QR Kod Dolandırıcılığı (Quishing) Nedir? Nasıl Korunursunuz?

QR kodlar hayatımızı kolaylaştırdıkça, dolandırıcıların da ilgisini çekti. Son yıllarda hızla yayılan quishing (QR kod ile oltalama), sahte kodlar üzerinden kişisel ve finansal bilgileri çalmayı hedefliyor. İyi haber: birkaç basit alışkanlıkla bu tuzaklardan korunmak mümkün. Bu rehberde quishing'in nasıl çalıştığını ve hem bireyler hem işletmeler için korunma yollarını anlatıyoruz.

Quishing nedir?

Quishing, İngilizce "QR" ve "phishing" (oltalama) kelimelerinin birleşiminden gelir. Klasik oltalamada dolandırıcı sahte bir bağlantıyı e-posta veya SMS ile gönderir; quishing'de ise aynı sahte bağlantı bir QR kodun içine saklanır. Kullanıcı kodu masum sanıp okuttuğunda, gerçeğine çok benzeyen sahte bir siteye yönlendirilir. Burada girilen kullanıcı adı, şifre veya kart bilgisi doğrudan dolandırıcıya gider.

QR kodun tehlikeli yanı, içeriğinin çıplak gözle görünmemesidir. Bir bağlantıya bakıp "bu şüpheli" diyebilirsiniz; ama bir QR kodun nereye gittiğini taramadan anlayamazsınız. Dolandırıcılar tam da bu görünmezlikten faydalanır.

Dolandırıcılar nasıl çalışır?

Tipik bir quishing saldırısı şöyle ilerler:

1. Sahte kod hazırlanır: Dolandırıcı, gerçeğine benzeyen sahte bir ödeme/giriş sayfası kurar ve adresini bir QR koda gömer.
2. Kod yerleştirilir: Bu kod, gerçek bir kodun üzerine etiketle yapıştırılır (otopark ödeme makinesi, restoran masası, afiş) ya da sahte e-posta/SMS ile gönderilir.
3. Kurban okutur: Kullanıcı kodu okutur ve sahte siteye gider.
4. Bilgi çalınır: Sayfa, giriş bilgisi veya kart numarası ister; girilen veriler dolandırıcıya ulaşır.

Sık karşılaşılan senaryolar

• Sahte park/ceza ödemesi: Otopark makinesine veya araç camına yapıştırılan kod, sahte ödeme sayfasına götürür.
• Restoran menüsü taklidi: Masadaki gerçek menü QR kodunun üzerine sahte etiket yapıştırılır.
• Sahte kargo/teslimat bildirimi: "Paketiniz bekliyor, okutun" diyen SMS veya kâğıt.
• Banka/kurum taklidi: "Hesabınızı doğrulayın" temalı sahte kodlar.
• Ücretsiz WiFi tuzağı: Sahte bir WiFi QR kodu ile kötü amaçlı ağa yönlendirme.

7 adımda korunma

1. Açılan adresi kontrol edin. Çoğu telefon, taramadan sonra hedef URL'yi önizler. Beklenmedik veya tuhaf bir alan adı görürseniz açmayın.
2. Üzerine yapıştırılmış etiketlere dikkat edin. Kodun üstünde sökülebilir bir sticker varsa şüphelenin; altında gerçek kod olabilir.
3. Acele ettiren mesajlara güvenmeyin. "Hemen ödeyin, hesabınız kapanacak" gibi baskı, klasik dolandırıcılık taktiğidir.
4. Hassas bilgi isteyen sayfalara bilgi girmeyin. QR'dan açılan bir sayfa şifre veya kart bilgisi istiyorsa durun ve doğrulayın.
5. Resmi kanalı kullanın. Banka/kurum işlemlerini QR yerine resmî uygulama veya doğrudan adresten yapın.
6. Ekstra "QR tarayıcı" uygulamalarından kaçının. Telefonun yerleşik kamerası yeterlidir; gereksiz uygulamalar risk ekler. (Bkz. QR kod nasıl okutulur.)
7. Cihazınızı güncel tutun. Güncel tarayıcı ve işletim sistemi, sahte sitelere karşı uyarı verir.

İşletmeler ne yapmalı?

Müşterilerine QR kod sunan işletmeler, hem müşterilerini hem itibarlarını korumak için önlem almalı:

• Kodları düzenli kontrol edin. Masa, afiş ve ödeme noktalarındaki kodların üzerine sahte etiket yapıştırılmadığından emin olun.
• Kurcalamaya dayanıklı baskı kullanın. Kolay sökülüp değiştirilemeyecek malzeme tercih edin.
• Markalı, tanıdık kodlar kullanın. Logolu QR kodlar müşterinin gerçek/sahte ayrımını kolaylaştırır.
• Dinamik QR ile izleyin. Hedefi yönetilebilen ve tarama davranışını gösteren dinamik QR kodlar (QRbug), bir sorun olduğunda hızlı müdahale imkânı verir.

Sık sorulan sorular