📌KVK Kurul’unun yayınladığı 26 Şubat 2025 tarihli güncel doküman, yeni bir siber tehdite işaret ediyor.
Bkz; https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5OWVmNzMzOWE4YWM.pdf
Quishing, klasik oltalama yöntemlerinin QR kod teknolojisiyle birleşmiş hâli olarak özetlenebilir. Bu tür bir siber saldırı yönteminde, sahte olarak üretilmiş veya sonradan değiştirilerek elde edilmiş sahte bir karekod kullanılarak kişiler, kötü amaçlı internet sitelerine yönlendirilir, kişisel veri paylaşması sağlanır veya zararlı yazılım indirmeleri istenir. Böylece saldırganlar, karekodları araç olarak kullanıp kişileri oltalama yöntemi ile kandırarak hedeflerine ulaşmış olurlar.
QR kod kullanımının ağırlıklı olarak mobil cihazlar aracılığıyla gerçekleştirilmesi ve mobil cihazların bireylerin günlük yaşamlarının ayrılmaz bir parçası hâline gelmesi, QR kodların erişilebilirliğini ve kullanım sıklığını artırmıştır.
Bununla birlikte, QR kodlar aracılığıyla yönlendirilen içerikler kişisel verilerin güvenliği ve gizliliği bakımından risk doğurabilmektedir. Bireyler fiziksel veya dijital ortamda karşılaştıkları QR kodları taradıklarında, farkında olmadan oltalama saldırılarının hedefi hâline gelebilmektedir.
Bu tarz saldırılardan korunabilmek için, dokümanda çeşitli tavsiyeler sunulmuştur.
Eğer, ilgili karekod bir fiziki ortamda basılı halde ise (örneğin afiş, broşür, restoran menüsü.. vb.) Şu durumlar şüphe göstergesi olabilir:
- QR kodun sonradan yapıştırılmış izlenimi vermesi
- Üst üste birden fazla yapıştırılmış karekod olması
- Bulunduğu yüzeyle tasarım uyumsuzluğu.
Eğer, ilgili karekod dijital bir ortamda konumlanmış (örneğin; e-posta içeriği, web sitesi, sosyal medya iletileri.. vb.) Şu durumlar şüphe göstergesi olabilir:
- Bilinmeyen veya beklenmeyen göndericilerden gelen QR kodlar
- Talep edilmemiş şekilde gönderilen QR kodlar
- Hesap güvenliği, şüpheli işlem veya teslimat problemi gibi gerekçelerle aciliyet duygusu oluşturulması
- Panik veya merak uyandıran mesaj içerikleri
- Göndereni açık şekilde tanımlamayan iletiler
- Meşru bir kurumla ilişkilendirilmesi güç olan mesajlar
Her iki ihtimalde de, QR kodun taranmasının ardından, kullanıcının kimlik doğrulama bilgileri veya kredi kartı bilgileri gibi kişisel verilerinin talep edilmesi risk göstergesi olarak değerlendirilmektedir. Ayrıca açılan internet sayfasının, temsil ettiği iddia edilen kurumla uyuşmayan bir alan adına sahip olması ya da yetkili kurumla ilişkisi doğrulanamayan ödeme sayfalarına yönlendirme yapılması da şüphe uyandırmalıdır. Tarama sonrasında beklenmeyen dosya indirme işlemlerinin başlaması, ek yönlendirmeler yapılması veya ilave kullanıcı etkileşimlerinin ortaya çıkması da quishing saldırısına işaret edebilecek durumlar arasında yer almaktadır.
Özetle, QR kodları taramadan önce, özellikle kamuya açık alanlarda bulunan kodların fiziksel bütünlüğü kontrol edilmeli; sonradan yapıştırılmış, hizasız veya şüpheli görünen kodlar taranmamalıdır. QR kodun kaynağı doğrulanmalı; tanınmayan ya da beklenmeyen e-posta ve mesajlar aracılığıyla iletilen kodlardan kaçınılmalıdır. Aciliyet, panik veya merak duygusu oluşturacak şekilde kurgulanmış iletilere karşı temkinli davranılmalıdır.
Tarama sonrasında yönlendirilen bağlantının alan adı dikkatle incelenmeli; yazım hataları, alışılmadık uzantılar veya tutarsızlıklar kontrol edilmelidir. Kişisel bilgi talep edilmesi hâlinde internet sitesinin doğruluğundan emin olunmalı, mümkünse ilgili adres manuel olarak tarayıcıya yazılmalıdır. Ayrıca cihaz güvenliği için işletim sistemi güncel tutulmalı, güçlü parolalar kullanılmalı ve mümkün olan durumlarda çok faktörlü kimlik doğrulama tercih edilmelidir.
Sonuç olarak, QR kodlar pratik ve yaygın kullanılan araçlar olmakla birlikte, kötüye kullanıldıklarında kişisel veriler açısından ciddi riskler doğurabilmektedir. Fiziksel ya da dijital ortamda karşılaşılan QR kodlara karşı dikkatli ve temkinli davranmak; tarama öncesinde kaynağı ve fiziksel bütünlüğü kontrol etmek, tarama sonrasında ise yönlendirilen bağlantıyı ve talep edilen bilgileri sorgulamak önem taşımaktadır. Dokümanda da vurgulandığı üzere, farkındalıkla hareket edilmesi ve temel güvenlik önlemlerinin uygulanması, quishing saldırılarına karşı en etkili korunma yöntemini oluşturmaktadır.