Görme engelli kişiler siber tehditlerden nasıl korunabilir?

2023 yılında, Baltimore’lu görme engelli öğrenci Tim Utzig, X platformunda bir dizüstü bilgisayar dolandırıcılığına kurban giderek bin dolarını kaybetti. Tim, tanınmış bir spor muhabirinin uzun süredir takipçisiydi. O gazetecinin hesabında yepyeni MacBook Pro’ların “yardım amaçlı satışı” hakkında paylaşımlar yapılmaya başladığında, Tim dersleri için ihtiyaç duyduğu dizüstü bilgisayarı uygun fiyata alma fırsatını kaçırmaması gerektiğini düşündü. Birkaç kısa mesajın ardından parayı gönderdi.

Ne yazık ki, gazetecinin hesabı ele geçirilmişti ve Tim’in parası dolandırıcıların cebine gitti. Uyarı işaretleri tamamen görsel nitelikteydi: Sayfa “geçici olarak kısıtlanmış” olarak işaretlenmişti ve hem profil bilgisi hem de takipçiler listesi değişmişti. Ancak Tim’in ekran okuyucusu (ekrandaki metin ve grafikleri sese dönüştüren yazılım) bu uyarıların hiçbirini sesli olarak bildirmedi.

Ekran okuyucular, görme engelli kullanıcıların da diğer herkes gibi dijital dünyada gezinmelerini sağlar. Ancak bu topluluk, hâlâ çok savunmasız durumdadır. Görme engelli olmayan kullanıcılar için bile sahte bir web sitesini tespit etmek zor bir işken, görme engelli bir kişi için bu, çok daha zorlu bir mücadeledir.

Ekran okuyucuların yanı sıra, görme engelli ve az gören kişilere yardımcı olmak üzere tasarlanmış özel mobil uygulamalar ve hizmetler de bulunmaktadır; bunlardan en popüler olanlarından biri de Be My Eyes‘tır. Uygulama, kullanıcıları canlı video görüşmesi yoluyla görme engelli olmayan gönüllülerle bir araya getirerek, fırın ayarını yapmak veya masadaki bir nesneyi bulmak gibi günlük işlerin üstesinden gelmelerine yardımcı olur. Be My Eyes ayrıca, metinleri tarayıp sesli olarak okuyabilen veya kullanıcının çevresindeki nesneleri tanıyabilen entegre bir yapay zeka özelliğine sahiptir.

Peki bu araçlar günlük işlerin ötesine geçebilir mi? Birisi banka hesabı açarken, bu sistemler gerçekten bir kimlik avı girişimini tespit edebilir ya da gizli küçük yazıları fark edebilir mi?

Bugün, görme engelli kullanıcıların çevrimiçi ortamda karşılaştıkları özel zorlukları, insan veya sanal asistanlardan ne zaman yararlanmanın uygun olduğunu ve bu tür hizmetleri kullanırken güvenliği nasıl sağlayabileceğimizi ele alacağız.

Görme engelli ve az gören kişilerin karşılaştığı yaygın siber tehditler

Öncelikle, bu iki grup arasındaki farkı açıklığa kavuşturalım. Görme yetisi önemli ölçüde azalmış olsa da, görme engelli kullanıcılar hâlâ kalan görme yeteneklerine güvenmektedir. Dijital arabirimlerde gezinmek için genellikle ekran büyütücüler, çok büyük yazı tipleri ve yüksek kontrast ayarları kullanırlar. Kimlik avı siteleri ve e-postalar özellikle onlar için tehlikelidir. Bir alan adında veya e-posta adresinde kasıtlı yazım hatalarını (typosquatting olarak bilinen) gözden kaçırmak kolaydır; son zamanlarda ortaya çıkan rnicrosoft{.}com örneği gibi.

