İçereği Atla

QR Phishing (quishing) Nedir?

QR Phishing (Quishing), saldırganların zararlı bağlantıları QR kod içine gizleyerek kullanıcıları sahte web sitelerine yönlendirdiği bir oltalama yöntemidir. Kullanıcı kodu taradığında, gerçek bir kurum sayfası sandığı sahte bir ekranda giriş bilgilerini ya da ödeme verilerini paylaşabilir. QR kodların yaygınlaşmasıyla birlikte bu yöntem son yıllarda giderek daha sık görülmektedir.
3 Temmuz 2026 yazan
QR Phishing (quishing) Nedir?
Edasu SEMETAY
 

QR Phishing (Quishing) Nedir?

Dijital dönüşümle birlikte QR kodlar; ödeme sistemlerinden restoran menülerine, kargo takibinden kurumsal doğrulama süreçlerine kadar hayatın birçok alanında kullanılmaya başlandı. Ancak bu yaygın kullanım, siber suçlular için yeni bir saldırı yüzeyi oluşturdu. QR Phishing (Quishing), geleneksel oltalama (phishing) saldırılarının QR kodlar üzerinden gerçekleştirilen versiyonudur.

Bu yöntemde saldırganlar, kullanıcıyı zararlı veya sahte bir web sitesine yönlendiren QR kodlar üretir. Kullanıcı kodu taradığında çoğu zaman farkında olmadan kimlik bilgilerini, banka verilerini veya kurumsal giriş bilgilerini saldırgana teslim eder.

Quishing Saldırıları Nasıl Çalışır?

Quishing saldırıları genellikle şu aşamalardan oluşur:

1. Sahte İçerik Hazırlama

Saldırgan, banka giriş ekranı, Microsoft 365 oturum sayfası veya kargo takip paneli gibi güvenilir görünen bir sahte site oluşturur.

2. QR Kod Üretimi

Hazırlanan sahte site linki bir QR koda dönüştürülür. QR kod, linki gizlediği için kullanıcı ilk bakışta URL’yi göremez.

3. Dağıtım Yöntemleri

QR kodlar genellikle şu kanallar üzerinden yayılır:

  • E-posta ekleri veya görseller
  • Sahte kargo bildirimleri
  • Fatura / ödeme uyarıları
  • Sosyal medya paylaşımları
  • Fiziksel afiş ve sticker’lar (özellikle otopark ödeme alanlarında)
  • Kurumsal sistem güncelleme mesajları

4. Veri Toplama

Kullanıcı sahte sayfada giriş bilgilerini, kredi kartı verilerini veya doğrulama kodlarını girdiğinde bilgiler doğrudan saldırganın kontrolündeki sunucuya iletilir.

Quishing Neden Geleneksel Phishing’den Daha Tehlikeli?

1. URL Gizliliği

Klasik phishing e-postalarında kullanıcı linki görebilir. Ancak QR kodda link gizlidir ve ancak tarandıktan sonra ortaya çıkar.

2. Güvenlik Filtrelerini Atlama

Birçok e-posta güvenlik sistemi zararlı URL’leri filtreleyebilir. Ancak QR kod bir görsel olarak iletildiğinde filtrelerden kaçabilir.

3. Mobil Odaklı Saldırı

QR kodlar genellikle mobil cihazlarla taranır. Mobil cihazlarda URL kontrolü daha az dikkatli yapılır.

4. MFA (Çok Faktörlü Kimlik Doğrulama) Atlatma

Bazı saldırılarda kullanıcıdan QR üzerinden kurumsal hesap doğrulaması istenir ve oturum bilgileri ele geçirilir.

Quishing Türleri

• Kurumsal Hesap Ele Geçirme

Microsoft 365, Google Workspace gibi platformların sahte giriş sayfaları hazırlanır.

• Banka ve Finans Saldırıları

Sahte ödeme onayı veya hesap güvenlik güncellemesi teması kullanılır.

• Kripto Para Dolandırıcılığı

Sahte cüzdan doğrulama veya airdrop kampanyası bahanesiyle QR kod paylaşılır.

• Fiziksel Ortam Quishing

Restoran masalarına veya parkmetrelere sahte QR sticker yapıştırılarak kullanıcılar zararlı sitelere yönlendirilir.

Gerçek Dünyada Quishing Vakaları

Son yıllarda özellikle Microsoft hesaplarını hedef alan QR tabanlı oltalama kampanyaları artış göstermiştir. Saldırganlar, “Şifreniz sıfırlanacak”, “Hesabınız askıya alındı” gibi panik oluşturucu mesajlarla kullanıcıları QR kodu taramaya zorlamaktadır.

Kurumsal ortamlarda ise saldırganlar, çalışanlara “VPN güncellemesi” veya “Güvenlik doğrulaması” temalı QR kodlu e-postalar göndererek şirket ağına erişim sağlamaya çalışmaktadır.

Quishing’den Korunma Yöntemleri

Bireysel Kullanıcılar İçin:

  • Tanımadığınız kaynaklardan gelen QR kodları taramayın.
  • QR kod taradıktan sonra açılan URL’yi mutlaka kontrol edin.
  • Banka işlemlerini yalnızca resmi mobil uygulama üzerinden yapın.
  • Tarayıcıda alan adı yazım hatalarına dikkat edin.
  • Mobil güvenlik yazılımı kullanın.

Kurumlar İçin:

  • Çalışanlara QR phishing farkındalık eğitimi verin.
  • E-posta güvenlik çözümlerinde QR kod analiz sistemleri kullanın.
  • Zero Trust güvenlik mimarisi uygulayın.
  • MFA kullanın ancak phishing-resistant MFA çözümleri tercih edin (FIDO2 gibi).

Quishing ve Sosyal Mühendislik

Quishing yalnızca teknik bir saldırı değildir; aynı zamanda güçlü bir sosyal mühendislik yöntemidir. Kullanıcıda:

  • Aciliyet hissi
  • Korku
  • Fırsat algısı
  • Resmi kurum güveni

oluşturularak hızlı hareket etmesi sağlanır. Kullanıcı düşünmeden QR kodu tarar ve saldırı başarılı olur.

Gelecekte Quishing Tehdidi

QR kod kullanımının artması, temassız ödeme sistemlerinin yaygınlaşması ve mobil kimlik doğrulama süreçlerinin dijitalleşmesi nedeniyle quishing saldırılarının artması beklenmektedir. Özellikle yapay zekâ ile hazırlanan daha gerçekçi sahte siteler bu tehdidi büyütebilir.

Sonuç

QR Phishing (Quishing), klasik oltalama saldırılarının modern ve mobil versiyonudur. Görsel tabanlı olması ve URL’yi gizlemesi nedeniyle tespiti daha zordur. Hem bireysel kullanıcıların hem de kurumların bu yeni nesil tehdide karşı bilinçli olması gerekir.

QR Phishing (quishing) Nedir?
Edasu SEMETAY 3 Temmuz 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment