Son aylarda dramatik bir artış gösteren dijital dolandırıcılık saldırıları sosyal medyada, özellikle de Twitter’da benzer yöntemler kullanıyor. Para ödenerek gösterim sayısı arttırılmış bir içerik, görselde genellikle pahalı bir otomobil veya son model bir akıllı telefon, metinde ise sıklıkla “Tebrikler! Kazandınız” gibi ibareler. Tıklandığında sizi bir bankanın web sitesine çok benzeyen ama aslında bir dolandırıcıya ait sayfaya götürüyor ve hesap / kart bilgilerinizi girmenizi amaçlıyor. Peki nasıl oluyor da bu kadar bariz dolandırıcılık engellenemiyor ve yüzlerce, belki de binlerce kullanıcı bu numaralara inanabiliyor? Temelde üç sebepten bahsedilebilir:
- Dijital alanda sahihlik ipuçlarına aşina olmamak
- Eşik bekçilerinin yetersizliği
- Kullanıcıların temel içgüdülerinin manipüle edilmesi
Sahihlik delilleri ve dijital üretim
Finansal sistemin işlemesi, son tahlilde bir güven meselesidir. ATM’ye cebinizdeki paranızı yatırdığınızda, ATM’nin sahibi olan bankanın o parayı doğru şekilde alıp, sistemine kaydedip, hesabınıza işleyeceğinden şüphe etmezsiniz. Ettiğiniz noktada, o parayı o ATM’ye değil, başka bir bankanın ATM’sine yatırırsınız. Güvenmediğiniz birden fazla böyle banka olduğunda ise bankacılık sistemine olan güveniniz yok olur, paranızı evinizde bir kasada saklamaya başlarsınız.
Mevcut durumda insanların bankacılık sistemine, en azından paralarını emanet edebilecekleri kadar güvendikleri muhakkak. Ancak dijital dünyanın doğası gereği güvendikleri kurumların gerçekten güvendikleri kurumlar olduğunun teyidi gibi yeni bir sorunla karşı karşıyayız.
Fiziksel dünyada (veya dijital öncesi dünyada) insanlar bir bankaya girdiklerinde güven hissederler. Paralarını veznedeki görevliye uzatır, onların saydığı meblağı doğru kabul eder, kendilerine söylenen döviz kurundan şüphe etmezler. Zira bütün sistem güven üzerine kurulmuştur ve bu seviyede adi suç denebilecek dolandırıcılıkların banka tarafından yapılmayacağını bilirler. Peki, girdikleri binanın bankaya ait olduğundan, bir dolandırıcı tarafından işletilen sahte bir ‘banka şubesi’ olmadığından nasıl emin olurlar? Bu, fiziksel dünyada hiç de zor değildir zira sahihliğin bazı basit ipuçları apaçık ortada durmaktadır. En basitinden banka şube binası başlı başına bir güven unsurudur. Kimse bir banka binasını taklit edemez, kendisine bir bina kiralayıp kapısına bilinen bir bankanın tabelasını asamaz. Bunu yapmaya kalkan kişi muhtemelen daha tabelayı asarken tutuklanır. Benzer şekilde şehrin merkezine bir bankaya ait gözüken (ama aslında olmayan sahte) bir ATM’yi koymak da mümkün değildir. Çok istisnai durumlarda ATM dolandırıcılıkları gerçekleşebilse de genellikle bu suçları işleyenler hemen yakalanır ve neredeyse her durumda müşterilerin parası iade olur.
Ancak dijital dünyanın içkin özellikleri nedeniyle yukarıda bahsi geçen sahihlik ipuçları fiziksel dünyadaki kadar katı, manipüle edilemez, apaçık değildir. Fiziksel dünyada sahte bir banka şube binası dikip, kapısına sahte bir tabela asmak ne kadar mümkün değilse, dijital dünyada da bir bankanın gerçek web sitesinin neredeyse birebir aynısını ‘inşa edip’ yayına almak da o kadar kolaydır. Tabii, bu dijital dünyada sahihlik ipuçları yoktur anlamına gelmez, vardır ancak fiziksel dünyadan farklıdır. Sitenin görsel ögeleri kopyalanabilir (yani binanın aynısı kolayca dikilebilir) ancak tarayıcında gördüğünüz web adresi (URL, yani bir nevi şubenin tabelası) birebir taklit edilemez. Birkaç harf veya karakter değiştirilmek zorunda kalınır. Veya web sitesinin güvenlik sertifikası eksiktir; fiziksel dünyada kapısında güvenlik, kapısında kilit olmayan bir banka şubesine güvenmeyeceğiniz gibi, dijital dünyada da SSL sertifikasına sahip olmayan (ki bunu adres satırındaki HTTPS ibaresinden ve kilit işaretinden anlayabilirsiniz) bir banka sitesine girmemeniz gerekir. Bu teknik ipuçlarının yanında çok daha basit görsel ve metinsel ögelerle de bir aldatmacanın içinde olduğunuzu fark edebilirsiniz: imlâ hataları, kurumsal renklerle uyumsuz ve özensiz görseller, kurumun normalde kullandığı dilden çok daha farklı bir dil kullanımı ve en önemlisi gerçek olamayacak kadar iyi gözüken vaatler.
