Quishing, “QR kod kimlik avı” teriminden türetilmiştir ve siber suçluların, kötü amaçlı QR kodları kullanarak insanları sahte web sitelerine yönlendirdiği veya cihazlarına zararlı yazılım indirmelerini sağladığı bir siber saldırı türüdür.
İçindekiler
Quishing anlamı
Bu kötü amaçlı QR kodlar, e-postalara, reklamlara, broşürlere yerleştirilebilir veya var olan QR kodların üzerine yapıştırılarak farkında olmayan kullanıcıları hedef alabilir. Bu saldırının amacı; şifreler, finansal veriler gibi hassas bilgileri çalmak ya da kullanıcının cihazına, gelecekte daha fazla istismara yol açabilecek zararlı yazılımlar bulaştırmaktır.
QR kodları hayatı kolaylaştırmak için tasarlanmıştır, ancak siber suçlular için ana hedef bu basitliktir. Kullanıcı, taramadan sonraya kadar QR kodunda gizlenen URL'yi göremediğinden, çok geç olana kadar quishing'i tespit etmek zor olabilir.
QR kodu nedir?
Quick Response kodu ya da QR kod, akıllı telefonlar gibi dijital cihazlar tarafından kolayca ve hızlı bir şekilde taranabilen iki boyutlu bir barkod türüdür. QR kodlar, kullanıcıların tarayarak paylaşabileceği büyük miktarda veriyi depolayabilir. Taramadan sonra, QR kodları telefon aramasını, metin mesajlarını ve hatta dijital ödemeleri de tetikleyebiliyor olsa da, kullanıcıya genellikle bilgileri barındıran bir web sayfası sunulur. Örneğin, QR kodları müşterilerine dijital bir menü sunmak için restoranlarda oldukça popüler hale geldi.
Nitelik tespiti dolandırıcılığı neden etkilidir?
Quishing'in başarısı, kurbanlarının psikolojik eğilimlerinde ve davranış alışkanlıklarında yatıyor. QR kodları yaygın olarak kullanışlı ve güvenilir olarak kabul edilir, ancak maalesef bu, kullanıcıların onlara şüpheyle yaklaşma olasılığını azaltır.
Aşinalık ve Güven
Günlük yaşamdaki QR kodlarının yükselişiyle, ister restoran menüleri, ister temassız ödemeler veya ister otellerde etkinlik girişleri olsun, insanlar bir QR kodunu saniyelerce düşünmeden tarama konusunda rahat hale geldi.
Gizli Hedef URL'leri
Geleneksel kimlik avı bağlantılarının aksine, QR kodlar yönlendirdikleri gerçek web adresini gizler ve bu da kullanıcıların kodun güvenilirliğini ilk bakışta doğrulamasını zorlaştırır.
Aciliyet ve İkna Taktikleri
Siber suçlular genellikle hesap güvenliği hakkında uyarılar veya özel teklif teklifleri gibi aciliyet hissi yaratan mesajlar oluşturur ve kullanıcıları dürtüsel olarak hareket etmeye teşvik eder.
Bu faktörler, QR kodlarının doğası gereği görsel ve etkileşimli doğasıyla birleştiğinde, quishing'i özellikle etkili bir saldırı vektörü haline getirir.
Quishing saldırıları nasıl çalışır?
Quishing saldırıları genellikle gerçek QR kodlarının yerine kötü amaçlı olanların konulmasını içerir. Bu sahte kodlar; afişlerde, ödeme terminallerinde, restoranlarda ya da e-posta ve kısa mesajlarda çeşitli yerlerde görülebilir. Hedef kişi QR kodu taradığında, kişisel bilgilerini çalmak ya da onları zararlı bir yazılım indirmeye yönlendirmek için hazırlanmış kötü amaçlı bir web sitesine yönlendirilir.
Kötü amaçlı yazılım ve kimlik avı
Bazı durumlarda, kötü amaçlı bir QR kodunun taranması yalnızca sahte bir web sitesine yol açmaz, çünkü kötü amaçlı yazılımın cihazınıza indirilmesini de tetikleyebilir. Bu durum, siber suçluların verilerinizi çalmasına, aktivitelerinizi izlemesine (casus yazılım), hatta siz fidye ödeyene kadar sisteminize erişiminizi engellemesine (fidye yazılımı) olanak tanır. Kimlik avı saldırılarında kullanılan QR kodlar özellikle tehlikelidir, çünkü kullanıcı, cihazının ele geçirildiğini çoğu zaman iş işten geçene kadar fark etmeyebilir.
Kimler risk altındadır?
Herkes quishing saldırılarının kurbanı olabilir, ancak bazı gruplar daha yüksek risk altındadır. Örneğin:
- Seyahat Edenler: Turistler, genellikle navigasyon, ödemeler ve bilmedikleri yerlerdeki bilgilere erişim için QR kodlarına güvenirler.
- Yaşlı kullanıcılar: Yaşlı insanlar, genellikle bu tür kimlik avı tekniklerinin daha farkında olmadıklarından genellikle bu tür siber saldırıların hedefidir.
- Mobil kullanıcılar: Mobil ödemelerin ve çevrimiçi işlemlerin kolaylığı sayesinde QR kodları, hızlı bir şekilde ödemeyi kolaylaştırırken aynı zamanda dolandırıcılık mağduru olmayı da kolaylaştırır.
- İşletmeler ve çalışanlar: Temassız hizmetler için QR kodları kullanan şirketler, kendilerini veya müşterilerini bilmeden bu saldırılara maruz bırakabilir.
