Quishing, “QR kod kimlik avı” teriminden türetilmiştir ve siber suçluların, kötü amaçlı QR kodları kullanarak insanları sahte web sitelerine yönlendirdiği veya cihazlarına zararlı yazılım indirmelerini sağladığı bir siber saldırı türüdür.
İçindekiler
Bu kötü amaçlı QR kodlar, e-postalara, reklamlara, broşürlere yerleştirilebilir veya var olan QR kodların üzerine yapıştırılarak farkında olmayan kullanıcıları hedef alabilir. Bu saldırının amacı; şifreler, finansal veriler gibi hassas bilgileri çalmak ya da kullanıcının cihazına, gelecekte daha fazla istismara yol açabilecek zararlı yazılımlar bulaştırmaktır.
QR kodları hayatı kolaylaştırmak için tasarlanmıştır, ancak siber suçlular için ana hedef bu basitliktir. Kullanıcı, taramadan sonraya kadar QR kodunda gizlenen URL'yi göremediğinden, çok geç olana kadar quishing'i tespit etmek zor olabilir.
Quick Response kodu ya da QR kod, akıllı telefonlar gibi dijital cihazlar tarafından kolayca ve hızlı bir şekilde taranabilen iki boyutlu bir barkod türüdür. QR kodlar, kullanıcıların tarayarak paylaşabileceği büyük miktarda veriyi depolayabilir. Taramadan sonra, QR kodları telefon aramasını, metin mesajlarını ve hatta dijital ödemeleri de tetikleyebiliyor olsa da, kullanıcıya genellikle bilgileri barındıran bir web sayfası sunulur. Örneğin, QR kodları müşterilerine dijital bir menü sunmak için restoranlarda oldukça popüler hale geldi.
Quishing'in başarısı, kurbanlarının psikolojik eğilimlerinde ve davranış alışkanlıklarında yatıyor. QR kodları yaygın olarak kullanışlı ve güvenilir olarak kabul edilir, ancak maalesef bu, kullanıcıların onlara şüpheyle yaklaşma olasılığını azaltır.
Günlük yaşamdaki QR kodlarının yükselişiyle, ister restoran menüleri, ister temassız ödemeler veya ister otellerde etkinlik girişleri olsun, insanlar bir QR kodunu saniyelerce düşünmeden tarama konusunda rahat hale geldi.
Geleneksel kimlik avı bağlantılarının aksine, QR kodlar yönlendirdikleri gerçek web adresini gizler ve bu da kullanıcıların kodun güvenilirliğini ilk bakışta doğrulamasını zorlaştırır.
Siber suçlular genellikle hesap güvenliği hakkında uyarılar veya özel teklif teklifleri gibi aciliyet hissi yaratan mesajlar oluşturur ve kullanıcıları dürtüsel olarak hareket etmeye teşvik eder.
Bu faktörler, QR kodlarının doğası gereği görsel ve etkileşimli doğasıyla birleştiğinde, quishing'i özellikle etkili bir saldırı vektörü haline getirir.
Quishing saldırıları genellikle gerçek QR kodlarının yerine kötü amaçlı olanların konulmasını içerir. Bu sahte kodlar; afişlerde, ödeme terminallerinde, restoranlarda ya da e-posta ve kısa mesajlarda çeşitli yerlerde görülebilir. Hedef kişi QR kodu taradığında, kişisel bilgilerini çalmak ya da onları zararlı bir yazılım indirmeye yönlendirmek için hazırlanmış kötü amaçlı bir web sitesine yönlendirilir.
Bazı durumlarda, kötü amaçlı bir QR kodunun taranması yalnızca sahte bir web sitesine yol açmaz, çünkü kötü amaçlı yazılımın cihazınıza indirilmesini de tetikleyebilir. Bu durum, siber suçluların verilerinizi çalmasına, aktivitelerinizi izlemesine (casus yazılım), hatta siz fidye ödeyene kadar sisteminize erişiminizi engellemesine (fidye yazılımı) olanak tanır. Kimlik avı saldırılarında kullanılan QR kodlar özellikle tehlikelidir, çünkü kullanıcı, cihazının ele geçirildiğini çoğu zaman iş işten geçene kadar fark etmeyebilir.
Herkes quishing saldırılarının kurbanı olabilir, ancak bazı gruplar daha yüksek risk altındadır. Örneğin:
Bir quishing saldırısından kaçınmak için dikkat etmeniz gereken bazı işaretler şunlardır:
Eğer bir QR kodu hasarlı, yerinden oynatılmış ya da alışılmadık bir yerde görünüyorsa, onu taramaktan kaçınmak en iyisidir. Siber suçlular, genellikle kendi QR etiketlerini gerçek kodların üzerine yapıştırır.