Görme engelli kullanıcılar, ekran okuyucular ve belirli dokunma hareketlerini kullanarak öncelikle ses yoluyla gezinirler. Ancak ilginç bir şekilde, görme engelli kullanıcılar, görme bozukluğu olanlara kıyasla ekran okuyucu kullanarak bir kimlik avı sitesini fark etme olasılıkları daha yüksektir: Yazılım URL’yi sesli olarak okuduğunda, kullanıcı bir şeylerin ters gittiğini fark eder. Ancak, bir hizmetin (yasal veya kötü niyetli olsun) ekran okuyucularla tam olarak uyumlu olmaması durumunda, dolandırıcılık kurbanı olma riski artar. Tim Utzig’in başına gelen tam da budur.

Ekran büyütücülerinin ve okuyucuların temel erişilebilirlik araçları olduğunu unutmamak önemlidir. Bunlar; güvenlik seti olarak kullanılmak için değil, bir arayüzü büyütmek veya açıklamak için tasarlanmışlardır. Kullanıcıyı bir tehdit konusunda kendi başlarına uyaramazlar. İşte burada, görüntüleri ve dosyaları analiz edebilen, şüpheli ifadeleri işaretleyebilen ve ekranda olup bitenlerin genel bağlamını açıklayabilen daha gelişmiş yazılımlar devreye girer.

Bir asistana ne zaman güvenmelisiniz?

Be My Eyes, erişilebilirlik alanında önemli bir aktördür ve yaklaşık 900.000 kullanıcıya ve 9 milyondan fazla gönüllüye sahiptir. Windows, Android ve iOS platformlarında kullanılabilen bu uygulama, görme engelli ve az gören kullanıcıları, günlük işlerinde yardım almak üzere görüntülü görüşmeler yoluyla gören gönüllülerle bir araya getirerek bu açığı kapatır. Örneğin, birisi çamaşır makinesinde “Sentetikler” programını çalıştırmak istese ancak doğru düğmeyi bulamasa, uygulamayı açabilir. Kullanıcıları, kendi dilini konuşan ilk müsait gönüllüyle eşleştirir; gönüllü de akıllı telefonun kamerasını kullanarak kullanıcılara yol gösterir. Bu hizmet şu anda 32 dilde kullanıma sunulmaktadır.

2023 yılında uygulama, OpenAI’ın GPT-4 yapay zeka teknolojisiyle çalışan sanal asistan Be My AI’ın piyasaya sürülmesiyle yeteneklerini genişletti. Kullanıcılar bir fotoğraf çeker; yapay zeka ise görüntüyü analiz ederek ayrıntılı bir metin açıklaması sunar ve bunu sesli olarak okur. Kullanıcılar, ek sorular sormak için bir sohbet penceresi bile açabilirler. Bu bizi düşünmeye sevk etti: Acaba bu yapay zeka gerçekten bir kimlik avı sitesini tespit edebilir mi?

Bir deneme olarak, sahte bir sosyal medya giriş sayfasının ekran görüntüsünü Be My Eyes’a yükledik. Bir akıllı telefonda bunu galerinizden veya dosyalarınızdan bir fotoğraf seçip, Paylaş‘a dokunduktan sonra Be My Eyes ile Tanımla seçeneğini seçerek yapabilirsiniz. Windows’ta ekran görüntüsünü doğrudan yükleyebilirsiniz.

Facebook giriş formunu taklit eden bir kimlik avı sayfasının örneği. Adres çubuğundaki hatalı alan adına dikkat edin.

İlk başta, yapay zeka bize sayfanın ayrıntılı bir açıklamasını verdi. Ardından sohbette şu soruyu sorduk: “Bu sayfaya güvenebilir miyim?” Yapay zeka, alan adı hatasını hemen tespit etti, sahte giriş sayfasını kapatmamızı tavsiye etti ve resmi URL’yi doğrudan tarayıcıya yazmamızı ya da resmi Facebook uygulamasını kullanmamızı önerdi.

Yapay zeka, sayfanın neden şüpheli göründüğünü açıklıyor: Alan adı resmi siteyle uyuşmuyor. Uygulama, resmi URL’yi doğrudan tarayıcıya yazmanızı veya resmi Facebook uygulamasını kullanmanızı öneriyor.

