• QR Kod Kimlik Avı (Quishing) -
    QR kodlarının ardındaki görünmez tehlike

QR kodları, restoranlarda, posterlerde veya girişlerde olsun, günlük yaşamın bir parçası haline geldi. Siber suçlular, sözde QR kod kimlik avı saldırıları için QR kodlarının yaygınlığını kullanır. Bu, sahte QR kodlarının kullanıcıları sahte web sitelerine yönlendirdiği veya cihazlarına kötü amaçlı yazılım yüklediği belirli bir kimlik avı biçimidir.

Mission Security

Anahtar Noktalar:

A person scans a QR code on a paper document using their smartphone

QR kod kimlik avı, suçluların kötü amaçlı QR kodları kullanarak kötü amaçlı yazılım yaydığı veya sahte web sitelerine yönlendirdiği tehlikeli bir kimlik avı biçimidir.

A person holds their smartphone up to a display on a machine

Bir QR koduna gömülü bağlantı hemen görünmez – birçok kullanıcı tarandıktan sonra gösterilen önizlemeye güvenir ve bağlantıyı tam olarak doğrulamadan açar.

A person scans a QR code on a table at a restaurant

Tam URL'yi dikkatlice kontrol ederek, şüpheli kodlardan kaçınarak ve yazılımı güncel tutarak, başarılı QR kod kimlik avı saldırılarının kurbanı olma riskini önemli ölçüde azaltabilirsiniz.

QR Kod Kimlik Avı nasıl çalışır?

QR kod kimlik avı, bir QR kodunun içeriğinin – genellikle bir internet adresinin – doğrudan görünür olmaması gerçeğine dayanır. Suçlular, bu tür QR kodlarını dijital olarak (örn. e-postalarda) veya fiziksel olarak etiketlere, posterlere ve günlük nesnelere yerleştirirler. Bu kodları dikkatli olmadan taramak sahte web sitelerine yönlendirebilir veya kullanıcının haberi olmadan kötü amaçlı yazılım indirmesine neden olabilir.

QR Kod Kimlik Avı neden bu kadar tehlikelidir?

QR kod kimlik avı, insan alışkanlıklarını ve teknik güvenlik açıklarını hedef alır. Bu dolandırıcılığın özellikle sinsi olmasının nedenleri şunlardır:

icon

Tararken güvenli olduğu varsayımı:

QR kodları, kaynağını veya hedefini sorgulamadan sıkça taranır – riskli bir alışkanlık.

icon

Güvenlik filtrelerini atlatma:

E-postalardaki geleneksel kimlik avı bağlantıları genellikle spam filtreleri tarafından yakalanırken, e-postalara gömülü QR kodları genellikle zararsız görüntüler olarak yorumlanır.

icon

Görünmez tehdit:

QR kodu, insan gözüyle görünmeyen bir internet adresi içerir. Otomatik olarak veya doğru inceleme yapılmadan açılırsa, hemen kötü amaçlı yazılım bulaşmasına yol açabilir.

icon

Otomatik bağlantı açma:

Bazı kamera veya QR tarayıcı uygulamaları gömülü bağlantıları otomatik olarak açar – kötü amaçlı yazılımın fark edilmeden yüklenmesini kolaylaştırır.

icon

Yaygın kullanım:

Kötü amaçlı QR kodları sadece dolandırıcı e-postalarda ve mektuplarda değil, aynı zamanda parkmetrelerde, şarj istasyonlarında, paketlerde, el ilanlarında ve sahte çekiliş biletlerinde de görünür.

Sahte QR kodları nasıl belirlenir

Birçok QR kod kimlik avı saldırısı, dikkat ve özenle erken tespit edilebilir. Şunlara dikkat edin:

  • Belirgin veya alışılmadık yerleşim: Suçlular, QR kodlarını dikkat çeken yerlere, örneğin şarj istasyonlarındaki meşru kodların üzerine veya sahte park biletlerine yerleştirirler. Yapışkan izleri gibi manipülasyon belirtilerine dikkat edin.
  • Kısaltılmış veya gizlenmiş URL'ler: Modern tarayıcılar genellikle bağlantının yalnızca kısaltılmış bir sürümünü gösterir. Hedefi doğrulamak için tam internet adresini görüntüleme seçeneğinin olup olmadığını kontrol edin.
  • Veri girişi talepleri: Bir QR kodu taranması, giriş veya ödeme bilgileri talebine yönlendirirse dikkatli olun. Meşru sağlayıcılar, öncesinde kimlik doğrulama yapmadan asla bu tür verileri istemezler.

