MA | Gazette

QR Kodlar Üzerinden Gerçekleştirilen Oltalama Saldırılarına (Quishing) İlişkin Bilgilendirme Dokümanı Yayımlandı

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayımlanan “QR Kodlarla Gelen Risk: Quishing” başlıklı bilgilendirme dokümanında; QR kodlar aracılığıyla gerçekleştirilen bir oltalama saldırısı türü olan quishing’in ne olduğu, nasıl gerçekleştirildiği, nasıl tespit edilebileceği ve bu saldırılara karşı bireylerin dikkat etmesi gereken hususlar ele alınmaktadır.

QR Kod Teknolojisi ve Risk Alanı

QR (Quick Response) kodların; internet sitesi bağlantıları, ödeme sistemleri, menü ve katalog erişimi, kimlik doğrulama işlemleri ve kampanya katılım süreçleri gibi birçok alanda kullanıldığı ifade edilmektedir.

Bununla birlikte, QR kodların görsel olarak yalnızca karekod formunda sunulması ve içerdiği bağlantının kullanıcı tarafından tarama öncesinde doğrudan görülememesi nedeniyle, kötü niyetli kişiler tarafından manipülasyona elverişli bir araç hâline gelebildiği vurgulanmaktadır. QR kodlar, yönlendirdikleri içeriğin sonradan değiştirilebilme durumuna bağlı olarak “statik” ve “dinamik” olmak üzere ikiye ayrılmaktadır. Dinamik QR kodlar, kodun görsel yapısı değişmeksizin hedef içeriğin güncellenebilmesine olanak tanımakta; bu esneklik, siber tehdit aktörleri tarafından kodun görünümünde herhangi bir değişiklik yapılmaksızın yönlendirilen kaynağın kötü amaçlı bir hedefe dönüştürülmesi için kötüye kullanılabilmektedir.

Bu kapsamda, saldırganların:

  • Mevcut bir QR kodun üzerine sahte bir QR etiketi yapıştırması,
  • Elektronik posta veya kısa mesaj yoluyla sahte QR kod iletmesi,
  • Sosyal medya platformları veya çevrim içi ilanlar aracılığıyla QR kod paylaşması,
  • Kurumsal görünümlü afiş ve bilgilendirme materyalleri hazırlaması

suretiyle kullanıcıları zararlı bağlantılara yönlendirebildiği belirtilmektedir.

Quishing Yöntemi ve İşleyişi

“QR” ve “oltalama” (phishing) kelimelerinin birleşiminden oluşan “quishing”; siber tehdit aktörlerinin sahte veya sonradan değiştirilmiş QR kodları kullanarak bireyleri kötü amaçlı internet sitelerine yönlendirmesi, kişisel verilerini paylaşmaya ikna etmesi ya da cihazlarına zararlı yazılım yüklemelerine neden olması şeklinde gerçekleştirilen bir oltalama yöntemi olarak tanımlanmaktadır. Bu yöntem kapsamında:

  • Kullanıcı, güvenilir bir kuruma ait olduğunu düşündüğü QR kodu taramakta,
  • Cihaz, kullanıcıyı gerçeğe oldukça benzer şekilde tasarlanmış sahte bir internet sitesine yönlendirmekte,
  • Kullanıcıdan kimlik bilgileri, iletişim bilgileri, finansal veriler, parola veya doğrulama kodları talep edilmekte,
  • Girilen bilgiler saldırganlar tarafından kaydedilerek kötüye kullanılmaktadır.

Ayrıca bazı vakalarda, QR kod aracılığıyla zararlı yazılım indirilmesinin sağlanabildiği; bu suretle cihazın ele geçirilmesi, veri sızıntısı yaşanması veya kurumsal ağlara yetkisiz erişim sağlanması gibi sonuçların ortaya çıkabileceği belirtilmektedir. Özellikle QR kodların e-posta yoluyla görsel biçimde iletilmesi, kötü amaçlı bağlantıların e-posta güvenlik sistemleri tarafından tespitini de zorlaştırmaktadır.

Quishing Saldırılarının Tespiti

Doküman, tespit göstergelerini üç kategoride ele almaktadır:

  • Fiziksel ortam göstergeleri: QR kodun basılı yüzeyde sonradan eklenmiş izlenimi vermesi, üst üste yapıştırılmış olması veya bulunduğu yüzeyin doku ve tasarımıyla uyumsuz görünmesi; kaynağı belirtilmeyen olağandışı ödeme, indirim veya kampanya tekliflerine yönlendirme yapılması.
  • Dijital iletişim kanalı göstergeleri: Bilinmeyen veya beklenmeyen göndericilerden talep edilmeksizin QR kod iletilmesi; hesap güvenliği, şüpheli işlem veya teslimat sorunu gibi gerekçelerle aciliyet ya da panik duygusu yaratılarak kod taratılmaya çalışılması; göndereni açıkça tanımlamayan iletiler aracılığıyla QR kod paylaşılması.
  • QR kodun taranması sonrasında ortaya çıkabilecek durumlar: Kimlik doğrulama veya finansal bilgi girişi talep eden sayfalara yönlendirilmesi; açılan sayfanın temsil ettiği iddia edilen kurumla uyuşmayan bir alan adı taşıması; beklenmeyen dosya indirme işlemleri veya ek yönlendirmelerin ortaya çıkması.

Bireyler İçin Öngörülen Koruyucu Tedbirler

Kurum tarafından bireylerin alması tavsiye edilen başlıca önlemler şu şekilde sıralanmaktadır:

  • Kamuya açık alanlardaki QR kodlara karşı dikkatli olunması,
  • Kaynağı doğrulanamayan QR kodların taranmaması,
  • Fiziksel ortamlarda yer alan QR kodların sonradan yapıştırılmış olup olmadığının kontrol edilmesi,
  • Güvenilir QR kod okuyucularının tercih edilmesi; üçüncü taraf uygulama kullanılması gerekiyorsa uygulamanın güvenilir olduğundan emin olunması,
  • QR kod tarandıktan sonra yönlendirilen internet adresinin dikkatle incelenmesi,
  • Mobil cihazlarda güncel işletim sistemi ve güvenlik yazılımlarının kullanılması, güçlü parolalar belirlenmesi ve çok faktörlü kimlik doğrulama mekanizmalarının etkinleştirilmesi,

Söz konusu bilgilendirme dokümanı ile, QR kodlar pratik bir araç olmakla birlikte kötüye kullanıldıklarında kişisel veriler bakımından ciddi riskler doğurabileceği açıklanmakta; farkındalıkla hareket etmek ise olası tehditlere karşı en güçlü koruma özelliği olarak vurgulanmaktadır.

Dokümanın tam metnine bu bağlantıdan ulaşabilirsiniz.

Author

Ayşegül Dağhan

Avukat

Cansu Özgüven, LL.M.

Kıdemli Avukat

Abone Ol

Kişisel verilerinizin işlenmesine ilişkin detayların yer aldığı Aydınlatma Metni kapsamında, Moroğlu Arseven tarafından düzenlenen/katılım sağlanan etkinlik, konferans, seminer ve toplantılara ilişkin davet ve bilgilendirmelerin gönderilmesi için açık rızamı veriyorum.

Bize Ulaşın

Bizimle iletişim bilgilerimiz aracılığıyla iletişime geçebilir veya aşağıdaki formu doldurabilirsiniz.

Privacy Notice
Approve