kişi, suç örgütü: artırım	Phishing, BEC, sahte e-ticaret sitesi, kripto dolandırıcılık — en sık uygulanan madde
TCK m.135-136	Kişisel verilerin hukuka aykırı kaydedilmesi ve yayılması	1-3 yıl (kayıt); 2-4 yıl (yayma)	Özel nitelikli veri: artırım; kamu görevlisi: m.137 kapsamında artırım	Veri tabanı sızdırma, credential dump yayımlama bu kapsamda
KVKK m.12+m.18	Veri güvenliği ihlali bildirimi ve idari yaptırım	100.000–1.000.000 TL idari para cezası	72 saat bildirim yükümlülüğü; KVKK’ya bildirim yapılmayan ihlal bağımsız yaptırım doğurur	Cezai sorumluluk (TCK) ile idari yaptırım (KVKK) bir arada uygulanır

Kriminalistik Bilişim ve Siber Hizmetler

Siber Olay Müdahale ve Adli Soruşturma

Phishing, BEC, ransomware, APT veya hesap ele geçirme vakalarında NIST SP 800-61 çerçevesiyle anlık müdahale: etkilenen sistemlerin tespiti ve izolasyonu, RAM ve disk adli kopyası (write-blocker + SHA-256 hash), Windows Event Log analizi, ağ trafik incelemesi (PCAP) ve saldırı başlangıç vektörünün tespiti. Tüm bulgular CMK m.134 uyumlu delil zinciriyle belgelenir ve HMK m.293 uzman mütalaası formatında mahkemeye sunulabilecek biçimde raporlanır.

Log Forensiği ve SIEM Korelasyon Analizi

Windows Event Log, Active Directory, Microsoft 365 Audit Log, firewall ve proxy log, SIEM platformu (Splunk, Elastic, IBM QRadar) çıktılarının adli analizle incelenmesi. Saldırı zaman çizelgesinin yeniden kurulması, lateral movement rotasının haritalandırılması, data exfiltration boyutunun hesaplanması ve saldırganın ağda ne kadar süre kaldığının tespiti. Kurumsal iç soruşturma ve savcılık sürecine hazır teknik rapor.

Malware ve Kötücül Kod Analizi

Tespit edilen şüpheli dosyanın statik analizi (PE header, import table, string analiz, YARA kuralı eşleşmesi) ve dinamik analiz (Cuckoo Sandbox veya ANY.RUN ortamında davranış izleme: süreç oluşturma, ağ bağlantısı, registry değişikliği, dosya sistemi aktivitesi). Tersine mühendislik (Ghidra veya IDA Pro) ile zararlı yazılımın işlev analizi. Malware ailesi tespiti ve saldırı altyapısı (C2 sunucu) haritalama.

Ağ Forensiği ve Trafik Analizi

PCAP dosyası veya NetFlow kaydı üzerinde Wireshark ve Arkime (Moloch) ile ağ trafik analizi: veri sızdırma miktarı ve hedef IP tespiti, C2 iletişim protokolü analizi, DDoS saldırı örüntüsü tespiti, SSL/TLS şifreli trafik metadata analizi (SNI, sertifika bilgisi) ve lateral movement ağ izleri. ISP log talebi ve BTK trafik verisi işleme kapsamında teknik raporlama.

BEC ve Phishing Soruşturması

Sahte e-posta başlık analizi (SMTP relay zinciri, SPF/DKIM/DMARC doğrulama), gönderici alan adı typosquatting tespiti, Microsoft 365 veya Google Workspace Audit Log incelemesi, inbox rule (gelen kutusu kuralı) ve yetkili uygulama analizi. Ödeme talimatı değişiklik zaman çizelgesi ile fail profilini ortaya koyan kriminalistik rapor. TCK m.157-158 kapsamında savcılık suç duyurusuna altlık sağlayan delil paketi hazırlanması.

Sık Sorulan Sorular

Bilişim suçlarında delil nasıl toplanır ve geçerli kılınır?

CMK m.134 kapsamında hâkim kararıyla cihaza el konulur; write-blocker ile adli kopya alınır; MD5 ve SHA-256 hash değerleri hesaplanıp tutanağa eklenir. Hash eşleşmesi, kopyanın orijinalle birebir aynı olduğunun matematiksel ispatıdır. Zincir muhafaza formu (Chain of Custody) delile temas eden her kişiyi, zamanı ve amacı kayıt altına alır. Bu prosedür eksikse delil CMK m.206/2-a kapsamında hukuka aykırı sayılır ve mahkeme tarafından reddedilebilir.

