KareKod Güvenliği — Zararlı KareKodlardan Nasıl Korunursunuz?
karekodlar hayatımızı kolaylaştırıyor; ne var ki aynı kolaylık kötü niyetli kişiler için de geçerli. Quishing (QR phishing) olarak adlandırılan saldırılar her yıl artıyor. İyi haber: birkaç basit alışkanlıkla kendinizi koruyabilirsiniz.
Zararlı KareKod Ne Yapabilir?
- Sahte siteye yönlendirme: Banka, kargo veya devlet kurumu gibi görünen sahte sayfalarda şifre veya kart bilgisi çalmak.
- Kötü amaçlı uygulama indirme: Sahte mağaza sayfasına yönlendirip zararlı APK indirttirmek.
- Doğrudan ödeme talebi: Kötü amaçlı QR, ödeme uygulamasını açıp para transferi başlatabilir.
- Kişisel veri toplama: Sahte form sayfasında ad, e-posta, telefon bilgisi toplamak.
Quishing Nedir?
Quishing = QR + phishing. Siber saldırganlar park otomat makinelerine, restoran masalarına, asansör ilanlarına veya e-postalara sahte karekodlar yerleştirir. Farkında olmadan orijinalin üstündeki sahtesini tararsınız.
2023-2024 yıllarında dünya genelinde quishing saldırıları %587 arttı (Egress Threat Intelligence raporu). Türkiye'de ise özellikle sahte kargo bildirimi QR'ları yaygın.
Güvenli QR Okuma: 7 Kural
- Tıklamadan önce URL'yi okuyun
Modern QR okuyucular (iOS Kamera, Google Lens) taramadan önce URL'yi önizler. Alan adını tanıyor musunuz? HTTPS var mı? Devam etmeden önce kontrol edin. - Şüpheli QR'ı fiziksel olarak inceleyin
Yapıştırılmış sticker mi? Kenarları yırtık, rengi farklı mı? Bunlar sahte QR işareti olabilir. Orijinalin üstüne yapıştırılmış sticker'ı kaldırabilirsiniz. - Tanımadığınız ortamlarda dikkatli olun
E-postadan, sosyal medyadan veya tanımadığınız kişiden gelen karekodlara karşı daha temkinli olun. - Ödeme QR'larını çift kontrol edin
Para transfer QR'ı okuduktan sonra alıcı adını ve tutarı teyit etmeden onaylamayın. - Güvenli QR okuyucu kullanın
iOS yerleşik kamera ve Google Lens URL'yi önizler ve bilinen zararlı siteleri uyarır. Üçüncü parti uygulamalarda bu filtreleme olmayabilir. - Kişisel bilgi isteyen formlara dikkat edin
QR sizi bir form sayfasına yönlendirdiyse, formun adresini elle tarayıcıya yazıp aynı sayfaya ulaşabiliyorsanız güvenlidir. - Sıradışı URL parametrelerine şüpheyle bakın
?redirect=http://baskasayfa.comgibi içiçe yönlendirmeler kötü amaçlı olabilir.
Zararlı QR Tararsanız Ne Yapmalısınız?
- Sayfaya hiçbir bilgi girmeyin, formu doldurmayın.
- Sayfayı hemen kapatın.
- Uygulamaya şifre girdiyseniz, o şifreyi kullandığınız tüm platformlarda hemen değiştirin.
- Kart bilgisi girdiyseniz bankanızı arayın ve kartı geçici olarak dondurun.
- Fiziksel mekânda sahte QR gördüyseniz işletmeyi veya yetkilileri uyarın.
KareKod Oluşturanlar İçin Güvenlik
Kullanıcılarınıza karekod dağıtıyorsanız güven oluşturmak önemlidir:
- URL'yi her zaman HTTPS ile başlatın.
- Kısa URL servisi kullanıyorsanız markaya özgü alan adı seçin (örn.
link.sirketiniz.com). - Mümkünse QR'ın yanına hedef URL'yi metin olarak da yazın.
- Baskı materyallerinde QR etrafına güven veren görsel bağlam ekleyin (logo, "resmi site" etiketi).
Güvenli, HTTPS destekli bağlantılarla karekodunuzu oluşturun.
⊞ Güvenli QR OluşturSık Sorulan Sorular
QR okutmak virüs bulaştırır mı?
Saf QR okuma işlemi zararlı yazılım bulaştırmaz. Ancak yönlendirilen sayfa sizi aldatıcı bir indirme sayfasına götürebilir. Tanımadığınız kaynaklardan uygulama indirmeyin.
Kamuya açık yerlerdeki karekodlara güvenebilir miyim?
Her zaman değil. Restoranlar, AVM'ler, müzeler gibi tanınan mekânlarda genellikle güvenlidir; ancak yapıştırılmış sticker QR'lara karşı dikkatli olun. URL'yi önizleyerek karar verin.
E-postadaki karekodlar güvenli mi?
Bankalar ve kurumlar genellikle e-postaya QR koymaz. Gelen kutusumdaki QR'ları şüpheyle karşılayın; özellikle "acil ödeme" veya "hesabınız askıya alındı" gibi baskı yaratan içeriklere dikkat edin.
İlgili rehberler: KareKod Nedir? · Dinamik QR Nedir? · Bilgisayardan QR Okuma
