ÜRÜN DİRİER/ QR kodları internette gezinmeden veya Google'da bir arama yapmadan hedefe erişmeyi mümkün kılıyor. Tek yapmanız gereken telefonunuzun kamerasını kare koda doğrultmak. Ancak, bu kolaylığa rağmen, cihazınızı herhangi bir kareye doğrulturken dikkatli olmalısınız.
QR kodların işlevselliği nedeniyle çok revaçta olduğunu ve bu durumun saldırganlara kapı araladığını belirten ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban'a göre, özellikleri onları aynı zamanda istismara açık hale getiriyor. Güvenilmeyen kaynaklardan gelen QR kodlarını taramanın çok ciddi güvenlik tehditlerine yol açacağını ifade eden Enginkurban, "Dolandırıcılar kolayca bir QR kodu oluşturabilir, Google veya Apple uygulama mağazalarının logosunu ekleyebilir ve bunları herhangi bir yere yapıştırabilir. Bu tür QR kodlarının taranması, cihazınızın sahte bir web sitesinden bir uygulama indirmek gibi otomatik olarak harekete geçmesini tetikleyebilir. Bu tür eylemler, siz farkında olmadan cihazınıza kötü amaçlı yazılım da bulaştırabilir" diyor. Bu kodların kimlik avı saldırılarında da kullanılabileceğini vurgulayan Enginkurban, "QRishing olarak da bilinen QR kodu taramanın sizi kimlik avına maruz bırakabileceği çeşitli yollar vardır. Örneğin, bir kodu taramak web tarayıcınızı çevrimiçi bir alışveriş sitesine veya bankaya benzeyen bir URL'ye açabilir ve e-posta adresiniz ve şifrelerinizle oturum açmanızı isteyebilir. Bu sahte web siteleri gerçek web sitelerine benzediğinden, sahtekarlığı erkenden fark etmeyebilirsiniz. Hatta bazılarının URL adresleri bir bakışta gerçek gibi görünür. Bu web sitelerine giriş bilgilerinizi girdiğinizde, veriler diğer uçtaki bir dolandırıcıya gönderilir. Dolandırıcı daha sonra bu bilgileri hesabınıza erişmek için kullanabilir" açıklamasında bulunuyor.
QR kodlarının bulunduğumuz konumu da açığa çıkarabileceğinin altını çizen Enginkurban'ın aktardıklarına göre, örneğin bir etkinliğin yerini hızlı bir şekilde öğrenmeniz gerekiyorsa QR kodunu taramak ve Google haritalarda göstermek oldukça hızlıdır. Ancak, bir QR kodunu taramak yaklaşık konumunuzu otomatik olarak belirleyebilir ve bunu üçüncü bir tarafa gönderebilir. Ayrıca kişisel bilgileriniz de ele geçirilebilir. Bir QR Kodunu taramak, telefonunuzu arama yapmak veya bir numaraya sms göndermek için tetikleyebilir. Bu, numaranızı üçüncü bir tarafla paylaşır. Zararsız gibi görünse de telefon numaranız kişisel bilgilerinizle tahmin edebileceğinizden çok daha fazla şekilde bağlantılıdır. İnternetten edinilebilecek araçlarla bir telefon numarasının sahibini tanımlamak için, tam adı, adresi, sosyal medya profili ve kamuya açık diğer bilgileri bir araya getirilebilir.
CİHAZINIZDA BAZI EYLEMLER TETİKLENEBİLİR
QR kodların cihazınızda bazı eylemleri doğrudan tetikleyebileceğine dikkat çeken Enginkurban şunları aktarıyor:
"Örneğin cihazı bir Wi-Fi ağına bağlama, önceden tanımlanmış bir metin içeren bir e-posta veya SMS mesajı gönderme veya kişi bilgilerini cihaza kaydetmek gibi eylemler standart kamera ile bile tetiklenebilir. Bu eylemler kendi başlarına kötü niyetli görünmese de cihazı güvenliği ihlal edilmiş bir ağa bağlamak veya kurban adına mesaj göndermek için kullanılabilirler. Günümüzde çoğu finansal uygulama, paranın alıcısına ait verileri içeren QR kodları aracılığıyla ödeme yapılmasına izin vermektedir. Birçok mağaza bu kodları müşterilerine gösterir ve böylece işlemi kolaylaştırır. Ancak, saldırganlar bu QR kodlarını kendi verileriyle değiştirebilir ve hesaplarına ödeme alabilir. Ayrıca, sahte ödeme yapmak dışında alıcıları aldatmak için de para toplama talepleri içeren kodlar oluşturabilir."
