QR Kodları: Hızlı bir çözüm mü, riskli bir çözüm mü?

QR kodlarının canınızı yakmasını nasıl önleyeceğinizi açıklıyoruz.

Yoğurt kaselerinden sergilere, elektrik faturalarından piyango biletlerine kadar neredeyse her şeyde QR kodlarıyla karşılaşabilirsiniz. İnsanlar QR kodlarını internet sitelerine girmek, uygulamaları indirmek, sadakat programı puanları toplamak, ödeme yapmak, para transfer etmek ve hatta hayır kurumlarına bağış yapmak için kullanıyor. Bu erişilebilir ve pratik teknoloji, her zaman olduğu gibi bu konuda da çeşitli QR kodu temelli dolandırıcılık planlarını hayata geçiren siber suçlular da dahil olmak üzere birçok kişinin işine yarıyor. İşte her yerde bulunan bu siyah beyaz kareleri kullanırken karşılaşabileceğiniz sorunlar ve bunları korkmadan kullanmanın yolları.

QR kodları nedir ve nasıl kullanılırlar

Günümüzde artık neredeyse herkesin bir akıllı telefonu var. En yeni modellerin çoğunda yerleşik bir QR tarayıcı bulunuyor ancak herkes tüm QR kodlarını okuyabilen bir uygulamayı indirebilir veya örneğin bir müze için özel olarak hazırlanmış bir uygulamayı kullanabilir.

Bir QR kodunu taramak için, kullanıcının tarayıcı uygulamasını açması ve telefonun kamerasını koda tutması yeterlidir. Çoğu zaman, akıllı telefonunuz sizden belirli bir internet sitesine gitmek veya bir uygulamayı indirmek için istemde bulunur. Bununla birlikte, birazdan detayına gireceğimiz başka seçenekler de vardır.

Özel QR kodu tarayıcıları bazı spesifik QR kodlarıyla çalışır. Böyle bir kodu, parktaki tarihi bir geçmişe sahip ağacın tabelasında bulabilirsiniz; örneğin, bu durumda QR kodunu parkın resmi uygulamasıyla taradığınızda rehberli bir tura erişebiliyorken, standart bir tarayıcı ile taradığınızda karşınıza çıkan parkın internet sitesinde yer alan bir açıklamadır.

Ayrıca, bazı uygulamalar, onları tarayan kişilere belirli bilgileri iletmek için QR kodları oluşturabilir. Örneğin, QR kodunu tarayanlara misafir Wi-Fi ağınızın adı ve parolası veya banka hesabınızın ayrıntıları iletilir.

Siber suçlular QR kodlarını nasıl kullanır?

QR kodları, barkodların daha gelişmiş bir halinden başka bir şey değildir, ne ters gidebilir ki? Görünüşe göre ters gidebilecek çok fazla şey var. İnsanlar bakarak QR kodlarını okuyamazlar veya taradıkları kodun ne yapacağını önceden kontrol edemezler, bu yüzden kodu oluşturanların dürüstlüğüne güveniriz. Kendi QR kodumuzu oluşturduğumuzda bile bir QR kodunun içerdiği her şeyi bilemeyiz. Sistem istismara çok açıktır.

Sahte bağlantılar

Siber suçlular tarafından oluşturulan bir QR kodu, bir sosyal ağın veya internet bankacılığının giriş sayfasına benzeyen bir kimlik avı sitesine yönlendirebilir. Bu yüzden herhangi bir bağlantıya dokunmadan veya tıklamadan önce her zaman kontrol etmenizi öneriyoruz. Ancak bir QR kodu size böyle bir imkan sağlamaz. Dahası, saldırganlar genellikle kısa bağlantılar kullanır, bu da akıllı telefon bağlantıya erişim onayı istediğinde sahtekarlığı tespit etmeyi zorlaştırır.

Benzer yöntemler kullanıcıları yanlış yönlendirerek, örneğin indirmek istenen oyun veya araç yerine kötü amaçlı yazılım indirmek gibi, yanlış uygulama indirmelerine sebep olur. O noktadan sonra yaşanabileceklerin sınırı yoktur; kötü amaçlı yazılımlar parolaları çalabilir, rehberinizdeki kişilere kötü amaçlı mesajlar gönderebilir ve bunun gibi daha bir çok şey.

