QR kodlar günlük hayatın ayrılmaz bir parçası haline gelse de beraberinde büyük güvenlik riskleri getiriyor. Sahte ödeme sayfalarına yönlendiren, zararlı yazılım indiren veya hassas giriş bilgilerini çalan bu QR kodlar, özellikle aciliyet hissi uyandıran senaryolarda sıklıkla kullanılıyor.
İngiltere merkezli Action Fraud verilerine göre, kurbanlar sadece bir yıl içinde QR kod dolandırıcılığı yüzünden 3,5 milyon sterlin kaybetti. Sokaklardaki elektrikli scooterların veya restoran masalarındaki orijinal kodların üzerine yapıştırılan sahte etiketler, beklenmedik şekilde kapınıza gelen kargo paketleri gibi QR yönlendirmeleri siber saldırganların son zamanlarda en çok tercih ettiği yöntemler arasında yer alıyor.
“Hız ve Kolaylık Arayışı Siber Güvenlik Zafiyetine Dönüşüyor”
QR kodların, geleneksel e-posta güvenlik filtrelerini atlatabilen ve doğrudan kullanıcıların dalgınlığından faydalanan bir yapıya sahip.
İnsanlar genellikle tıklayacakları bir bağlantıyı kontrol etme alışkanlığına sahip olsa da QR kodları tararken aynı şüpheciliği göstermiyor.
Hedefin gizli kalması, siber suçluların işini büyük ölçüde kolaylaştırıyor. Özellikle sokakta elektrikli scooter kiralarken veya bir restoranda hızlıca menüye ulaşmak isterken, orijinal kodun üzerine yapıştırılan sahte bir etiket saniyeler içinde tüm kredi kartı bilgilerinizin kopyalanmasına yol açabiliyor.
Kullanıcıların tarama yapmadan önce mutlaka fiziksel bir müdahale olup olmadığını kontrol etmesi ve yönlendirildikleri bağlantının doğruluğundan emin olması gerekiyor.” uyarısında bulundu.
Sahte QR kodlarına ve “quishing” saldırılarına karşı kullanıcıların alması gereken 5 önlem:
1. QR kodun fiziksel bütünlüğünü kontrol edin. Elektrikli scooterlar, restoran menüleri veya sokak afişlerindeki QR kodları taramadan önce dikkatlice inceleyin. Orijinal kodun üzerine sonradan yapıştırılmış bir etiket veya hizalama bozukluğu fark ederseniz o kodu taramaktan kesinlikle kaçının.
2. Yönlendirilen bağlantı (URL) adresini dikkatlice inceleyin. Kameranız QR kodu taradığında ekranda beliren bağlantı adresini hemen onaylamayın. Bağlantının beklediğiniz kuruma ait resmi bir adres olduğundan emin olun. Kısaltılmış veya şüpheli uzantılara sahip adresler oltalama tuzaklarının en net göstergesidir.