0

BEĞENDİM

ABONE OL

News

0

QR kodlarıyla yapılan dolandırıcılık: Quishing nedir ve nasıl korunulur?

QR kodları üzerinden banka bilgilerini çalmayı amaçlayan “quishing”, son dönemde hızla yayılan ve kullanıcıların gözünden kaçan önemli bir siber tehdit haline geldi. Sokakta veya dijital ortamlarda karşılaşılan sahte QR kodlar, kullanıcıları gerçekçi görünen sahte ödeme sayfalarına yönlendirerek kart ve hesap bilgilerini ele geçiriyor.

Sosyal deney ne gösterdi?

Bir sosyal deneyde, insanlara sokakta “1 TL’ye pizza” gibi cazip bir teklif sunulup ödeme için QR kod okutuldu. Deneydeki katılımcıların yaklaşık üçte ikisi, hiçbir şüphe duymadan yönlendirildikleri sahte siteye kredi kartı bilgilerini girdi. Bu durum, quishing tuzağına düşmenin ne kadar kolay olabileceğini somut şekilde ortaya koydu.

Quishing nasıl çalışır?

Quishing, klasik kimlik avı saldırılarının QR kodu biçimine dönüşmüş hâlidir. Saldırganlar; parkmetre, afiş, reklam panosu gibi halka açık yüzeylere sahte QR kodlar yapıştırabilir; e-posta veya belgelerin içine gömülü QR kodlarla da zararlı sitelere yönlendirme yapabilirler. Kod okutulduğunda kullanıcı bilinçli olarak ya da fark etmeden sahte bir ödeme sayfasına veya kimlik bilgisi isteyen forma çıkarılır.

Neden başarılı oluyor?

Bu yöntemin etkinliğinin arkasında psikolojik etkenler bulunuyor. QR kodları genellikle bir bağlantıdan daha güvenilir algılanıyor; ayrıca anlık cazip teklifler, acele ettiren mesajlar veya günlük hayatta sık kullanılan ödeme alışkanlıkları insanları sorgulamadan işlem yapmaya itebiliyor. Saldırganlar bu güven algısını kendi lehlerine kullanıyor.

Vakalar hızla artıyor

Quishing vakalarındaki artış, istatistiklere de yansıyor: bazı bölgelerde sahte QR kodu bildirileri 2019’da 100 iken son yıllarda binin üzerine çıktı; bir yıl içinde ise vakalarda yüzde 25 civarında artış raporlandı. Genel siber olaylardaki yükselişle paralel olarak quishing vakalarının da yaygınlaştığı gözlemleniyor.

Ödemeyi onaylamadan önce kontrol etmeniz gerekenler

• Kaynağı doğrulayın: Sokakta veya e-postada gördüğünüz, kaynağını bilmediğiniz QR kodları okumayın.
• URL’yi inceleyin: Kod okutulduktan sonra açılan adresi mutlaka kontrol edin; özellikle banka ve ödeme sayfalarında adresin gerçekten o kuruma ait olduğundan emin olun.
• Tutar ve hesap bilgilerini kontrol edin: Mobil bankacılık veya ödeme ekranında görünen hesap numarası ve tutarın beklediğinizle örtüşüp örtüşmediğini doğrulayın.
• Hassas bilgileri girmeyin: Güvenliğinden emin olmadığınız sitelere kart veya şifre bilgilerinizi yazmayın.
• Resmi uygulamaları tercih edin: Ödeme yapmanız gerekiyorsa mümkünse banka veya ödeme sağlayıcısının resmi uygulaması veya web sitesi üzerinden işlem yapın.

Bu basit ama dikkatli adımlar, saniyeler içinde ciddi maddi kayıplara yol açabilecek quishing saldırılarına karşı en etkili savunmayı sağlar. Genel bir kural olarak, herhangi bir işlem yapmadan önce durup adresi, tutarı ve kaynağı kontrol etmek hayat kurtarıcı olabilir.