Bir kodu taradıktan sonra aniden kişisel bilgi, finansal bilgi girmeniz ya da yazılım indirmeniz isteniyorsa dikkatli olun.
Ödül, indirim veya hediye vadeden QR kodlarını mutlaka doğrulayın, bunlar bir tuzak olabilir. Dolandırıcılar sıklıkla cazip teklifler sunarak kurbanları kandırır.
QR kodun içinde yer alan URL’yi inceleyin. Aşırı uzun, karmaşık ya da rastgele karakterler içeriyorsa, bu bir kimlik avı sitesine yönlendirebilir. Ayrıca, QR kodla ulaşılan ve ödeme isteyen sitelerden kaçının; bunun yerine, bildiğiniz ve güvendiğiniz bir URL’yi elle girerek işlem yapın.
Gereğinden fazla izin isteyen (örneğin kamera, rehber ya da konum erişimi gibi) QR kodlara karşı temkinli olun.
Yaygın bir quishing saldırısı örneği, Better Business Bureau (BBB) tarafından gündeme getirilen parkmetre dolandırıcılığıdır. Bu yöntemde, siber suçlular parkmetre ya da ödeme terminallerine sahte QR kodları yapıştırır. Yanında nakit taşımayan bir sürücü, park ücreti ödemek için QR kodunu tarayabilir; ancak bu kod, kredi kartı bilgilerini isteyen sahte bir siteye yönlendirebilir. Mağdur, dolandırıldığını genellikle ancak günler veya haftalar sonra, hesap özetinde beklenmedik işlemler gördüğünde fark eder.
Büyüyen bir başka tehdit ise, dolandırıcıların sahte QR kodlarıyla gerçek bir enerji şirketi ya da devlet kurumu gibi davranmalarıdır. Kurbanlar, faturalarını ödemeleri için kendilerine gönderilen ve resmi görünen bir ileti alır; ancak kodu taradıklarında, finansal bilgilerini çalmak üzere tasarlanmış sahte bir siteye yönlendirilirler.
Taramadan önce düşünün! İşte hem sizin hem de kurumunuzun quishing saldırılarından korunmasına yardımcı olacak bazı pratik ipuçları:
Bir işletmede veya restoranda bir QR kodu ile karşılaşırsanız, taramadan önce bir çalışanla doğrulamak iyi bir fikirdir. BBB’nin de önerdiği gibi, QR kodunun oynanmış olabileceğine dair herhangi bir işarete özellikle dikkat edin.
Dolandırıcılar, kimlik avı e-postalarında veya kısa mesajlarda sahte QR kodlarını giderek daha fazla kullanıyor. Tanımadığınız birinden gelen kodu asla taramayın veya bağlantıya tıklamayın.
Bazı QR kod okuyucu uygulamaları, sizi bir web sitesine yönlendirmeden önce URL’nin önizlemesini gösterir. Bu ek adım, bağlantının güvenilir olup olmadığını değerlendirmeye yardımcı olabilir.
Cihazınızın güvenlik yazılımını güncel tutmak, zararlı bir QR kodu taramanız durumunda ortaya çıkabilecek kötü amaçlı yazılımları tespit edip engellemeye yardımcı olabilir.
Özellikle tanımadığınız bir yerde QR kod ile ödeme yaparken, ödeme terminalinin veya web sitesinin gerçekten güvenilir olduğundan emin olmadan finansal bilgilerinizi girmeyin.
Gördüğümüz gibi, QR kodlar genellikle bilgiye hızlı erişim sağlamak için güvenilir bir kaynak olarak görülür, ancak artık daha dikkatli ve güvenlik konusunda bilinçli olmamız gerekiyor. Güvenlik farkındalığı ve eğitimleri koruma sağlamak açısından kritik öneme sahip olsa da, kurumunuzun BT yöneticilerine ve güvenlik ekiplerine tam görünürlük ve entegre yetenekler sunan bir e-posta güvenlik çözümüne de ihtiyacı vardır. Trend Vision One™ E-posta ve İş Birliği Güvenliği, Trend Vision One™ Siber Risk Maruziyeti Yönetimi (CREM) çözümümüz aracılığıyla Trend Vision One™ Güvenlik Farkındalığı yetenekleri sunar ve çalışanların bilinçli kararlar alarak gelişmiş kimlik avı saldırılarına karşı etkin bir şekilde korunmasına yardımcı olur.