Merhaba,
Restorana girdiğiniz masadaki QR kodunu okuttunuz, menü açıldı. Park yerine çıktınız, ödeme sınırındaki QR kodunu okuttunuz, kredi kartı bilgilerinizi girdiniz. Elektrikli araç şarj istasyonundasınız, QR kodunu okuttunuz, uygulamayı indirdiniz.
Peki hiç sordunuz mu? O QR kodun gerçekten orada olması gereken mi?
Quishing Nedir?
“Quishing”, QR (Quick Response) ve phishing (oltalama) kelimelerinin birleşiminden oluşuyor. Klasik phishing saldırılarında sahte bir bağlantı içeren e-posta veya mesaj gelirdi. Artık bu linklerin yerini QR kodlar aldı.
Saldırganlar fiziksel olarak geçerli bir QR kodu üzerine kendi hazırladıkları sahte bir QR kod etiketi yapıştırılıyor. Siz kodu okuttuğunuzda bilgisi olmadan saldırganın hazırladığı sahte siteye yönlendiriliyorsunuz.
Bu usul son derece sinsi çünkü:
- QR kodlarının hızından okumadan önce göremezsiniz
- İngilizce olarak meşru görünen bir yerde karşınıza çıkar
- Çoğu kişi QR kodlara güvenerek tarar, şüphelenmez
- Mobil cihazlar bu tür saldırılara daha fazla maruz kalıyor
Gerçek Hayattan Saldırı Senaryoları
Otopark ödeme noktaları: Saldırgan, şehir merkezindeki otopark ödeme cihazının üzerine sahte QR kodu yapıştırılır. Araç sahibi kodunu okutup kart almak girer. Para hem otoparka hem de Saldıra gider — ya da hiç gitmezsiniz.
Restoran menüleri: Pandemi sonrasında QR kod menüleri yaygınlaştı. Masaya yapıştırılmış sahte bir QR kod sizi zararlı bir siteye yönlendirebilir.
Şarj istasyonları: Elektrikli araç kullanıcılarını hedef alan kapatma vakalarında Saldırganlar, şarj etmek için gerekli QR kodunun üzerine kendi kodlarını yapıştırıyor.
E-posta ve belgeler: Sorgulama yalnızca fiziksel ortamla sınırlı değil. Sahte fatura, kargo bildirimi veya iş teklifi e-postalarına yerleştirilen QR kodlar, güvenlik filtrelerini atlayabiliyor çünkü geleneksel e-posta güvenlik sistemleri metindeki linkleri tarar — QR kodları değil.
Neden Şimdi Bu Kadar Tehlikeli?
2026’da QR kod tuzaklarının çok daha benzer bir hal ölçümü öngörülüyor.CoinbaseBunun birkaç sebebi var:
İlk, yapay zeka sayesinde Saldırganlar artık hedef kişiye veya kuruma özel, son derece inandırıcı sahte siteler dakikalar içinde oluşturulabiliyor. İkincisi, mobil cihaz kullanımı her geçen yıl artıyor ve QR okuma artık refleks haline geldi. Üçüncüsü ise kurumsal güvenlik duvarları ve e-posta filtreleri QR kodlarını yeterince analiz edemiyorlar.
Nasıl Korursunuz?
1. QR kodunu okutmadan önce fiziksel olarak kontrol edin. Üzerinde başka bir etiket var mı? Kaldırılıp kaldırılmadığı belli olan iz var mı? Şüphe oluştuğunda okutmayın.
2. QR kod okuyucunuzun URL’sini gösterdiğinden emin olun. Çoğu modern telefon QR kodunu okuduktan sonra siteye gitmeden önce URL’yi gösteriyor. O URL’yi mutlaka kontrol edin.
3. Kısaltılmış veya tanımadığınız URL’lere gitmeyin. Bit.ly, Tinyurl gibi kısaltılmış linkler içeren QR kodlara karşı ekstra dikkatli olun.
4. Ödeme içeren QR kodlarda resmi uygulamayı kullanın. Otopark, şarj istasyonu veya alışveriş ödemelerinde mümkünse kurumun resmi uygulamasını tercih edin.
5. Kurumsal giyinme e-postalardaki QR kodlarına temkinli yaklaşın. Beklenmedik bir e-postadan gelen QR kodu, klasik kimlik avı bağlantısı kadar tehlikeli olabilir.
————————————————————————————————-
Siber saldırılar artık sadece ekran başında değil, hayatın tam ortasında, restoranların masalarında, otoparkların ödeme noktalarında bizi bekliyor. Bize bir kez daha bunu hatırlatıyor: Dijital güvenlik oluşuyor, fiziksel dünyaya da taşınmak zorunda.
Bir sonraki QR kodunu okutmadan önce iki saniye duraksayın. O iki saniye içinde sizi çok içerecek şekilde.
Bir sonraki yazıda görüşmek üzere.
— Eyyüp TURAN | www.eyupturan.com
