Kısa cevap: MAC (Media Access Control) adresi, cihazın Wi-Fi veya Bluetooth gibi ağ arayüzlerine atanan 48 bitlik fiziksel adrestir. IMEI numarası hücresel şebeke için neyse, MAC adresi de yerel ağlar ve internet protokolleri (LAN/IP) için odur. Fail bir Wi-Fi ağına bağlandığında router'a kaydedilen veri IMEI değil MAC adresi olduğundan, Wi-Fi üzerinden işlenen suçlarda cihazın tespiti büyük ölçüde MAC adresi üzerinden yürür.
İnternet üzerinden işlenen suçlarda IP adresi çoğu zaman doğrudan bir kullanıcı cihazını değil, ilgili modemi veya yerel ağı gösterir. Zira aynı modem üzerinden aynı anda birden çok cihaz internete bağlanabilmektedir. İşte bu noktada devreye MAC adresi girer.
Bir suçlu, hücresel veri (4G/4.5G/5G) kullanmak yerine bir Wi-Fi ağına bağlandığında, o ağın yönlendiricisine (router) kaydedilen veri IMEI numarası değil, MAC adresi olmaktadır. Yerel ağ log kayıtlarında yer alan MAC adresleri, hangi cihazın söz konusu bağlantıyı gerçekleştirdiğinin belirlenmesi bakımından önemli bir teknik veridir.
Adli bilişim incelemelerinde IP adresi ile birlikte MAC adresi bilgilerinin değerlendirilmesi, eylemin gerçekleştirildiği cihazın tespit edilmesine yönelik güçlü göstergeler sağlar. Bu tespit sonrasında cihaz üzerinde yapılan incelemeyle cihazın IMEI numarası, kullanıcı bilgileri ve sistem kayıtları incelenerek; bağlantının hangi cihaz üzerinden kurulduğu ve cihazın kimin zilyetliğinde bulunduğu ortaya konulabilmektedir. Bu teknik veriler, özellikle "IP adresinin başkaları tarafından kullanılmış olabileceği" yönündeki savunmaların değerlendirilmesinde önemli rol oynar.
MAC adresinin yalnızca bilişim suçlarında değil, geniş bir yelpazede delil aracı olduğunu gösteren dikkat çekici bir örnek vardır. Bir kamu görevlisi hakkında BİMER (yeni adıyla CİMER) üzerinden asılsız şikâyette bulunulması üzerine açılan davada:
Yargıtay 16. Ceza Dairesi, 2015/6859 E., 2016/1871 K. sayılı ve 25/03/2016 tarihli kararıyla; 5651 sayılı Kanun gereği log tutma zorunluluğu bulunan kuruma ve internet sağlayıcı firmaya müzekkere yazılarak, şikâyetin yapıldığı IP numarasından belirtilen tarih ve saatte hangi MAC adresine sahip bilgisayardan giriş yapıldığının, bu bilgisayarın kullanımının şifreli olup olmadığının ve kime tahsis edildiğinin sorulması gerektiğini belirtmiş; bu araştırma yapılmadan verilen beraat kararını bozmuştur.
Ayrıca Yargıtay 2. Ceza Dairesi'nin 2016/14786 E., 2018/15164 K. sayılı ve 11/12/2018 tarihli kararında; çoklu IP kullanımı hâlinde PORT ve MAC numaralarının tespiti ile bilişim uzmanı bilirkişi kurulundan rapor alınması zorunlu görülmüştür.
IMEI numarası ve MAC adresi korelasyonu; bir failin hem hücresel şebeke üzerindeki hareketlerini hem de yerel ağlardaki dijital ayak izlerini birleştiren "çapraz doğrulama" sürecidir. Bu hibrit takip yönteminde; IMEI üzerinden yürütülen baz istasyonu verileri failin hareket alanını kentsel ölçekte bir bölge veya mahalle düzlemine indirgerken, cihazın kamusal bir kablosuz ağa dahil olması, ispatın granüler yapısını bina ölçeğine taşımaktadır.
Ağ kayıtlarına yansıyan donanım kimliği, geniş kapsamlı GSM sinyalini spesifik bir işletme veya konuta hapsederek failin mekânla olan illiyet bağını teknik bir kesinlikle mühürler. Bu metodoloji, dijital izlerin fiziksel gerçeklikle en yüksek çözünürlükte buluştuğu stratejik bir ispat köprüsü vazifesi görür.
Belirtmek gerekir ki modern işletim sistemleri (iOS ve Android), gizlilik gerekçesiyle "Rastgele MAC Adresi" (MAC Randomization) özelliğini kullanmaktadır. Bu, cihazın her ağa farklı bir sanal MAC adresiyle bağlanması anlamına gelir ve ağ kayıtlarındaki donanım bilgisinin cihazın asıl kimliğiyle doğrudan örtüşmemesine yol açabilir.
Ancak adli bilişim araçları (Cellebrite, Magnet AXIOM vb.) cihazın orijinal fiziksel MAC adresini donanım seviyesinde tespit edebilmektedir. Operatör kayıtlarındaki IMEI ile cihazın içindeki donanımsal MAC adresi arasındaki bağ üretim standartları gereği sabit olduğundan, bu veri setleri eşleştirildiğinde failin dijital maskesi düşürülebilmektedir.
IMEI hücresel şebekeye bağlanan cihazı, MAC adresi ise yerel ağa (Wi-Fi/LAN) bağlanan ağ arayüzünü tekilleştirir. Mobil veri kullanımında operatöre IMEI, Wi-Fi kullanımında router'a MAC kaydedilir.
Router ve kurum log kayıtlarındaki MAC adresleri üzerinden bağlantıyı yapan cihaz belirlenir; ardından cihaz incelemesi ve tanık beyanlarıyla cihazın o andaki kullanıcısı araştırılır.
MAC spoofing teknik olarak mümkündür; bu nedenle MAC verisi de tek başına değil, cihaz incelemesi ve diğer kayıtlarla birlikte değerlendirilmelidir.
Önemli: Bu yazı genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. MAC adresi, IP tespiti veya diğer dijital delillere dayalı bir soruşturma ya da kovuşturmayla karşı karşıyaysanız, teknik delillerin doğru değerlendirilmesi için bilişim suçları alanında çalışan bir avukattan destek almanızı öneririz.