GÜVENLİK TEHDİTLERİNDEN NASIL KAÇILIR?
Sahte bir QR kodunu taramak gizliliğinizi ve çevrimiçi güvenliğinizi riske atabilir ancak olası güvenlik tehditlerini önlemek veya durdurmak için alabileceğiniz önlemler de vardır. Enginkurban, bu önlemleri 5 maddede sıralıyor:
• Rastgele QR kodları taramaktan kaçının
Rastgele web sitelerinden veya sosyal medyadaki resmi olmayan sayfalardan QR kodlarını taramaktan kaçınmalısınız. Hemen herkes bu kodları tararken sizin dikkatli olmanız zor olabilir. Ancak sosyal mühendislik, siber suçluların kurbanlarının hiç düşünmeden kendi güvenliklerini ihlal etmelerini sağlamanın en yaygın yollarından biridir.
• Güvenlik için cihazınıza antivirüs yükleyin
Telefonunuza bir antivirüs yazılımı yükleyin. Yanlışlıkla veya dalgınlıkla bir kimlik avı web sitesini ziyaret ettiğinizde antivirüs yazılımı sizi uyarabilir veya cihazınızın kötü amaçlı yazılım indirmesini engelleyebilir.
• Hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin
Ayrıca tüm hesaplarınızda İki Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirmelisiniz. 2FA, hesaplarınıza yetkisiz erişime karşı ekstra bir savunma katmanı ekler. Bu şekilde, üçüncü bir taraf giriş bilgilerinize sahip olsa bile güvende olursunuz.
Elbette, parolanızın başka birinde olduğundan şüpheleniyorsanız hemen değiştirin. Doğum tarihiniz gibi basit bir parola kullanmamaya dikkat ettiğinizi var sayıyoruz. Çünkü bu tür basit parolaların kırılması çok kolaydır ve siber suçlular aynı parolayı diğer çevrimiçi hesaplarınızda da deneyebilir ve 2FA etkin olmayan bir hesaba erişebilir.
• Canlı konumu kapatın
Cihazınızın konumunu açık tutmak, kayıp telefonunuzun izini sürmenize ve bir yerde olduğunuzda yapmak istedikleriniz için hatırlatıcılar ayarlamanıza yardımcı olabilir. Ancak telefonunuz bulunduğunuz yerlerin bir listesini toplar ve örneğin kötü amaçlı bir QR kodunu taradığınızda, bir bilgisayar korsanı bu konumlara erişebilir.
• Cihazlarınızı güncel tutun
QR kodunun güvenliği bir dereceye kadar sizin kontrolünüz dışındadır. Ancak cihaz güvenliğiniz ve dolayısıyla kişisel güvenliğiniz sizin kontrolünüz altındadır. Yazılım şirketleri ve donanım üreticileri, siber suçluların yararlanabileceği boşlukları gidermek için güvenlik güncellemeleri yayınlar. Cihazlarınızı en son güvenlik yamaları ile güncel tutmak, QR kodlarının taranmasıyla ilişkili olası güvenlik tehditlerinden kaçınmanıza yardımcı olabilir.
HASSAS VERİLERİ HEDEF ALIYOR
Kaspersky Güvenlik Uzmanı Fatih Şensoy da, QR kodların siber suçlular için etkili bir saldırı yüzeyi haline geldiğine işaret ederek, "Quishing olarak adlandırılan QR kod tabanlı dolandırıcılık yöntemleri, kullanıcıların fark etmeden yönlendirildiği, hassas verilerin hedef alındığı bir manipülasyon alanına dönüşmüş durumda. En yaygın senaryoların başında, QR kodlar aracılığıyla kullanıcıların sahte web sitelerine yönlendirilmesi gelmektedir. Saldırganlar, bankacılık platformları ya da popüler servislerin arayüzlerini taklit ederek kullanıcıları parola, kredi kartı bilgisi gibi kritik verileri girmeye ikna etmeye çalışır. Bununla birlikte, kamusal alanlardaki QR kodların manipüle edilmesi de önemli bir risktir; kullanıcılar farkında olmadan kötü niyetli altyapılara yönlendirilmesine neden olan ciddi bir tehdit unsurudur" diyor.