Dijital ipuçlarının mevcudiyeti maalesef kendi başına yeterli değil. Kullanıcıların bu ipuçlarından haberdar olması ve onları fark etmeleri gerekiyor. Bu hususta toplumun genelinde hakim olan eksik medya okur yazarlığı ve dijital okur yazarlık becerileri büyük bir sorun oluşturuyor. Gerek finansal kurumların gerekse düzenleyici kurumların bu konuda yetersiz kaldığı da üzücü bir gerçek.
Eşik bekçileri
İletişim kuramlarında adı sıkça geçen bir kavram olan ‘eşik bekçisi’ kamusal alanda dolaşıma girecek bilginin seçiminde, filtrelenmesinde karar mekanizması işlevi gören kişi ve kurumlara verilen isim. Bilgi (aslında enformasyon, hatta sorunlu ama yaygın kullanımı ile içerik) bir eşiğe (editörün masası, posta kutusu veya televizyon yapımcısının önündeki konu listesi) geliyor ve eşik bekçisi (editör, yapımcı vs...) o bilginin, eşiğin öbür tarafına (gazete sayfası, televizyon ekranı) geçip geçmemesine karar veriyor.
Konumuz bağlamında, eşik bekçileri yıllarca kritik bir rol oynamıştır zira televizyon veya gazetede, genel olarak konvansiyonel medyada yukarıda bahsi geçen türde aldatıcı reklamlar yer alamaz. Bir dolandırıcı, gerçek bir bankanı yerine geçerek reklam gösteremez, para talep edemez. Zira eski nesil eşik bekçileri bu gibi durumlarda bir güvenlik sübabı görevi görür. Oysa bugün eşik bekçilerinin mahiyeti değişmiş durumda. Eşik bekçiliği görevini insan editör ve yapımcılar değil dijital platformların algoritmaları yükleniyor. Bu algoritmaları ise aşmak görünen o ki çok da zor değil. Bu nedenle, finansal kurumlara, düzenleyicilere ve dijital platformlara teknik birçok sorumluluk düşüyor zira bu dolandırıcılık içerikli reklamların daha yayımlanmadan engellenmesi sorunu büyük ölçüde çözecektir.
Kullanıcıların sosyal medya kas hafızasını manipüle etmek
Sosyal medya ağlardaki takipçi sayıları, paylaşımlarının beğenilme oranı, tekrar paylaşılma oranı, o paylaşım üzerinde yapılan yorumlar aslında paylaşım yapan kişinin paylaşıma devam etme motivasyonunu da etkiliyor. Kendinize sorun: Twitter’a bir ileti yazdıktan veya Instagram’da bir fotoğraf paylaştıktan en az birkaç dakika sonra acaba iletiyi beğenen veya tekrar paylaşan var mı veya fotoğrafımı kaç kişi (ve kimler) beğenmiş diye merak etmiyor musunuz? İşte Twitter’da kullanıcıları ağına düşürmeye çalışan kimlik hırsızlarının kaşıdığı o kadim duyguya ulaştık: Merak.
Snapchat’le ortaya çıktıktan sonra Facebook, Instagram ve WhatsApp’ın kopyaladığı ‘Hikayeler’ özelliğine göre, kullanıcı seçtiği görseli veya videoyu kendi ayarladığı zaman aralığında ve kendi belirlediği süre kadar takipçilerine gösterebilir. Paylaşılan bu hikayeye kimlerin baktığını da kullanıcı görebilir. Yani sosyal medyada paylaştığı hikayesine toplam kaç kişinin baktığını, ne tür paylaşımlarının en çok etkileşim yarattığını takip edebilir. Hikaye paylaşanlar, paylaşımlarına dair kayıtlar tutup analitik çözümlemeler yapmasalar da farkında olmadan etkileşimi yüksek içeriklere benzer içerikler paylaşmaya meyillidirler.
Paylaşılan hikayeye bakanlar ile sosyal medya hesabına bakanları görmek temelde birbirine benzemese de kullanıcılarda bu tip bir yanılsama yaratabilir. 2,2 milyardan fazla kullanıcısı olan Facebook ve 1 milyardan fazla kullanıcısı olan Instagram ile 1,5 milyardan fazla kullanıcısı olan WhatsApp’ta hikayelere kimin baktığını görebilme özelliği belki Twitter’da da hesabına bakanları gösteriyordur? Merakla ve çok da düşünülmeden yapılan birkaç tıklama ve tarayıcıya kaydedilen şifrenin girilmesiyle bu sorunun cevabı kötü yoldan alınmış olur.