QR kod kimlik avına karşı koruyucu önlemler

QR kod kimlik avına karşı kendinizi korumak karmaşık adımlar gerektirmez – sadece farkındalık ve dijital sorumluluk yeterlidir:

  • Yalnızca güvenilir QR kodlarını tarayın: Yalnızca resmi uygulamalar, bilinen markalardan basılı materyaller veya şirket web siteleri gibi açıkça güvenilir kaynaklardan gelen kodları tarayın.
  • Güvenli tarama uygulamaları kullanın: Cihazınızın yerel kamera uygulamasını kullanın ve QR tarama özelliklerini öğrenin. Ücretsiz üçüncü taraf uygulamaların güvenlik açıkları olabilir.
  • Hassas verileri asla paylaşmayın: QR kodu, giriş kimlik bilgileri, banka bilgileri veya kişisel bilgi paylaşımı için asla bir başlangıç noktası olmamalıdır. Bunun yerine resmi web sitelerini veya uygulamaları kullanın veya bilinen bir adres veya telefon numarası aracılığıyla göndericiyle iletişime geçin.
  • Akıllı telefonunuzun işletim sistemini güncel tutun: Düzenli işletim sistemi güncellemeleri, bilinen güvenlik açıklarını kapatır ve QR kod kimlik avı gibi yeni saldırı yöntemlerine karşı daha iyi koruma sağlar.

Bir saldırıdan şüpheleniyorsanız ne yapmalısınız

Sahte bir siteye yönlendirildiğinizi veya kötü amaçlı yazılım yüklendiğini düşünüyorsanız hızlı hareket edin:

  • Antivirüs taraması çalıştırın: Cihazınızdaki tehditleri kontrol etmek için güncel güvenlik yazılımı kullanın.
  • Parolaları değiştirin: Kimlik bilgilerinizin tehlikeye girdiğinden şüpheleniyorsanız – özellikle şüpheli bir siteye girildiyse – bunları derhal güncelleyin.
  • Yetkililere bildirin: Diğerlerini korumaya yardımcı olmak için şüpheli QR kodlarını veya web sitelerini polise veya tüketici koruma ajansına bildirin.

Sonuç – QR kod kimlik avını önleme

QR kod kimlik avı, kullanıcıları sahte web sitelerine yönlendirmek veya kötü amaçlı yazılım yüklemek için kötü amaçlı QR kodları kullanan karmaşık bir kimlik avı biçimidir. Bu saldırılar özellikle tehlikelidir, çünkü bunları uygulamak kolaydır ve birçok kişi QR kodlarına güvenir. Ancak dikkatli olarak, biraz arka plan bilgisi ve şüpheli istemleri sorgulama isteği ile kendinizi etkili bir şekilde koruyabilirsiniz.

QR kod kimlik avı hakkında sıkça sorulan sorular

Show content of Suçlular sahte QR kodlarını nasıl oluşturur?

Siber suçlular genellikle ücretsiz çevrimiçi araçları kullanarak QR kodlarını kendileri oluşturur. Bunları e-postalara, etiketlere, posterlere ve sahte web sitelerine yerleştirirler – çoğu zaman yetkililerden gelmiş gibi bile görünebilen meşru teklifler veya istekler olarak gizlenirler.

Show content of Kötü amaçlı bir QR kodunu nasıl tanıyabilirim?

Başta şarj istasyonlarında veya parkmetrelerde olmak üzere, meşru bir QR kodunun başka bir kodla kapatılıp kapatılmadığını kontrol edin. Park biletleri veya tanınmış şirketlerden gelen ve QR kodları içeren mektuplar konusunda dikkatli olun – bunlar dolandırıcılık olabilir. Bağlantı belirsiz veya alışılmadık derecede kısaysa ve hassas verileri talep ediyorsa, taramayın.

Show content of QR kod kimlik avı neden özellikle tehlikelidir?

Çünkü bir QR kodundaki bağlantı taranmadan önce görünmez. Önizlemeye tıklamak bile siz fark etmeden bir kötü amaçlı yazılım saldırısını tetikleyebilir. Bağlantıları otomatik olarak açan tarayıcı uygulamaları özellikle risklidir.

Aşağıdaki ilgili konuları keşfetmeye devam edin…

Close-up of an inbox with spam and phishing emails

Phishing (oltalama) Phishing (oltalama)

Two people shake hands while one person crosses their fingers behind their back

Sosyal mühendislik Sosyal mühendislik

Woman with a shocked expression on her face clutches her heart with her hand while holding a phone to her ear.

Vishing Vishing