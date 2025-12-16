Bir zamanlar SMS doğrulama diye bir şey vardı. Hani şu telefonuna kod gönderdik mesajı gelince içimizi rahatlatan, tamam ya bu hesap benden başkasına geçmez dediğimiz küçük güvenlik ritüeli.

Şimdi o ritüelin karşılığı iki simit parası bile etmiyor. Hatta simidin susamı anca…

Cambridge’li araştırmacıların anlattığı hikâye (Science’da yayımlanmış) bence tek bir şeyi çok net söylüyor. Biz yıllardır evin kapısına çilingirler giremez yazılı bir sticker yapıştırıp kendimizi güvende sanmışız. Kapı duruyor, sticker duruyor, çilingir de çoktan içeri girmiş ve abi anahtarın var mı? diye soruyor.

SMS doğrulama fikri ilk çıktığında mantıklıydı. Telefon numarası ben buyum demenin dijital karşılığıydı. Numara almak zahmet, SIM kart almak uğraş, hat taşımak derken… bir maliyeti vardı.

Kötü niyetli biri yüzlerce, binlerce hesap açacaksa önünde bir engel oluyordu. Güvenliğin yarısı zaten engel; hırsızın uff uğraşamam deyip gitmesi.

İnternetin her köşesinde olduğu gibi burada da zorluk bir iş fırsatına dönmüş. Tek kullanımlık numara satmak. Kod alıp vermek. Kullan-at telefon kimliği. O kadar sıradanlaşmış ki, araştırmada geçen servis isimleri (SMSActivate, 5Sim falan) kulağa neredeyse yemek sipariş uygulaması gibi geliyor.

Bugün Rusya numarası mı alsak, Endonezya mı? Sanki seçtiğin ülkeye göre pizza hamuru inceliyor.

İşin can sıkıcı tarafı da sahte hesap açmanın maliyeti düşünce, sahte hesap üretimi endüstri ölçeğine çıkıyor. Dün tek tük bot diye geçiştirdiğimiz, bugün düğmeye basınca akan bir fabrika hattı gibi.

Yorum şişirme, takipçi kasma, sahte müşteri hizmetleri hesapları, kripto dolandırıcılığı, sahte ilanlar… Hepsi aynı zeminde yürüyorlar. Kim olduğun önemli değil, yeter ki sistemde bir yer kap.

Kandırılan birkaç kişi meselesinin çok ötesinde. Asıl zarar internetin genel havasına geliyor. Herkesin birbirine kuşkuyla baktığı, gerçek kullanıcıların bile acaba bu da mı bot? diye düşündüğü bir iklim.

Düşünsene bir gün bir markaya şikâyet yazıyorsun; marka “sahte hesap” diye seni ciddiye almıyor. Ertesi gün bir gazeteciye bilgi veriyorsun; “trol müsün?” diye şüpheleniyor. Güven, su gibi; bir kere bulanırsa arıtması zor.

Araştırmada fiyatların ülkelere göre değişmesi de ayrı bir ironi. Japonya, Avustralya gibi yerlerde SIM kart regülasyonu sıkıysa fiyat yükseliyor; İngiltere, Rusya, Endonezya gibi yerlerde ucuz olabiliyor.

Güvenlik biraz da ülke politikası, operatör denetimi, kimlik doğrulama kültürüyle alakalı. İnternet küresel ama açıklar yerel sayılmaz; en zayıf halka neresi ise oradan sızıyor.

Zincir en zayıf halkasından kırılır…

Bir apartmanda herkes çelik kapı yaptırsa, bir daire sineklikle idare etse… Tahmin et nereden girilir.

Peki ne yapacağız? SMS’i tamamen çöpe mi atalım? Bence hayır; ama onu son kale diye pazarlamayı bırakmak şart. SMS, olsa olsa düşük riskli işlemlerde ek bir adım olabilir. Asıl iş daha sağlam ikinci faktörlere kaymak.

Doğrulama uygulamaları (TOTP), cihaz tabanlı onaylar, hatta mümkünse fiziksel güvenlik anahtarları. Bankacılık gibi yüksek riskte zaten kullanıyorlar. Sosyal medya ve mesajlaşma tarafı da aynı ciddiyeti almak zorunda.

Platformların da kodu girdin mi tamam kolaycılığından çıkması gerekiyor. Sahte hesapla mücadele, doğrulama adımıyla bitmiyor ki. Davranış analizi var. Yeni açılmış hesap bir anda yüzlerce kişiye mesaj atıyorsa, aynı linki spamlarsa, aynı metni kopyala-yapıştır basıyorsa, bunu yakalamak mümkün.

Platformlar ya masum birini yanlışlıkla engellersek diye çekiniyorlar; ama sahte hesapları kaçırınca ortalık daha çok karışıyor.

Biz kullanıcılar olarak SMS doğrulamayı güven damgası gibi görüyoruz. Numarası var, doğrulamış deyince otomatik olarak yumuşuyoruz. Halbuki bu mavi tik gibi, var diye bir şey garantilemiyor.

Bir hesap sana DM’den yazdı diye, telefonu varmış diye güvenmek… geçmiş olsun. O yüzden en basit kişisel refleksler bile kıymetli: acele ettiren mesajlara şüphe, linklere iki kere bakma, para/şifre isteyenlere otomatik hayır, tanımadığın hesapla duygusal gazla hareket etmeme…

En sinir bozucu olan da kötüler hızlı, iyiler yavaş. Dolandırıcılar yeni yöntemi bugün buluyor, yarın ölçekliyor. Platformlar ise raporla butonuna bir form daha ekleyip meseleyi çözdüğünü sanıyorlar. Destek talebiniz alınmıştır, e-postasıyla dolandırıcının hevesi kırılmıyor, tam tersine moral buluyor.

SMS doğrulama hâlâ bir şey ama bariyer sayılmaz; daha çok bir tabela. Burada güvenlik var tabelası. Bazılarını caydırır, çoğunu durdurmaz. Cambridge ekibinin anlattığı da bu zaten. Kodun gelmesi, hesabın gerçek olduğu anlamına gelmiyor. Belki de tam tersi… Bu kadar kolaysa, kimler kimler geçiyordur diye düşünmek gerekiyor.

Biz yıllardır SMS’e kimlik muamelesi yaptık. Oysa o yalnızca ulaşılabilirlikten ibaret. Ulaşılabilen herkes güvenilir sayılmaz. Bunu geç anladık. Yine de iyi haber, bir şeyi yanlış yere koyduğunu fark etmek, düzeltmenin ilk adımıdır.

SMS’i yerine koyarsak, belki yeniden nefes alırız. Yoksa bu gidişle telefonuna kod gönderdik cümlesi güvenlik değil de nostalji olacak.