Denizcilik sigortacılığı dünyası, giderek karmaşıklaşan ödeme dolandırıcılığı vakalarına bir yenisini ekledi. Bir Koruma ve Tazminat Birliği (P&I) muhabiri, mürettebat ölüm tazminatı kapsamında yapılması gereken 200.000 dolarlık kritik ödemenin, son derece sofistike bir e-posta ele geçirme dolandırıcılığı sonucu yanlış hesaba aktarılmasıyla ciddi bir zararla karşı karşıya kaldı.
Olay, International Transport Intermediaries Club (ITIC) tarafından yayımlanan uyarı raporunda ayrıntılarıyla ele alındı ve denizcilik sektöründe zaman baskısı altındaki ödemelerin ne denli savunmasız olabileceğini bir kez daha ortaya koydu.
ITIC’in değerlendirmesine göre saldırganlar, hassas bir mürettebat tazminatı sürecine ait e-posta yazışmalarına fark edilmeden sızdı. Ardından gerçeğe son derece yakın sahte e-posta adresleri oluşturuldu, banka belgeleri ve ödeme talimatları birebir taklit edildi. Ölen denizcinin aile bireyleri dâhil olmak üzere sürece taraf olan birçok kişi gibi davranıldı.
Tüm yazışmalar, gerçek taraflar arasında devam eden resmi iletişimle kusursuz biçimde örtüşecek şekilde ilerledi.
ITIC Hasar Direktörü Mark Brattman, vakaya ilişkin değerlendirmesinde dolandırıcılığın ulaştığı seviyeye dikkat çekti. Brattman, sahte e-postaların artık yalnızca okunarak ayırt edilemeyecek kadar profesyonel hazırlandığını ve özellikle hassas ya da zaman baskısı altındaki ödemelerin hedef alındığını vurguladı.
Muhabir, iletişimin gerçek olduğuna inanarak tazminatın tamamını dolandırıcıların bildirdiği banka hesabına aktardı. Aldatmaca, gerçek hak sahiplerinin daha sonra muhabire ulaşarak ödemenin neden gelmediğini sormasıyla ortaya çıktı. Ancak bu aşamada para çoktan çekilmişti ve geri alınamadı.
Hasar yalnızca kaybolan ödeme ile sınırlı kalmadı. P&I Kulübü bilgilendirildikten sonra hak sahipliğinin yeniden doğrulanması için avukatlar görevlendirildi, anlaşma hukuki olarak yeniden ele alındı. Gemi sahibi, ailenin hak kaybı yaşamaması için 200.000 doları ikinci kez kendi fonlarından ödemek zorunda kaldı. Buna ek olarak hukuki ve idari masraflar da oluştu.
ITIC, olayın temel nedeninin sahtekârlık içeren iletişimlerin zamanında tespit edilememesi ve yeni banka talimatlarının güvenli şekilde doğrulanmaması olduğunu belirtti. Sigorta kulübü, kaybedilen ödeme tutarıyla birlikte sonradan doğan masrafları muhabire iade etti.
Brattman’a göre banka bilgilerindeki her değişiklik ciddi bir uyarı işareti olarak değerlendirilmelidir. Hesabın alıcının bulunduğu ülkeden farklı bir ülkede olması ya da hesap adının gerçek alıcıyla uyuşmaması durumunda işlemin derhal durdurulması gerektiği vurgulandı.
ITIC, tüm ödeme talimatlarının güvenli ve çok kanallı yöntemlerle doğrulanmasını öneriyor. Buna, e-postada yer alan iletişim bilgileri yerine resmi web sitelerinde yayımlanan telefon numaralarının aranması da dâhil ediliyor.
110 ülkede 3.650’den fazla üyesi bulunan ITIC’e göre bu vaka, denizcilik operatörleri için açık bir gerçeği ortaya koyuyor. Günümüz tehdit ortamında e-posta, tek başına para transferi için artık güvenli bir kanal olarak kabul edilemez.
Özellikle mürettebat tazminatları, sigorta hasarları ve acil ödemeler gibi duygusal ve zaman hassasiyeti yüksek süreçler, siber suçlular için en cazip hedefler arasında yer almaya devam ediyor.