Bunun yanı sıra QR kodların, kötü amaçlı yazılım (malware) dağıtımı için de birer basamak olarak kullanıldığını belirten Şensoy, "Bazı kodlar, özellikle yetkisiz kurulumlara karşı savunmasız cihazlarda, zararlı uygulamaların indirilmesini tetikleyerek cihaz güvenliğini tamamen tehlikeye atabilir. Ödeme dolandırıcılığı ise bir diğer kritik boyuttur; indirim dönemlerini veya özel etkinlikleri fırsat bilen saldırganlar, sahte QR kodlar üzerinden kullanıcıları kendi hesaplarına para transferi yapmaya yönlendirebiliyor. Ayrıca, QR kodlar aracılığıyla cihazların otomatik olarak saldırganların kontrolündeki güvensiz Wi-Fi ağlarına bağlanması mümkündür. Bu durum, tüm iletişimin izlenmesine ve hassas verilerin ele geçirilmesine zemin hazırlar. Bu durum, saldırganların kullanıcının tüm internet trafiğini izlemesine ve hassas iletişim verilerini ele geçirmesine olanak tanıyarak iletişim güvenliğini tamamen ortadan kaldırabilir" diye konuşuyor.
QR kodların fiziksel ortamlarda kolaylıkla manipüle edilebilmesinin de önemli bir risk teşkil ettiğine işaret eden Şensoy, şu bilgileri veriyor:
"Özellikle kamusal alanlarda bulunan kodların üzerine kötü niyetli kodlar yerleştirilerek kullanıcıların farkında olmadan saldırganların kontrolündeki altyapılara yönlendirilmesi mümkün hale geliyor. Bu durum, QR kodların göründükleri kadar güvenli olmadığını açıkça ortaya koyuyor. Tüm bu risklere karşı en etkili savunma hattı bilinçli kullanım ve dijital hijyendir. QR kodlar yalnızca güvenilir ve doğrulanmış kaynaklardan taranmalı; özellikle kamusal alanlardaki kodlara karşı temkinli olunmalıdır. Kod tarandıktan sonra yönlendirilen web adresi mutlaka kontrol edilmeli ve işlem yapmadan önce ilgili bağlantının gerçekten ilgili kuruma ait olduğundan emin olunmalıdır."
BİRÇOK SALDIRI YÖNTEMLERİ VAR
Global siber güvenlik şirketi Bitdefender'ın raporları, "quishing" olarak bilinen sahte QR kod dolandırıcılıklarının her geçen gün daha fazla kurbanı tuzağa düşürdüğünü gösteriyor. Elektrikli scooter kiralama işlemlerinden restoran menülerine ve hatta sahte kargo teslimatlarına kadar uzanan bu yeni nesil saldırılar, kullanıcıların hız ve kolaylık arayışından faydalanıyor. Sahte ödeme sayfalarına yönlendiren, zararlı yazılım indiren veya hassas giriş bilgilerini çalan bu QR kodların, özellikle aciliyet hissi uyandıran senaryolarda sıklıkla kullanıldığına işaret eden Bitdefender Türkiye Distribütörü Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, "İngiltere merkezli Action Fraud verilerine göre, kurbanlar sadece bir yıl içinde QR kod dolandırıcılığı yüzünden 3,5 milyon sterlin kaybetti. Sokaklardaki elektrikli scooterların veya restoran masalarındaki orijinal kodların üzerine yapıştırılan sahte etiketler, beklenmedik şekilde kapınıza gelen kargo paketleri gibi QR yönlendirmeleri siber saldırganların son zamanlarda en çok tercih ettiği yöntemler arasında yer alıyor" diyor.
GELENEKSEL GÜVENLİK FİLTRELERİNİ ATLATABİLİYOR
QR kodların, geleneksel e-posta güvenlik filtrelerini atlatabilen ve doğrudan kullanıcıların dalgınlığından faydalanan bir yapıya sahip olduğuna da dikkat çeken Akkoyunlu, "İnsanlar genellikle tıklayacakları bir bağlantıyı kontrol etme alışkanlığına sahip olsa da QR kodları tararken aynı şüpheciliği göstermiyor. Hedefin gizli kalması, siber suçluların işini büyük ölçüde kolaylaştırıyor. Özellikle sokakta elektrikli scooter kiralarken veya bir restoranda hızlıca menüye ulaşmak isterken, orijinal kodun üzerine yapıştırılan sahte bir etiket saniyeler içinde tüm kredi kartı bilgilerinizin kopyalanmasına yol açabiliyor. Kullanıcıların tarama yapmadan önce mutlaka fiziksel bir müdahale olup olmadığını kontrol etmesi ve yönlendirildikleri bağlantının doğruluğundan emin olması gerekiyor" uyarısında bulunuyor.
