Kısa bir süre önce Meta, 2016 ABD başkanlık seçimleri sırasında seçmen profili çıkarma ve hedefleme iddiasıyla ünlenen Cambridge Analytica skandalıyla ilgili gizlilik davasını çözmek için 725 milyon dolar ödemeyi kabul etti. Gizlilik ve kişisel verilerin yasa dışı kullanımı hakkındaki tartışmalar 2016’dan bu yana o kadar gelişti ki, Apple ve Google daha fazla gizlilik merkezli çözümlere doğru ilerliyor. Apple’ın Safari’si üçüncü taraf tanımlama bilgilerini varsayılan olarak engeller ve Google’ın Chrome’u 2024’ün sonlarından itibaren aynı şeyi yapacaktır. Mozilla’nın Firefox ve Brave gibi gizlilik odaklı birkaç İnternet tarayıcısı, tüketicilerin çevrimiçi gizliliğini korumak için kullanıcıların parmak izi almasını varsayılan olarak engeller. Bununla birlikte, çok fazla veri gizliliğinin bir (güvenlik) maliyeti vardır ve çevrimiçi dolandırıcılığı önleme endüstrisi, artan gizlilik eylemlerinin yükünü almıştır.
Çevrimiçi dolandırıcılık bir süredir haberlerde yer alıyor ve çalınan kimliklerden sallanan seçimlere kadar çeşitli hain faaliyetlerden sorumlu. Tek başına kimlik hırsızlığı, 2021’de ABD’li tüketiciler için 6 milyar dolardan fazla mali kayba neden oldu.
Çevrimiçi oturum açmak kolay görünüyor. Çevrimiçi bir hesapta oturum açarken, bir tüketici kullanıcı adını, şifresini ve bazen de cep telefonuna veya e-posta adresine gönderilen tek seferlik bir şifreyi girer. Ancak birinci ve üçüncü taraf algoritmalardan ve insanlardan oluşan karmaşık bir ağ, bu oturum açmayı güvenli ve hileli saldırılardan uzak tutmak için arka planda çalışır. Gelen her talebi analiz ederler ve kötü niyetli olma olasılığını tahmin etmeye çalışırlar – belki birisi yasal bir kullanıcının hesabını ele geçirmeye çalışıyordur veya çalıntı bir kredi kartını e-ticaret işlemleri için kullanmayı planlamaktadır.
Çevrimiçi dolandırıcılığı önleme şirketleri, Apple ve Google gibi şirketlerin topladığı aynı veri kümelerine bağlıdır, ancak bunları çok farklı amaçlar için kullanır. Örneğin, tarayıcı çerezlerini ele alalım. Pazarlama şirketleri, bir tüketicinin İnternet üzerindeki ayak izini takip etmek için çerezlerden yararlanan bir siteler arası izleme teknolojisi kullanır. Bu istilacı teknoloji o kadar endişe vericidir ki, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR), işletmelerin bir web sitesinin genel işleyişi ile ilgili kesinlikle gerekli çerezler dışında her şeyi kullanırken tüketicilerden açık izin almalarını zorunlu kılmıştır. Apple ve Google, siteler arası izleme tanımlama bilgilerine geçtiler veya bunu yapmayı planlıyorlar. Ancak bu hamle, tüketicinin bir çevrimiçi hesaba yetkisini doğrulamak için üçüncü taraf tanımlama bilgilerine dayanan çevrimiçi dolandırıcılık önleme hizmetlerinin, hesap güvenliğinde bir boşluk oluşturan böyle bir hizmet sağlamasını engeller.
Geniş Fırça Düzenlemesiyle İlgili Sorun
GDPR ve California Tüketici Gizliliği Yasası (CCPA) gibi geniş tanımlı bir düzenlemenin tehlikelerinden biri, yoruma bırakılmış olmasıdır. Ve sektördeki en önemli yanlış hizalama, “kişisel verilerin satışı” nın ne olduğudur. Bir işletmenin kişisel verileri tüketicinin açık izni olmadan sattığı kanıtlanırsa, olası cezalar o kadar ağır olur ki, şirketler dolandırıcılığı önlemenin eski kavramlarından biri olan konsorsiyumdan kaçınırlar. Konsorsiyum, sistem üyelerinin, diğer üyelerin de kullanabilmesi için bilinen hileli tüketiciler hakkında bilgi sağladığı bir modeldir. Dolandırıcılık önleme hizmetleri, dolandırıcıların müşterilerine saldırmasını önlemek için benzer bir konsept için üçüncü taraf tanımlama bilgileri kullanır.
