Son zamanlarda, Meta 725 milyon dolar ödemeyi kabul etti 2016 ABD başkanlık seçimleri sırasında seçmen profili çıkarma ve hedefleme iddiasıyla ünlenen Cambridge Analytica skandalıyla ilgili gizlilik davasını çözmek için. Gizlilik ve kişisel verilerin yasa dışı kullanımı hakkındaki tartışmalar 2016’dan bu yana o kadar gelişti ki, Apple ve Google daha fazla gizlilik merkezli çözümlere doğru ilerliyor. Elmalar Safari, üçüncü taraf tanımlama bilgilerini varsayılan olarak engellerVe Google’ın Chrome’u davayı takip edecek 2024’ün sonlarından itibaren. Mozilla’nın Firefox ve Brave gibi gizlilik odaklı birkaç İnternet tarayıcısı, parmak izi alan kullanıcıları varsayılan olarak engelle tüketicilerin çevrimiçi gizliliğini korumak için. Bununla birlikte, çok fazla veri gizliliğinin bir (güvenlik) maliyeti vardır ve çevrimiçi dolandırıcılığı önleme endüstrisi, artan gizlilik eylemlerinin yükünü almıştır.
Çevrimiçi dolandırıcılık bir süredir haberlerde yer alıyor ve çalınan kimliklerden sallanan seçimlere kadar çeşitli hain faaliyetlerden sorumlu. Tek başına kimlik hırsızlığı birden fazla sonuç verdi 2021’de ABD’li tüketiciler için 6 milyar dolarlık mali kayıp.
Çevrimiçi oturum açmak kolay görünüyor. Çevrimiçi bir hesapta oturum açarken, bir tüketici kullanıcı adını, parolasını ve bazen de cep telefonuna veya e-posta adresine gönderilen tek seferlik bir parolayı girer. Ancak birinci ve üçüncü taraf algoritmalardan ve insanlardan oluşan karmaşık bir ağ, bu oturum açmayı güvenli ve hileli saldırılardan uzak tutmak için arka planda çalışır. Gelen her talebi analiz ederler ve kötü niyetli olma olasılığını tahmin etmeye çalışırlar – belki birisi meşru bir kullanıcının hesabını ele geçirmeye çalışıyordur veya çalıntı bir kredi kartını e-ticaret işlemleri için kullanmayı planlamaktadır.
Çevrimiçi dolandırıcılığı önleme şirketleri, Apple ve Google gibi şirketlerin topladığı aynı veri kümelerine bağlıdır, ancak bunları çok farklı amaçlar için kullanır. Örneğin, tarayıcı çerezlerini ele alalım. Pazarlama şirketleri, bir tüketicinin İnternet üzerindeki ayak izini takip etmek için çerezlerden yararlanan bir siteler arası izleme teknolojisi kullanır. Bu istilacı teknoloji o kadar endişe vericidir ki, Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR) işletmelere tüketicilerden açık izin almak bir web sitesinin genel işleyişi ile ilgili kesinlikle gerekli tanımlama bilgileri dışında herhangi bir şey kullanırken. Apple ve Google, siteler arası izleme tanımlama bilgilerine geçtiler veya bunu yapmayı planlıyorlar. Ancak bu hamle, tüketicinin bir çevrimiçi hesaba yetkisini doğrulamak için üçüncü taraf tanımlama bilgilerine dayanan çevrimiçi dolandırıcılık önleme hizmetlerinin, hesap güvenliğinde bir boşluk oluşturan böyle bir hizmet sağlamasını engeller.
Geniş Kapsamlı Düzenlemeyle İlgili Sorun
GDPR ve California Tüketici Gizliliği Yasası (CCPA) gibi geniş tanımlı bir düzenlemenin tehlikelerinden biri, yoruma bırakılmış olmasıdır. Ve sektördeki en önemli yanlış hizalama, “kişisel verilerin satışı” nın ne olduğudur. Bir işletmenin kişisel verileri tüketicinin açık izni olmadan sattığı kanıtlanırsa, olası cezalar o kadar ağır olur ki, şirketler dolandırıcılığı önlemenin eski kavramlarından biri olan konsorsiyumdan kaçınırlar. Konsorsiyum, sistem üyelerinin, diğer üyelerin de kullanabilmesi için bilinen hileli tüketiciler hakkında bilgi sağladığı bir modeldir. Dolandırıcılık önleme hizmetleri, dolandırıcıların müşterilerine saldırmasını önlemek için benzer bir konsept için üçüncü taraf tanımlama bilgileri kullanır.
