Pandemi sonrası dünyada QR kodlar her yere yayıldı. Restoran menülerinden banka ödemelerine, dijital biletlerden e-posta doğrulamalarına kadar her yerde bir karekodla karşılaşıyoruz. Bizim için birer “kısa yol” olan bu kodlar, siber saldırganlar için ise masum görünen birer “arka kapı"dır.

Bugün, Quishing (QR Phishing) adı verilen bu modern oltalama tekniğini ve savunma stratejilerini enine boyuna masaya yatırıyoruz.

Quishing Nedir ve Neden Bu Kadar Tehlikeli?

Oltalama (Phishing) saldırılarını e-posta veya SMS üzerinden almaya alışkınız. Ancak QR kodları tehlikeli yapan şey, insan gözünün bir QR kodun içeriğini (linkini) taratmadan önce fiziksel olarak anlayamamasıdır. Bir URL’deki harf hatalarını (google.com yerine go0gle.com gibi) fark edebilirsiniz, ancak bir QR kodun sizi nereye götüreceğini sadece cihazınız bilir.

Saldırganlar bu “görsel kapalılığı” sosyal mühendislik ile birleştirerek sizi şu amaçlarla tuzağa çekerler:

  1. Kimlik Avı Sayfalarına Yönlendirme: Sizi banka veya e-posta giriş ekranının birebir kopyasına göndererek şifrelerinizi çalmak.
  2. Zararlı Yazılım (Malware) Yükleme: Cihazınıza sessizce inen casus yazılımlarla kamera, mikrofon ve mesajlarınıza erişim sağlamak.
  3. Hatalı Ödeme İşlemleri: Özellikle halka açık park yerlerinde veya bağış kampanyalarında, orijinal QR kodunun üzerine kendi kodlarını yapıştırarak parayı kendi hesaplarına çekmek.

Fiziksel Alanlardaki Saldırı Teknikleri

Bir Ar-Ge mühendisi olarak, saldırının “fiziksel” boyutunu asla küçümsemeyin. Hackerlar sadece dijital dünyada değil, kafanızın üzerindeki tabelada da olabilir.

Üzerine Yapıştırma Taktiği

Şehirlerdeki kiralık bisikletlerin, elektrikli scooterların veya restoran masalarındaki menülerin üzerindeki QR kodlarını düşünün. Saldırganlar, orijinal kodun üzerine mükemmel şekilde basılmış sahte bir etiket yapıştırabilirler. Siz “kiralama” yaptığınızı sanırken aslında kart bilgilerinizi bir saldırgana hediye ediyorsunuzdur.

E-Posta ile Gelen QR Tuzakları

Son dönemde şirketlerin BT departmanlarından gelmiş gibi görünen “Güvenlik ayarlarınızı güncellemek için bu kodu taratın” e-postaları çok popüler. Bilgisayar ekranındaki kodu telefonunuzla tarattığınızda, telefonunuzun tüm savunma mekanizmalarını (kurumsal firewall gibi) baypas etmiş olursunuz.

Savunma Protokolü: Quishing’den Nasıl Korunulur?

Sistemi hacklemekten korunmak için dijital okuryazarlığınızı “Admin” seviyesine taşımalısınız.

1. Manuel Kontrol ve URL Önizleme

Bir QR kodu tarattığınızda, tarayıcı linki otomatik olarak açmasın. Önce linke bakın. Adres çubuğundaki URL gerçek mi? bit.ly gibi kısaltılmış servisler mi kullanılmış? Eğer adres karmaşıksa ve güven vermiyorsa o sekmeyi anında kapatın.

2. Fiziksel “Doku” Testi

Kafelerde veya kamusal alanlardaki QR kodların üzerine elinizi sürün. Eğer kodun üzerinde bir çıkıntı, bir etiket veya sonradan yapıştırılmış bir tabaka hissediyorsanız, o kod manipüle edilmiş olabilir. Asla taratmayın.

3. Çok Fazla İzin İsteyen Uygulamalardan Kaçının

Sadece QR kod okumak için telefonunuza “QR Reader” gibi üçüncü taraf uygulamalar indirmeyin. Bu uygulamaların çoğu gereksiz izinler (konum, rehber erişimi) ister ve kendileri bizzat zararlı olabilir. Telefonunuzun kendi kamera uygulamasını veya güvenilir, bilinen markaların tarayıcılarını kullanın.

4. Şüpheli Kaynaklardan Gelen Kodlara Hayır

E-posta, WhatsApp veya sosyal medya üzerinden gelen “Hediye çeki”, “Para iadesi” temalı QR kodları asla taratmayın. Kurumsal firmalar sizden asla bir QR kod üzerinden kritik bir şifre değişikliği istemezler.

Sonuç: Gözleriniz de Birer Antivirüs Olmalı

Teknoloji geliştikçe saldırı yöntemleri de form değiştiriyor. QR kodlar birer kolaylık olsa da, arkasındaki riskleri bilmek sizi oyunun dışında tutar. Varsayılan ayarlarınızda “şüphecilik” her zaman açık olsun.

Gerçek dünyadaki sistem açıklarını ve dijital savunma yöntemlerini incelemeye devam edeceğiz. Saha Notları bölümünü takipte kalın.