Google, reCAPTCHA'yı web sahtekarlığına ve kötüye kullanıma karşı daha geniş bir platforma genişletiyor. Next '26 bulut konferansında şirket “Google Cloud Fraud Defense”i sundu. Platform artık yalnızca insan kullanıcıları klasik botlardan ayırmamalı, aynı zamanda yapay zeka ajanlarını da yakalamalıdır. Google, bu teklifi reCAPTCHA'nın “sonraki evrimi” olarak adlandırıyor ve onu bir “web aracısı” için, yani otonom yazılım aracılarının kullanıcıları için görevler gerçekleştirdiği uygulamalar için güvenilir bir platform olarak konumlandırıyor.
Duyurudan sonra devamını okuyun
reCAPTCHA başlangıçta öncelikle CAPTCHA ve bot savunması olarak biliniyordu. Ancak son yıllarda Google, ürünü çok daha geniş bir şekilde konumlandırdı ve artık ürünü, örneğin giriş yapma, hesap oluşturma veya ödeme süreçlerinde risklere ve sahtekarlığa karşı koruma olarak pazarlıyor. Dolandırıcılık savunması buna dayanmaktadır. Google'a göre mevcut müşterilerin site anahtarlarını, entegrasyonlarını veya sözleşmelerini taşımasına veya değiştirmesine gerek yok.
Yeni bir web trafiği sınıfı olarak AI aracıları
Duyurunun temelinde web trafiğinin artık esas olarak insanlardan ve basit komut dosyalarından oluşmayacağı varsayımı yer alıyor. Google, bilgileri bağımsız olarak alan, kararları hazırlayan ve tüm süreçleri başlatan yapay zeka aracılarından önemli ölçüde daha fazla etkinlik beklemektedir. Kullanıcıları adına ürünleri karşılaştıran, alışveriş sepetlerini dolduran ve satın alma işlemini başlatan alışveriş asistanları buna bir örnektir. Bu tür sistemler arzu edilebilir ancak güvenlik açısından yeni saldırı alanları açarlar.
En önemli yeniliklerden biri temsilci etkinliğini ölçen bir kontrol panelidir. Operatörler, hangi yapay zeka aracılarının ve diğer otomatik sistemlerin web sitelerini kontrol ettiğini görebilmelidir. Google, riskleri daha iyi değerlendirmek için bu trafiği tanımlamak, sınıflandırmak ve analiz etmek ve aracıların ve kullanıcıların kimliklerini bağlamak istiyor. Teknik açıdan özellikle ilginç olan şey, otomatik erişimin artık bot trafiği olarak ele alınmaması, bunun yerine güvenilirliğe, türe ve kimliğe göre ayrıştırılması yaklaşımıdır.
Bunu başarmak için Google ayrıca yeni ortaya çıkan protokollere ve standartlara da güveniyor. Duyuruda diğer şeylerin yanı sıra Web Bot Auth ve SPIFFE'den (Herkes için Güvenli Üretim Kimlik Çerçevesi) bahsediliyor. Bunun arkasındaki fikir: Meşru aracılar artık yalnızca kullanıcı aracısı dizeleri veya IP adresleri gibi kolayca sahtekarlık yapılabilen özellikleri kullanarak kökenlerini ve kimliklerini iddia etmemeli, aynı zamanda bunu kriptografik olarak da kanıtlamalıdır. Bu nedenle doğrulanmış bir satın alma temsilcisine, sıradan bir tarayıcı kılığına giren bir kazıyıcıdan farklı davranılabilir.
QR kodu aracılığıyla yönergeler ve zorluklar
Google'ın sunduğu ikinci temel unsur bir politika motorudur. Bu, işletmelerin bir oturumun farklı aşamaları için kurallar belirlemesine olanak tanır: kayıt ve oturum açmadan ödeme ve sipariş tamamlamaya kadar. Kararlar, diğer şeylerin yanı sıra risk değerlerine, otomasyon türlerine ve temsilcinin kimliğine dayanır. Uygulamada, doğrulanmış bir yapay zeka aracısının ürün verilerini ve stok durumunu sorgulamasına izin verilebilir, ancak bir müşteri hesabına erişirken veya bir ödemeyi tetiklerken daha katı kurallara tabi olabilir.
Duyurudan sonra devamını okuyun
Aynı zamanda “Yapay zekaya karşı dirençlilik” denilen bir sorun da var. Bunun arkasında şüpheli işlemlerde insan onayı gerektiren bir QR kod kontrol mekanizması yatıyor. Klasik resim veya metin bulmacalarından farklı olarak, bu zorluk, otomatik saldırıları ekonomik açıdan çekici hale getirmeyi amaçlamaktadır. Örneğin, riskli bir sipariş süreci sırasında bir uygulamanın, kullanıcının varlığını kanıtlamak için akıllı telefonuyla taraması gereken bir QR kodunu görüntülemesi düşünülebilir.
Tehdit ortamını ve değer önerisini değiştirme
Google, yeniden yapılanmayı değişen bir tehdit durumuyla gerekçelendiriyor. Riskler, klasik bot otomasyonu ve geçersiz trafikten, aracı kimliğine bürünme veya büyük ölçekli sentetik kimlik dolandırıcılığı gibi daha karmaşık saldırılara doğru kayıyor. Google sentetik kimlikler derken, kısmen gerçek, kısmen icat edilmiş özelliklerden oluşan ve bu nedenle ilk bakışta meşru görünen hesapları veya profilleri ifade eder.
Grup, duyuruyu geniş kapsamlı performans vaatleriyle birleştiriyor. Fraud Defense, Google ekosistemini koruyan küresel tehdit istihbaratının aynısını kullanır. Şirkete göre temel ağ, Fortune 100 şirketlerinin yarısını ve 14 milyondan fazla alan adını koruyor. Google ayrıca, operatörlerin tüm oturum boyunca riskleri ilişkilendirmesi durumunda hesap ihlallerinin ortalama %51 oranında azaltılacağından da bahsediyor.
Google Cloud Fraud Defense ve reCAPTCHA hakkında daha fazla bilgiyi blog yazısında bulabilirsiniz.
Ayrıca okuyun
(fo)
Bir yanıt yazın