Bir kimlik avı e-postasını test ederken de aynı olumlu sonuçları gördük. Aslında, yapay zeka mesajı ilk taradığında bu dolandırıcılığı tespit etmişti. Sonunda şu uyarı yer alıyordu: “Bu, şüpheli bir e-postaya benziyor.” Ekleri açmamak ve bağlantılara tıklamamak en iyisidir. Bunun yerine, resmi web sitesine veya uygulamaya manuel olarak gidin ya da resmi sitede belirtilen numarayı arayın.

Be My AI, siber tehditleri tespit etmenin ötesinde; çevrimiçi mağazalarda, bankacılık uygulamalarında ve dijital hizmetlerde gezinirken güvenilir bir yardımcıdır. Örneğin, yapay zeka size şu konularda yardımcı olabilir:

• Bir mağazanın web sitesi veya uygulaması ekran okuyucuları veya büyük yazı tiplerini desteklemediğinde; ürün açıklamalarını, isimlerini ve fiyatlarını okumak
• Bir abonelik için kayıt olurken veya banka hesabı açarken, genellikle minik harflerle yazılmış ya da ekran okuyucular tarafından algılanamayan o kafa karıştırıcı şart ve koşulları taramak
• Önemli bilgileri doğrudan ürün kartlarından veya kullanım kılavuzlarından almak

Yapay zekaya güvenmenin riskleri

Yapay zekada en sık karşılaşılan sorun, dil modelinin metni çarpıtması, önemli ayrıntıları atlaması ya da uydurma kelimeler üretmesi şeklinde ortaya çıkan “halüsinasyonlar”dır. Siber tehditler söz konusu olduğunda, bir yapay zekanın kötü niyetli bir siteye veya e-postaya duyduğu yersiz güven tehlikeli olabilir. Ayrıca, yapay zeka, dolandırıcıların sadece Be My AI’ın ötesinde yapay zeka ajanlarını kandırmak için kullandıkları komut satırı enjeksiyon saldırılarına karşı da savunmasızdır.

Yapay zeka testimizi geçse de, ona sorgusuz sualsiz güvenmemelisiniz zira her seferinde doğru sonuç vereceği garanti edilemez. Bu, görme engelli ve az görenler için hayati bir konudur; sinir ağı, çoğu zaman tek gözleriymiş gibi hissettirebilir.

Her yanıtın sonunda, yapay zeka, hâlâ emin değilseniz bir gönüllüye danışmanızı önerir. Ancak, sahte bir web sayfasını tespit etmeye çalışırken bunu yapmamanızı tavsiye ederiz. Rastgele bir gönüllünün güvenilir ya da teknolojiye ne kadar yatkın olduğunu bilmenin bir yolu yoktur. Ayrıca, e-posta adresiniz veya parolanız gibi hassas bilgilerin yanlışlıkla ifşa olma riskiyle karşı karşıya kalabilirsiniz. Bir yabancıyla bağlantı kurmadan önce, ekranınızda gizli hiçbir şeyin görünmeyeceğinden emin olun. Daha da iyisi, uygulamanın bu özelliğini kullanarak; aileniz, arkadaşlarınız veya güvendiğiniz kişilerden oluşan özel bir grup oluşturun. Bu sayede görüntülü görüşmeniz rastgele bir gönüllüye değil, gerçekten tanıdığınız kişilere ulaşır.

Güvenliğinizi sağlamak için, tüm cihazlarınıza güvenilir bir güvenlik yazılımı yüklemenizi öneririz. Bu programlar, kimlik avı girişimlerini engellemek ve kötü amaçlı sitelere yönlendirilmenizi önlemek üzere tasarlanmıştır. Görme engelli kullanıcılar için bir başka pratik öneri de bir parola yöneticisi kullanmaktır. Bu uygulamalar, kimlik bilgilerini yalnızca yasal ve kaydedilmiş web sitelerinde otomatik olarak doldurur; kurnaz bir alan adı taklidine aldanmazlar.

Be My AI verilerinizi nasıl işler ve saklar?