ÇALIŞAN ÜZERİNDEN ŞİRKETİ TUZAĞA DÜŞÜRÜYOR
Esnek çalışma modelleri ve Kendi Cihazını Getir (BYOD) yaklaşımlarnını, siber güvenliğin sınırlarını geleneksel ofis duvarlarının çok ötesine taşıdığına işaret eden WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez de, QR oltalama saldırılarının doğrudan mobil cihazların kamerasını hedef aldığı için masaüstü sistemlerdeki geleneksel e-posta filtrelerini ve ağ güvenlik önlemlerini kolayca aşabildiğini ifade ediyor. Evmez'in aktardıklarına göre, kullanıcılar akıllı telefonlarında işlem yaparken genellikle daha hızlı hareket ediyor ve güvenlik uyarılarına daha az dikkat ediyor. Şirketlerin bu tehdide karşı atması gereken ilk stratejik adımın, Sıfır Güven mimarisini eksiksiz bir şekilde kurgulamak olduğuna değinen Evmez, "Kurumsal veriyi izole etmek adına, mobil cihaz yönetim çözümleri ve gelişmiş uç nokta koruma sistemleri birbiriyle entegre çalışmalıdır. Cihazlara kurumsal ve kişisel alanları ayıran iş profilleri yüklenmeli, şirket ağına veya bulut uygulamalarına erişimlerde mutlaka donanım tabanlı veya güvenli Çok Faktörlü Kimlik Doğrulama kullanılmalıdır" diyor.
Fiziksel ve dijitalin birleştiği noktalarda, örneğin sokaktaki bir afişte veya restorandaki bir broşürde bulunan QR kodu okutmadan önce saniyeler içinde "bu bağlantı güvenilir mi?" sorusunu sorabilme alışkanlığının şart olduğuna da değinen Evmez, şunları aktarıyor:
"Çalışanlar hızlıca bir Wi-Fi ağına bağlanmak, kargo takibi yapmak veya bir restoran menüsüne ulaşmak için kendi mobil cihazlarındaki kamerayı kullandıklarında, şirket ağını doğrudan riske atıyor. Bu saniyeler süren dikkatsizlik, sahte giriş sayfaları aracılığıyla kritik kimlik bilgilerinin çalınması, cihaza sessizce arka planda çalışan zararlı bir yazılım indirilmesi veya cihazın saldırganlar tarafından kontrol edilen sahte bir ağa yönlendirilmesi gibi çok ciddi ihlalleri tetikliyor. Mobil cihaz ele geçirildiği anda, saldırganlar VPN veya bulut uygulamaları üzerinden şirket ağına meşru bir kullanıcıymış gibi sızma fırsatı yakalıyor. Sonrasında bu yetkisiz erişim, fidye yazılımı saldırılarına veya geniş çaplı veri sızıntılarına dönüşebiliyor. Özetle QR kodlar, fiziksel dünya ile dijital kurumsal altyapılar arasında siber suçlulara son derece cazip ve görünmez bir arka kapı açıyor."
Ramazan ÇELİK / Barikat Siber Güvenlik CEO'su
"Kurumlar için ciddi bir ilk erişim vektörüne dönüşebiliyor"
Quishing, yani QR kod üzerinden gerçekleştirilen qhishing saldırıları, son dönemde hızla yaygınlaşan ve klasik oltalama yöntemlerinin evrimleşmiş bir formu olarak karşımıza çıkıyor. Biz Barikat olarak bu saldırıları yalnızca teknik bir tehdit olarak değil, insan davranışını hedef alan bir siber güvenlik riski olarak değerlendiriyoruz. Kullanıcılar QR kodları çoğunlukla güvenli ve pratik bir araç olarak görüyor; ancak tam da bu güven algısı, saldırganların en büyük avantajı haline geliyor. Kullanıcı linki görmeden işlem yaptığı için, farkında olmadan sahte bir dijital ortama yönlendirilmiş oluyor. Sahada en sık karşılaştığımız senaryolar; restoran menülerinden otopark ödeme noktalarına, kargo bildirimlerinden kamusal alanlardaki Wi-Fi erişimlerine kadar uzanıyor. Saldırganlar çoğu zaman mevcut bir QR kodun üzerine sahte bir kod yerleştirerek ya da kullanıcıya kurumsal görünümlü bir QR göndererek süreci başlatıyor. Kullanıcı sahte bir sayfaya yönlendirildiğinde ise kredi kartı bilgileri, kimlik bilgileri ya da kurumsal erişim bilgileri kolaylıkla ele geçirilebiliyor. Bu noktada quishing, sadece bireysel mağduriyetlere değil, kurumlar için de ciddi bir ilk erişim vektörüne dönüşebiliyor. Quishing gibi saldırılar, doğrudan sosyal mühendislik temelli olduğu için; kullanıcı farkındalığı, e-mail ve içerik güvenliği, mobil güvenlik, web ve DNS güvenliği, kimlik ve erişim güvenliği, izleme ve SOC operasyonları, simülasyon/test süreçleri ve politika ile süreç yönetimi birlikte ele alınmadığında kalıcı bir çözüm üretmek mümkün değildir. Bu nedenle kurumlara yalnızca güvenlik ürünleri değil; aynı zamanda çalışan farkındalığını artıran eğitimler, QR qhishing simülasyonları, mobil tehditlere karşı koruma sağlayan katmanlar, kimlik odaklı kontroller ve sürekli izleme yetkinliklerini içeren bütüncül bir güvenlik mimarisi öneriyoruz. Sonuç olarak quishing, siber güvenliğin sınırlarının artık yalnızca sistemlerle değil, kullanıcı davranışlarıyla da çizildiğini gösteren önemli bir örnek.
