Mobil bankacılık uygulamaları kullanıcıdan sürekli bir şey ister:
– izin, – onay, – yetkilendirme.
Bu talepler çoğu zaman teknik görünür.
Ve tam da bu yüzden sorgulanmadan kabul edilir.
Oysa mobil bankacılıkta verilen en kritik yetkiler, çoğu zaman bilinçli kararlarla değil, alışkanlıkla verilir.
Yetki Vermek Ne Zaman Görünmez Hale Geldi?
Bir uygulama ilk kez açıldığında:
– “devam et”, – “izin ver”, – “onayla”
gibi adımlar hızla geçilir.
Çünkü kullanıcı zihni bu adımları şöyle kodlar:
“Zaten kullanmak için mecburum.”
Bu noktadan sonra yetki vermek, bilinçli bir tercih olmaktan çıkar.
Sürecin doğal parçası hâline gelir.
Cihaz Yetkileri: Bankacılıkla İlgisi Olmayan Alanlar
Mobil bankacılık uygulamaları yalnızca para işlemez.
Aynı zamanda cihaza erişir:
– bildirimler, – konum bilgisi, – cihaz tanımlayıcıları, – kamera (QR, kimlik, belge).
Bu izinlerin büyük bölümü işlevseldir.
Ama kullanıcı çoğu zaman şunu bilmez:
Hangi izin hangi işlem için gerçekten gerekli?
Bu bilinmezlik, yetkinin sınırını belirsizleştirir.
Bildirim İzinleri: En Sessiz Yetki
Bildirim izni masum görünür.
Oysa finansal güvenlik açısından kritik bir kapıdır.
Çünkü:
– işlem onayları, – güvenlik kodları, – uyarılar
bildirimler üzerinden akar.
Bildirimlerin:
– kilit ekranda görünmesi, – başka uygulamalarla karışması, – aceleyle okunması
risk üretir.
Kullanıcı çoğu zaman bu yetkiyi verdiğini bile hatırlamaz.
“Güvenli Cihaz” Yetkisi Sessizce Genişler
Bir cihaz güvenli olarak tanımlandığında:
– ek doğrulamalar azalır, – bazı uyarılar devre dışı kalır.
Bu kullanıcı için konfor sağlar.
Ama aynı zamanda şu yetkiyi de üretir:
“Bu cihazdan gelen işlemler daha az sorgulansın.”
Kullanıcı bu yetkiyi bilinçli olarak verdiğini düşünmez.
Oysa bu, önemli bir güvenlik ayrıcalığıdır.
Onay Ekranları: Yetkinin Hukuki Devri
Mobil bankacılıkta “onayladım” demek:
– işlemi kabul etmek, – sorumluluğu üstlenmek
anlamına gelir.
Ancak kullanıcı çoğu zaman şunu düşünür:
“Zaten yapmak istediğim şey.”
Bu noktada fark edilmez:
Onay, yalnızca işlem değil; yetki devridir.
– işlemin iradi olduğu kabul edilir, – sistem sorumluluğu kullanıcıya bırakır.
Alışkanlıkla Verilen Yetkiler En Riskli Olanlardır
Bir yetki ne kadar sık kullanılıyorsa, o kadar az fark edilir.
– hızlı giriş, – tek tık onay, – otomatik işlem.
Alışkanlık, yetkiyi görünmez kılar.
Ve görünmeyen yetki, sorgulanmaz.
Bu da dolandırıcılık senaryolarının en sevdiği zemindir.
Yetki Var Ama Farkındalık Yok
Mobil bankacılıkta asıl sorun şudur:
Yetkiler vardır.
Ama kullanıcı bu yetkilerin:
– kapsamını, – sınırını, – sonuçlarını
net olarak bilmez.
Bu bilgi eksikliği, teknik değil;
davranışsal bir güvenlik açığıdır.
En Tehlikeli Varsayım
“Bunlar standart, herkes veriyor.”
Standart olan şey güvenli olmak zorunda değildir.
Özellikle finansal uygulamalarda, her verilen yetki;
potansiyel bir etki alanı yaratır.
Gerçek Güvenlik Nerede Başlar?
Gerçek güvenlik;
– yetki vermemekte değil, – verilen yetkinin farkında olmakta
başlar.
– neye izin verdim, – ne zaman geçerli, – hangi durumda geri alınmalı?
Bu sorular sorulmadığında, en güvenli uygulamalar bile riskli hâle gelebilir.
Mobil bankacılıkta farkında olmadan verilen yetkiler:
– bildirim erişimleri, – cihaz güveni, – hızlı onay alışkanlıkları, – sorgulanmayan izinler
üzerinden oluşur.
Gerçek finansal güvenlik;
uygulamanın ne kadar gelişmiş olduğunda değil, kullanıcının hangi yetkiyi ne zaman verdiğini bilmesinde başlar.
“izin ver” demekte değil, neye izin verdiğini fark edebilmekte.
