QR Phishing (Quishing) Nedir?
Dijital dönüşümle birlikte QR kodlar; ödeme sistemlerinden restoran menülerine, kargo takibinden kurumsal doğrulama süreçlerine kadar hayatın birçok alanında kullanılmaya başlandı. Ancak bu yaygın kullanım, siber suçlular için yeni bir saldırı yüzeyi oluşturdu. QR Phishing (Quishing), geleneksel oltalama (phishing) saldırılarının QR kodlar üzerinden gerçekleştirilen versiyonudur.
Bu yöntemde saldırganlar, kullanıcıyı zararlı veya sahte bir web sitesine yönlendiren QR kodlar üretir. Kullanıcı kodu taradığında çoğu zaman farkında olmadan kimlik bilgilerini, banka verilerini veya kurumsal giriş bilgilerini saldırgana teslim eder.
Quishing Saldırıları Nasıl Çalışır?
Quishing saldırıları genellikle şu aşamalardan oluşur:
1. Sahte İçerik Hazırlama
Saldırgan, banka giriş ekranı, Microsoft 365 oturum sayfası veya kargo takip paneli gibi güvenilir görünen bir sahte site oluşturur.
2. QR Kod Üretimi
Hazırlanan sahte site linki bir QR koda dönüştürülür. QR kod, linki gizlediği için kullanıcı ilk bakışta URL’yi göremez.
3. Dağıtım Yöntemleri
QR kodlar genellikle şu kanallar üzerinden yayılır:
- E-posta ekleri veya görseller
- Sahte kargo bildirimleri
- Fatura / ödeme uyarıları
- Sosyal medya paylaşımları
- Fiziksel afiş ve sticker’lar (özellikle otopark ödeme alanlarında)
- Kurumsal sistem güncelleme mesajları
4. Veri Toplama
Kullanıcı sahte sayfada giriş bilgilerini, kredi kartı verilerini veya doğrulama kodlarını girdiğinde bilgiler doğrudan saldırganın kontrolündeki sunucuya iletilir.
Quishing Neden Geleneksel Phishing’den Daha Tehlikeli?
1. URL Gizliliği
Klasik phishing e-postalarında kullanıcı linki görebilir. Ancak QR kodda link gizlidir ve ancak tarandıktan sonra ortaya çıkar.
2. Güvenlik Filtrelerini Atlama
Birçok e-posta güvenlik sistemi zararlı URL’leri filtreleyebilir. Ancak QR kod bir görsel olarak iletildiğinde filtrelerden kaçabilir.
3. Mobil Odaklı Saldırı
QR kodlar genellikle mobil cihazlarla taranır. Mobil cihazlarda URL kontrolü daha az dikkatli yapılır.
4. MFA (Çok Faktörlü Kimlik Doğrulama) Atlatma
Bazı saldırılarda kullanıcıdan QR üzerinden kurumsal hesap doğrulaması istenir ve oturum bilgileri ele geçirilir.
Quishing Türleri
• Kurumsal Hesap Ele Geçirme
Microsoft 365, Google Workspace gibi platformların sahte giriş sayfaları hazırlanır.
• Banka ve Finans Saldırıları
Sahte ödeme onayı veya hesap güvenlik güncellemesi teması kullanılır.
• Kripto Para Dolandırıcılığı
Sahte cüzdan doğrulama veya airdrop kampanyası bahanesiyle QR kod paylaşılır.
• Fiziksel Ortam Quishing
Restoran masalarına veya parkmetrelere sahte QR sticker yapıştırılarak kullanıcılar zararlı sitelere yönlendirilir.
Gerçek Dünyada Quishing Vakaları
Son yıllarda özellikle Microsoft hesaplarını hedef alan QR tabanlı oltalama kampanyaları artış göstermiştir. Saldırganlar, “Şifreniz sıfırlanacak”, “Hesabınız askıya alındı” gibi panik oluşturucu mesajlarla kullanıcıları QR kodu taramaya zorlamaktadır.
Kurumsal ortamlarda ise saldırganlar, çalışanlara “VPN güncellemesi” veya “Güvenlik doğrulaması” temalı QR kodlu e-postalar göndererek şirket ağına erişim sağlamaya çalışmaktadır.
Quishing’den Korunma Yöntemleri
Bireysel Kullanıcılar İçin:
- Tanımadığınız kaynaklardan gelen QR kodları taramayın.
- QR kod taradıktan sonra açılan URL’yi mutlaka kontrol edin.
- Banka işlemlerini yalnızca resmi mobil uygulama üzerinden yapın.
- Tarayıcıda alan adı yazım hatalarına dikkat edin.
- Mobil güvenlik yazılımı kullanın.
Kurumlar İçin:
- Çalışanlara QR phishing farkındalık eğitimi verin.
- E-posta güvenlik çözümlerinde QR kod analiz sistemleri kullanın.
- Zero Trust güvenlik mimarisi uygulayın.
- MFA kullanın ancak phishing-resistant MFA çözümleri tercih edin (FIDO2 gibi).
Quishing ve Sosyal Mühendislik
Quishing yalnızca teknik bir saldırı değildir; aynı zamanda güçlü bir sosyal mühendislik yöntemidir. Kullanıcıda:
- Aciliyet hissi
- Korku
- Fırsat algısı
- Resmi kurum güveni
oluşturularak hızlı hareket etmesi sağlanır. Kullanıcı düşünmeden QR kodu tarar ve saldırı başarılı olur.
Gelecekte Quishing Tehdidi
QR kod kullanımının artması, temassız ödeme sistemlerinin yaygınlaşması ve mobil kimlik doğrulama süreçlerinin dijitalleşmesi nedeniyle quishing saldırılarının artması beklenmektedir. Özellikle yapay zekâ ile hazırlanan daha gerçekçi sahte siteler bu tehdidi büyütebilir.
Sonuç
QR Phishing (Quishing), klasik oltalama saldırılarının modern ve mobil versiyonudur. Görsel tabanlı olması ve URL’yi gizlemesi nedeniyle tespiti daha zordur. Hem bireysel kullanıcıların hem de kurumların bu yeni nesil tehdide karşı bilinçli olması gerekir.
QR Phishing (quishing) Nedir?