2021 RSA Konferansı’nda Web saldırıları ve çevrimiçi dolandırıcılık konusuna ilişkin düzenlenen bir panelde araştırmacılar, büyük kuruluşlara yönelik siber suç taktikleri ve saldırılar üzerine yürütülen çalışmalardan çıkarılan dersler üzerine konuştular. Konuşmacılardan biri olan eski bir kolluk kuvvetleri memuru Dan Woods’du; bir CAPTCHA çiftliği çalışanı olarak aldığı eğitime ilişkin edindiği deneyimden bahsetti. İş yükü çok fazlaydı ve karşılığında aldığı ücret (günlük yaklaşık 3 dolar) yetersizdi; ancak bu konudaki asıl düşüncesi CAPTCHA’nın artık işlevini yerine getirmiyor olmasıydı.
Genel anlamda bir insanın kullanımına yönelik bir arayüz oluşturuluyorsa, bir botun ona erişmesine gerek yoktur. Programlar birbirleriyle kullanıcı arayüzleriyle değil, API’ler aracılığıyla iletişim kurar; bir kullanıcı arayüzü aracılığıyla bir çevrimiçi kaynağa veya hizmete erişmeye çalışan bir botun, bir açıktan faydalanma girişiminin parçası olma ihtimali neredeyse %100’dür.
Kullanıcının bir insan mı yoksa bir bilgisayar mı olduğunu ayırt etmeye yarayan bir araç olan CAPTCHA, uzun yıllar boyunca yasadışı botlara karşı bu konuda tek başına savaştı. Çevrimiçi bankacılık sistemleri ve sadakat programları da dahil olmak üzere birçok servis hala onu kullanıyor. Peki yine de bu konuda CAPTCHA’ya güvenebilir miyiz?
Tıklama çiftliği nedir?
Tıklama çiftliği, tıklama sahtekarlığının insan unsurunu ifade eder: Tıklama başına ödeme yapılan reklamlara tıklayan, bir internet sayfasının arama sonuçlarındaki sıralamasını yükselten veya beğeni ve görüntüleme sayılarını, oy oranlarını ve diğer ölçümleri artıran çok sayıda insanı. Eskiden tıklama işini botlar yapardı ancak dolandırıcılığın önlenmesi konusunda algoritmaların kullanılması, dolandırıcıların gerçek insanları kullanmasına neden oldu.
Woods’u işe alanlar gibi CAPTCHA hizmetlerinde uzmanlaşmış bazı tıklama çiftlikleri, doğrulama sorunlarıyla karşılaşan botların görevini üstlendiler.
CAPTCHA çiftlik çalışanının işi, bu konuda bir makineye güvenilemeyecek derecede karmaşık ancak bir insan için oldukça basit olan görevleri yerine getirmektir. Yangın musluğunun olduğu görüntüleri seçebilir, karışık bir harf dizisini anlamlı hale getirebilir, çok basit bir aritmetik denklemini çözebilir veya bunlara benzer çok sayıda işi yapabilirler.
İnternette dolaşan şu resimdeki konsepte sahip bir çok farklı görüntüyle karşılaşmış olabilirsiniz:
Ancak bu sadece bir şakadan ibaret değil.
CAPTCHA’ya ihtiyacınız var mı?
Kullanıcıların hiçbir zaman CAPTCHA kullanma konusunda özel bir düşkünlüğü olmadı. CAPTCHA, yanlışlıkla başka bir resme tıklanması, arka planda gizlenen bir yangın musluğunun veya karıştırılan harflerde ve sayılarda bir karakterin eksik olması gibi hatalara açık bir araçtır. Her şey yolunda bile gitse, CAPTCHA süreci UX-negatiftir — yani akışı bozar ve kullanıcı deneyimini kötü yönde etkiler.
Ayrıca, CAPTCHA odaklı dolandırıcıların kullandığı tek araç CAPTCHA çiftlikleri değildir. Örneğin bazı dolandırıcılar hala bu tür bilmeceleri çözebilecek bir yapay zeka üzerinde çalışmaya devam ediyor. Ne kadar kusurlu olursa olsun, ek bir koruma katmanı olması sebebiyle CAPTCHA kullanmak mantıklı gibi görünebilir. Ancak hiçbir şey o kadar basit değil.
CAPTCHA’nın alternatifleri
CAPTCHA araçları artık davetsiz misafirlere karşı güvenilir bir şekilde koruma sağlamıyor ve gerçek kullanıcıları rahatsız ediyor. Sonuç olarak, modası geçmiş bu aracı terk etmenin zamanı gelmiş olabilir.
Neyse ki, bir sisteme erişmeye çalışanın bir insan mı yoksa bir makine mi olduğunu belirlemenin tek otomatik yolu CAPTCHA araçları değil. Daha iyi bir alternatif için Kaspersky Fraud Prevention‘ın gereksiz kimlik doğrulama adımlarını ortadan kaldıran ve sorunsuz bir kullanıcı deneyimi sunan Gelişmiş Kimlik Doğrulama çözümüne bir göz atabilirsiniz.
Gelişmiş Kimlik Doğrulama, makine öğrenimi teknolojileri sayesinde, kapsamlı kullanıcı davranışı analizi, pasif biyometrik göstergeler, kimlik doğrulaması talep edilen cihazla ilgili veriler, bulunduğu ortam ve daha fazla bileşenden yararlanarak kullanıcının oturum açmasına izin verip vermeyeceğinize, ek doğrulamaya ihtiyaç olup olmadığına veya erişimin kısıtlamasına karar vermenizi sağlar. Özünde, bir hizmete erişen kişinin bir insan mı yoksa bir makine mi olduğunu doğru bir şekilde belirleyen teknolojidir.
Çözümümüzle ilgili daha fazla ayrıntıya buradan ulaşabilirsiniz.