Bu uyumsuzluk, işletmeleri, birlikte çalışan ve kendi konsorsiyumlarına katkıda bulunan çevrimiçi dolandırıcılara karşı dezavantajlı duruma getirirken, yasal şirketler çeşitli yasalara uyum konusundaki endişeleri nedeniyle tek başlarına hareket etme eğilimindedir.
Çerezlerle ilgili olumsuz düşünceler nedeniyle, pazarlama şirketleri çerezlerden uzaklaşıyor. Bazıları gizlilik dostu teknikler benimsemiş olsa da, Birleşik Kimlik 2.0, büyük çoğunluk, durum bilgisi olmayan çevrimiçi parmak izine (tüketicilerin açık izinler vermesi gerekmeyen tarayıcı, ağ ve cihaz özelliklerine dayalı olarak oluşturulan benzersiz bir tanımlayıcı) güvenir. Araştırmalar gösteriyor ki bu tanımlayıcılar bir tanımlama bilgisine rakip olamaz ancak kısa ve orta vadede faydalıdır.
Gizliliği ihlal eden bu tür tekniklere karşı koymak için Mozilla’nın Firefox, Brave ve Tor gibi tarayıcıları, cihazın ve tarayıcının düzgün şekilde parmak izi almasını önleyen varsayılan parmak izi değiştirme tekniklerini uygulamıştır. Çevrimiçi dolandırıcılar bunu biliyor ve dolandırıcılık önleme sistemlerinden kaçınmak için bu tür tarayıcıların bu benzersiz özelliklerinden büyük ölçüde yararlanıyor.
Bazı tarayıcılar tarafından kullanılan parmak izi değiştirme tekniklerinin etkinliği göz önüne alındığında, dolandırıcılık önleme sistemleri, kötüye kullanım olduğunu bilseler bile iyi bir kullanıcı ile bir dolandırıcı arasında ayrım yapmakta başarısız olurlar. Bu, dolandırıcılık azaltma sistemlerinin saldırıyı durdurmak için kaba kuvvet girişimini tetikleyerek iyi kullanıcıların karışıma kapılmasına neden olur. Ve bu olduğunda, iyi kullanıcılar, mutlu olmadıkları gereksiz sürtüşmelerle karşılaşırlar.
Ne iyi? Ne Kötü?
İyi ve kötü kullanıcıları ayırt edememek, işletmeler sistemlerini işlemleri reddedecek şekilde kurduklarında daha da önemli sonuçları olan bir sınırlamadır. Uygun olmayan sınıflandırma, şüpheli olarak sınıflandırılan iyi işlemlerin kısıtlanmasından veya dolandırıcıların durdurulamaması nedeniyle ters ibraza yol açarak gelir kaybına yol açar.
İşletmeler, kâr elde etmek için gizliliği ihlal eden teknikleri kullanarak o kadar çok etik sınırı aştılar ki, tüketiciler iPhone’larında Uygulamadan İzlememesini İste’ye dokunduklarında bunun çevrimiçi güvenliklerini nasıl etkilediğini nadiren kabul ediyor ve hatta biliyorlar.
Yine de, bu önlenebilir. GDPR ve CCPA (Ocak 2023’te California Gizlilik Hakları Yasası veya CPRA olarak güncellendi), gizliliği ihlal eden yaygın teknolojilerin reklam şirketleri tarafından kötüye kullanılmasının önlenmesi açısından bir nimetti. Bununla birlikte, aynı yasalar madalyonun diğer yüzünü de kabul etmelidir. GDPR ve CPRA, kişisel verilerin kullanımı söz konusu olduğunda dolandırıcılık ve kötüye kullanımı önleme şirketlerini hariç tutmalı ve bu şirketlerin verileri kullanmaktan çekinecek kadar katı olmamalıdır. Bugün yapılandırıldığı şekliyle, bu gizlilik düzenlemeleri aslında dolandırıcılara bir avantaj sağlıyor. Bu tekniklerin etik kullanımı teşvik edilmeli ve kötüye kullanımı önlemek için bu tür hükümlerin sıkı bir şekilde uygulanması gereklidir. Nihayetinde, çevrimiçi kimlik ve finansal güvenlikten ödün vererek mahremiyeti koruyan düzenlemeler yalnızca yarı etkilidir.