Quishing saldırısının belirtileri
Bir quishing saldırısından kaçınmak için dikkat etmeniz gereken bazı işaretler şunlardır:
Oynanmış QR kodları
Eğer bir QR kodu hasarlı, yerinden oynatılmış ya da alışılmadık bir yerde görünüyorsa, onu taramaktan kaçınmak en iyisidir. Siber suçlular, genellikle kendi QR etiketlerini gerçek kodların üzerine yapıştırır.
Beklenmedik yönlendirmeler
Bir kodu taradıktan sonra aniden kişisel bilgi, finansal bilgi girmeniz ya da yazılım indirmeniz isteniyorsa dikkatli olun.
Gerçek olamayacak kadar iyi görünen teklifler
Ödül, indirim veya hediye vadeden QR kodlarını mutlaka doğrulayın, bunlar bir tuzak olabilir. Dolandırıcılar sıklıkla cazip teklifler sunarak kurbanları kandırır.
Şüpheli web bağlantıları / web sayfaları
QR kodun içinde yer alan URL’yi inceleyin. Aşırı uzun, karmaşık ya da rastgele karakterler içeriyorsa, bu bir kimlik avı sitesine yönlendirebilir. Ayrıca, QR kodla ulaşılan ve ödeme isteyen sitelerden kaçının; bunun yerine, bildiğiniz ve güvendiğiniz bir URL’yi elle girerek işlem yapın.
Aşırı bilgi talepleri
Gereğinden fazla izin isteyen (örneğin kamera, rehber ya da konum erişimi gibi) QR kodlara karşı temkinli olun.
Quishing saldırılarına gerçek dünyadan örnekler
Yaygın bir quishing saldırısı örneği, Better Business Bureau (BBB) tarafından gündeme getirilen parkmetre dolandırıcılığıdır. Bu yöntemde, siber suçlular parkmetre ya da ödeme terminallerine sahte QR kodları yapıştırır. Yanında nakit taşımayan bir sürücü, park ücreti ödemek için QR kodunu tarayabilir; ancak bu kod, kredi kartı bilgilerini isteyen sahte bir siteye yönlendirebilir. Mağdur, dolandırıldığını genellikle ancak günler veya haftalar sonra, hesap özetinde beklenmedik işlemler gördüğünde fark eder.
Büyüyen bir başka tehdit ise, dolandırıcıların sahte QR kodlarıyla gerçek bir enerji şirketi ya da devlet kurumu gibi davranmalarıdır. Kurbanlar, faturalarını ödemeleri için kendilerine gönderilen ve resmi görünen bir ileti alır; ancak kodu taradıklarında, finansal bilgilerini çalmak üzere tasarlanmış sahte bir siteye yönlendirilirler.
Quishing saldırılarından nasıl korunulur?
Taramadan önce düşünün! İşte hem sizin hem de kurumunuzun quishing saldırılarından korunmasına yardımcı olacak bazı pratik ipuçları:
Kaynağı doğrulayın
Bir işletmede veya restoranda bir QR kodu ile karşılaşırsanız, taramadan önce bir çalışanla doğrulamak iyi bir fikirdir. BBB’nin de önerdiği gibi, QR kodunun oynanmış olabileceğine dair herhangi bir işarete özellikle dikkat edin.
İstenmeyen iletilerdeki QR kodlarından kaçının
Dolandırıcılar, kimlik avı e-postalarında veya kısa mesajlarda sahte QR kodlarını giderek daha fazla kullanıyor. Tanımadığınız birinden gelen kodu asla taramayın veya bağlantıya tıklamayın.
URL önizlemesi sunan bir QR tarayıcı kullanın
Bazı QR kod okuyucu uygulamaları, sizi bir web sitesine yönlendirmeden önce URL’nin önizlemesini gösterir. Bu ek adım, bağlantının güvenilir olup olmadığını değerlendirmeye yardımcı olabilir.
Güvenlik yazılımınızı güncel tutun
Cihazınızın güvenlik yazılımını güncel tutmak, zararlı bir QR kodu taramanız durumunda ortaya çıkabilecek kötü amaçlı yazılımları tespit edip engellemeye yardımcı olabilir.
QR ödemelerinde dikkatli olun
Özellikle tanımadığınız bir yerde QR kod ile ödeme yaparken, ödeme terminalinin veya web sitesinin gerçekten güvenilir olduğundan emin olmadan finansal bilgilerinizi girmeyin.
Quishing konusunda nereden yardım alabilirim?
Gördüğümüz gibi, QR kodlar genellikle bilgiye hızlı erişim sağlamak için güvenilir bir kaynak olarak görülür, ancak artık daha dikkatli ve güvenlik konusunda bilinçli olmamız gerekiyor. Güvenlik farkındalığı ve eğitimleri koruma sağlamak açısından kritik öneme sahip olsa da, kurumunuzun BT yöneticilerine ve güvenlik ekiplerine tam görünürlük ve entegre yetenekler sunan bir e-posta güvenlik çözümüne de ihtiyacı vardır. Trend Vision One™ E-posta ve İş Birliği Güvenliği, Trend Vision One™ Siber Risk Maruziyeti Yönetimi (CREM) çözümümüz aracılığıyla Trend Vision One™ Güvenlik Farkındalığı yetenekleri sunar ve çalışanların bilinçli kararlar alarak gelişmiş kimlik avı saldırılarına karşı etkin bir şekilde korunmasına yardımcı olur.