ALINABİLECEK 5 ETKİLİ ÖNLEM!
Bitdefender Türkiye Distribütörü Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, sahte QR kodlarına ve "quishing" saldırılarına karşı kullanıcıların alması gereken 5 önlemi şöyle sıralıyor:
1. QR kodun fiziksel bütünlüğünü kontrol edin. Elektrikli scooterlar, restoran menüleri veya sokak afişlerindeki QR kodları taramadan önce dikkatlice inceleyin. Orijinal kodun üzerine sonradan yapıştırılmış bir etiket veya hizalama bozukluğu fark ederseniz o kodu taramaktan kesinlikle kaçının.
2. Yönlendirilen bağlantı (URL) adresini dikkatlice inceleyin. Kameranız QR kodu taradığında ekranda beliren bağlantı adresini hemen onaylamayın. Bağlantının beklediğiniz kuruma ait resmi bir adres olduğundan emin olun. Kısaltılmış veya şüpheli uzantılara sahip adresler oltalama tuzaklarının en net göstergesidir.
3. Kişisel bilgilerinizi veya ödeme detaylarınızı girerken şüpheci olun. Sadece bir menü görmek veya basit bir işlem yapmak için taradığınız bir kod sizden anında ödeme bilgisi veya şifre talep ediyorsa işlemi derhal durdurun. Güvenli işlemler için doğrudan kurumun kendi uygulamasını veya resmi web sitesini kullanmayı tercih edin.
4. Beklenmedik kargolardaki ve e-postalardaki kodlara karşı dikkatli olun. Sipariş vermediğiniz halde size ulaşan bir paketin içindeki veya aniden e-postanıza düşen hesap doğrulama temalı mesajlardaki QR kodları taramayın. İşlem yapmanız gerekiyorsa ilgili kurumun internet sitesine tarayıcınız üzerinden manuel olarak giriş yapın.
5. Güçlü bir dijital güvenlik ve doğrulama aracı kullanın. Şüpheli durumlarda kodu doğrudan taramak yerine güvenilir kaynaklardan ikinci bir görüş alın. Yapay zeka destekli dolandırıcılık tespit servislerini kullanarak ekran görüntülerini kontrol edebilirsiniz.
QR kodu nedir?
'Hızlı Yanıt'ın (quick response) kısaltması olan QR kodu, adından da anlaşılacağı gibi, dijital bir cihaz tarafından anında okunmak ve yorumlanmak üzere tasarlanmış, cep telefonu ile taranabilen bir barkod türüdür. Bir QR kodu 4.296 alfa sayısal karaktere kadar veri saklayabilir ancak yaygın olarak kullanılanlar daha az karakter içerir ve bu nedenle bir akıllı telefonun kamerası tarafından kolayca okunabilir. QR kodu içinde kodlanmış metin dizeleri çeşitli veriler içerebilir. Bir QR kodu okutarak istenen eylem, söz konusu kodla etkileşime giren uygulamaya bağlıdır. Kodlar, diğer birçok işlemin yanı sıra bir web sitesini açmak, bir dosya indirmek, bir kişi eklemek, bir Wi-Fi ağına bağlanmak ve hatta ödeme yapmak için kullanılabilir. QR kodları çok yönlüdür ve logoları içerecek şekilde özelleştirilebilir. QR kodlarının dinamik sürümleri, içeriği veya eylemi istediğiniz zaman değiştirmenize bile izin verir. Fakat bu çok yönlülük bazen tehlikeli olabilir.