QR kodlu komutlar

Bir internet sitesine yönlendirmenin ötesinde, bir QR kodu belirli eylemleri gerçekleştirmek için bir komut içerebilir. Yine buradaki olasılıklar da çok fazladır; aşağıdakiler sadece bir örnek:

  • Rehberinize kayıt eklemek;
  • Giden arama yapmak;
  • Bir e-posta taslağı hazırlamak, alıcı ile konu satırlarını doldurmak;
  • Kısa mesaj göndermek;
  • Bir uygulama ile konumunuzu paylaşmak;
  • Bir sosyal medya hesabı oluşturmak;
  • Bir takvim etkinliği oluşturmak;
  • Otomatik bağlantı için kimlik bilgileriyle birlikte tercih edilen bir Wi-Fi ağı eklemek.

Buradaki bütün bu eylemlerin ortak noktası, hepsinin otomatik gerçekleşmesidir. Örneğin, bir QR kodunu tarayarak, bir kartvizitten iletişim bilgileri ekleyebilir, otopark ücretini ödeyebilir veya bir misafir Wi-Fi ağına erişim izni verebilirsiniz.

QR kodunun sahip olduğu bu kapsamlı yetenekler, onları manipülasyona hazır hale getiriyor. Örneğin, dolandırıcılar sizi dolandırmak için yaptıkları aramadan şüphe etmemenizi sağlamak için aradıkları numarayı “Banka” olarak rehberinize kaydedebilirler. Veya paranızı alacakları ücretli hatları arayabilirler. Veya nerede olduğunuzu öğrenebilirler.

Siber suçlular QR kodlarını nasıl gizliyor?

Saldırganların bir QR kodu ile size zarar vermesi için önce sizi onu taramaya ikna etmeleri gerekir. Bunu yapmak için de bir kaç numaralara sahipler.

Kötü amaçlı kaynaklar. Siber suçlular, bir internet sitesine, bir banner’ın, e-postanın içine ve hatta basılı olan bir reklamın bile içine kendi oluşturdukları bağlantıya sahip bir QR kodunu yerleştirebilirler. Amaçları, genellikle kurbanın kötü amaçlı bir uygulamayı indirmesini sağlamaktır. Çoğu durumda, Google Play ve App Store logoları, güvenilirlik sağlaması için kodun yanına yerleştirilir.

Değiştirme. Saldırganların, bir posterdeki veya tabeladaki gerçek bir QR kodunu sahte bir kodla değiştirerek gerçek tarafların çalışmalarına ve itibarına el koymaları pek de alışılmadık bir durum değildir.

Bu arada, QR kodunun kötüye kullanımı siber suçlularla sınırlı değildir; ahlaksız sosyal eylemciler de fikirlerini yaymak için QR kodu değiştirme yöntemini kullanmaya başladılar. Örneğin yakın zamanda, Avustralya’da bir adam, COVID-19 merkezlerinde kayıt işlemlerine ilişkin QR kodlarını tahrif ettiği ve bu sayede merkeze gelen ziyaretçileri aşı karşıtı bir internet sitesine yönlendirdiği iddiasıyla tutuklandı.

Tekrar belirtiyoruz, yapılabileceklerin gerçekten sınırı yoktur. QR kodları; elektrik faturaları, broşürler, ofis tabelaları ve bilgi veya talimatlara ulaşmayı umduğunuz hemen hemen her yerde karşınıza çıkan ortak görüntüdür.

QR kodunun yarattığı sorunlardan kaçınmanın yolları

Güvenlik açısında, QR kodlarını kullanırken birkaç basit kurala uyun:

  • Bariz şekilde şüpheli olduğu belli olan kaynaklardaki QR kodlarını taramayın;
  • Kodu tararken görüntülenen bağlantılara dikkat edin. URL kısaltılmışsa, özellikle dikkatli olun; çünkü QR kodlarındaki herhangi bir bağlantıyı kısaltmak için geçerli bir neden yoktur. Bunun yerine, aradığınızı bulmak için bir arama motoru veya resmi mağaza kullanın;
  • Bir poster veya tabeladaki QR kodunu taramadan önce, orijinal kodun üzerine başka bir kod yapıştırılmadığından emin olmak için fiziksel olarak hızlıca kontrol edin;
  • Kötü amaçlı içerik için QR kodlarını kontrol eden Kaspersky’nin QR Tarayıcısı (Android ve iOS için mevcuttur) gibi bir program kullanın.

QR kodları, e-bilet numaraları gibi değerli bilgileri de içerebilir, bu nedenle QR kodlu belgeleri sosyal medyada asla paylaşmayın.

İpuçları