Şirketimize siber saldırı oldu, ilk ne yapmalıyız?

İlk 1 saat kritiktir: (1) Etkilenen sistemleri ağdan izole edin ancak kapatmayın — RAM görüntüsü alınana kadar. (2) Kriminalistik uzmanı derhal arayın. (3) IT ekibini saldırıyı aktif olarak incelemekten alıkoyun — log değiştirilmemeli. (4) Yönetim ve hukuk birimini bilgilendirin. (5) KVKK m.12 kapsamında veri ihlali söz konusuysa 72 saat içinde KVKK’ya bildirim yapılması gerekir. (6) Sigorta poliçesi varsa siber sigorta şirketini bilgilendirin. Acele ile sistemi yeniden kurmak en yaygın hatadır; saldırı izlerini tamamen siler ve hem delili hem davayı mahveder.

Bilişim suçları şikâyete tabi midir?

TCK m.243-245 kapsamındaki doğrudan bilişim suçları şikâyete tabi değildir; savcılık re’sen soruşturma başlatır. Ancak bilişim araç olarak kullanılarak işlenen bazı suçlar (örneğin haberleşme gizliliği ihlali — TCK m.132) şikâyete tabidir ve bu durumda vazgeçme soruşturmayı sona erdirebilir. Zamanaşımı: en basit bilişim suçu için 8 yıl.

Phishing ile param çalındı, geri alabilir miyim?

Paranın geri alınma ihtimali, harekete geçme hızıyla doğru orantılıdır. SWIFT geri çağırma penceresi birkaç saattir. Türkiye’deki banka üzerinden yapılan transfer için CMK m.128 tedbir kararıyla hesap dondurulabilir. Yurt dışı banka söz konusuysa uluslararası adli yardımlaşma (MLA) süreci başlar; bu uzun ve karmaşık bir süreçtir. Tüm bu adımlar için kriminalistik ekibin hazırladığı teknik delil paketi ve savcılık suç duyurusu zorunludur.

Bilişim suçu bilirkişi raporu nasıl hazırlanır?

Kriminalistik bilişim bilirkişi raporu şu bölümlerden oluşur: (1) soruşturma sorusu ve kapsam, (2) kullanılan metodoloji ve araçlar, (3) delil toplama zinciri (hash değerleri, CoC tutanağı), (4) teknik bulgular — log analizi, saldırı zaman çizelgesi, saldırgan profili, (5) çapraz doğrulama ve güven düzeyi, (6) sonuç ve hukuki nitelendirme önerisi. CMK m.63 mahkeme bilirkişi formatında veya HMK m.293 uzman mütalaası olarak sunulur. Her teknik bulgunun yeniden üretilebilir (reproducible) ve itiraz edilebilir nitelikte belgelenmesi şarttır.

Siber Saldırı AnaliziLog ForensiğiMalware AnaliziPhishing BEC TespitiRansomware SoruşturmaTCK 243-246CMK m.134 Adli KopyaKriminalistik Bilişim İstanbul

Bilişim Suçu Soruşturması ve Siber Saldırı Adli Analizi

Phishing, BEC, ransomware, yetkisiz erişim veya veri ihlali vakalarında dijital delil toplama, log forensiği, malware analizi ve mahkemeye sunulabilir kriminalistik bilirkişi raporu için İstanbul merkezli uzman ekibimizle iletişime geçin.

Uzman Mütalaası Talep Et Tüm Hizmetleri İncele

Yazar: Aslan Kriminal Bilişim UzmanlarıBu içerik; siber saldırı soruşturması, dijital delil toplama, log forensiği, malware analizi, phishing/BEC/ransomware soruşturma metodolojisi ve CMK-HMK uyumlu kriminalistik raporlama alanlarında uzmanlaşmış bilirkişi ekibi tarafından hazırlanmıştır. TCK m.135, m.136, m.157-158, m.243, m.244, m.245, m.245/A; CMK m.63, m.128, m.134, m.206, m.217; KVKK m.12, m.18; NIST SP 800-61 Rev.2; ISO/IEC 27037; 5809 Sayılı Elektronik Haberleşme Kanunu esas alınmıştır. | www.aslankriminal.com