Be My Eyes gizlilik politikasına göre, gönüllülerle yapılan görüntülü görüşmeler; hizmetin sunulması, güvenliğin sağlanması, hizmet şartlarının uygulanması ve ürünlerin iyileştirilmesi amacıyla kaydedilebilir ve saklanabilir. Be My AI kullandığınızda, yanıtın oluşturulabilmesi için resimleriniz ve metin komutlarınız OpenAI’a gönderilir. Bu veriler ABD’de bulunan sunucularda işlenmektedir ve OpenAI bu verileri yalnızca sizin talebinizi yerine getirmek amacıyla kullanmaktadır. Politika, kullanıcı resimlerinin ve sorgularının yapay zeka modellerini eğitmek için kullanılmadığını açıkça belirtmektedir.

Fotoğraflar ve videolar hem aktarım sırasında hem de depolandıkları sırada şifrelenir ve şirket, hassas bilgileri silmek için gerekli önlemleri alır. Video görüşme kayıtlarının, siz silinmesini talep etmediğiniz sürece süresiz olarak saklanabileceğini belirtmek gerekir; bu durumda ise genellikle 30 gün içinde silinirler. Yapay zeka etkileşimlerinden elde edilen veriler, uygulama içinden manuel olarak silmediğiniz sürece en fazla 30 gün boyunca saklanır. Hesabınızı kapatmaya karar verirseniz, kişisel verileriniz 90 güne kadar saklanabilir. Be My Eyes destek ekibiyle iletişime geçerek istediğiniz zaman veri paylaşımından vazgeçebilir veya mevcut verilerinizin silinmesini talep edebilirsiniz.

Be My Eyes’ı güvenli bir şekilde kullanmak

Be My Eyes’ın gizlilik konusundaki açıklamalarına rağmen, bu hizmeti kullanırken yine de bazı temel kurallara uymalısınız:

• Şüpheli e-postaları veya sayfaları ilk etapta incelemek için yapay zeka teknolojisini kullanın, ancak bunu tek doğru kaynak olarak görmeyin. Özel güvenlik yazılımları, tehditleri tespit etme ve etkisiz hale getirme konusunda daha etkilidir.
• Bir web sitesi, e-posta veya mesaj size şüpheli geliyorsa, hiçbir bağlantıya veya eke dokunmayın. Bunun yerine, bilgileri doğrulamak için resmi web sitesinin adresini tarayıcınıza manuel olarak girin veya resmi uygulamayı açın.
• Unutmayın: Bir gönüllü, kameranızın gördüklerini birebir görür. Kasa şifresi veya açık pasaport gibi sakıncalı bilgilerin kameranın görüş alanına girmediğinden emin olun. Adınızı paylaşmaktan, yüzünüzü göstermekten veya çevrenizle ilgili çok fazla bilgi vermekten kaçının. Kendinizi veya kişisel ayrıntılarınızı ortaya çıkarabilecek yansımalara özellikle dikkat edin. Sadece elinizdeki iş için kesinlikle gerekli olan bilgileri gösterin.
• Yakın çevrenizle sınırlı kalın. Uygulamada bir grup oluşturun ve arkadaşlarınızı ve ailenizi ekleyin. Böylece görüntülü görüşmeleriniz rastgele bir gönüllüye değil, tanıdığınız kişilere yönlendirilir.
• Be My AI’ı gizli bilgiler içeren belgeleri okumak için kullanmayın. Unutmayın, resimleriniz ve metin komutlarınız işlenmek ve yanıt oluşturulmak üzere OpenAI’a gönderilir.
• Artık ihtiyacınız olmayan sohbetleri silmeyi unutmayın. Aksi takdirde, 30 gün boyunca ortalıkta dolaşırlar.
• Kişisel veya gizli içerikleri okumak zorunda kalırsanız; Envision, Seeing AI veya Lookout gibi gerçek zamanlı okuma özelliğine sahip uygulamaları kullanmayı düşünün. Bu uygulamalar, verileri buluta göndermek yerine cihazınızda yerel olarak işler.