Bu uyumsuzluk, işletmeleri birlikte çalışan ve kendi konsorsiyumlarına katkıda bulunan çevrimiçi dolandırıcılara karşı dezavantajlı duruma getirirken, yasal şirketler çeşitli yasalara uyma konusundaki tedirginlik nedeniyle tek başlarına hareket etme eğilimindedir.
Çerezlerle ilgili olumsuz düşünceler nedeniyle, pazarlama şirketleri çerezlerden uzaklaşıyor. Bazıları Unified ID 2.0 gibi gizlilik dostu teknikleri benimsemiş olsa da, büyük çoğunluk durum bilgisi olmayan bir çevrimiçi parmak izine – tüketicilerin açık izinler vermesi gerekmeyen tarayıcı, ağ ve cihaz özelliklerine dayalı olarak oluşturulan benzersiz bir tanımlayıcı – güveniyor. Araştırmalar, bu tür tanımlayıcıların bir tanımlama bilgisine rakip olmayabileceğini, ancak kısa ve orta vadede yardımcı olduğunu göstermektedir.
Gizliliği ihlal eden bu tür tekniklere karşı koymak için Mozilla’nın Firefox, Brave ve Tor gibi tarayıcıları, cihazın ve tarayıcının düzgün şekilde parmak izi almasını önleyen varsayılan parmak izi değiştirme tekniklerini uygulamıştır. Çevrimiçi dolandırıcılar bunu biliyor ve dolandırıcılık önleme sistemlerinden kaçınmak için bu tür tarayıcıların bu benzersiz özelliklerinden büyük ölçüde yararlanıyor.
Bazı tarayıcılar tarafından kullanılan parmak izi değiştirme tekniklerinin etkinliği göz önüne alındığında, dolandırıcılık önleme sistemleri, kötüye kullanım olduğunu bilseler bile iyi bir kullanıcı ile bir dolandırıcı arasında ayrım yapmakta başarısız olurlar. Bu, dolandırıcılık azaltma sistemlerinin saldırıyı durdurmak için kaba kuvvet girişimini tetikleyerek iyi kullanıcıların karışıma kapılmasına neden olur. Ve bu olduğunda, iyi kullanıcılar, mutlu olmadıkları gereksiz sürtüşmelerle karşılaşırlar.
Ne iyi? Ne Kötü?
İyi ve kötü kullanıcıları ayırt edememek, işletmeler sistemlerini işlemleri reddedecek şekilde kurduklarında daha da önemli sonuçları olan bir sınırlamadır. Uygun olmayan sınıflandırma, şüpheli olarak sınıflandırılan iyi işlemlerin kısıtlanmasından veya dolandırıcıların durdurulamaması nedeniyle ters ibraza yol açarak gelir kaybına yol açar.
İşletmeler, kâr elde etmek için gizliliği ihlal eden teknikleri kullanarak o kadar çok etik sınırı aştılar ki, tüketiciler iPhone’larında Uygulamadan İzlememesini İste’ye dokunduklarında bunun çevrimiçi güvenliklerini nasıl etkilediğini nadiren kabul ediyor ve hatta biliyorlar.
Yine de, bu önlenebilir. GDPR ve CCPA (Ocak 2023’te California Gizlilik Hakları Yasası veya CPRA olarak güncellendi), gizliliği ihlal eden yaygın teknolojilerin reklam şirketleri tarafından kötüye kullanılmasının önlenmesi açısından bir nimetti. Bununla birlikte, aynı yasalar madalyonun diğer yüzünü de kabul etmelidir. GDPR ve CPRA, kişisel verilerin kullanımı söz konusu olduğunda dolandırıcılık ve kötüye kullanımı önleme şirketlerini hariç tutmalı ve bu şirketlerin verileri kullanmaktan çekinecek kadar katı olmamalıdır. Bugün yapılandırıldığı şekliyle, bu gizlilik düzenlemeleri aslında dolandırıcılara bir avantaj sağlıyor. Bu tekniklerin etik kullanımı teşvik edilmeli ve kötüye kullanımı önlemek için bu tür hükümlerin sıkı bir şekilde uygulanması gereklidir. Nihayetinde, çevrimiçi kimlik ve finansal güvenlikten ödün vererek mahremiyeti koruyan düzenlemeler yalnızca yarı etkilidir.