QR kodlar, siber risk dünyasında giderek öne çıkıyor

Kullanım alanı her geçen gün genişleyen QR kodları, hayatı kolaylaştıran özellikleriyle her geçen gün daha fazla kullanıcının tercihi oluyor. Tarama sayıları sadece bir yılda yüzde 433 oranında artan QR kodları, aynı zamanda kullanımıyla ilgili potansiyel riskleri de beraberinde getiriyor. QR kodlarının; bilgi paylaşmak, ödeme yapmak ve iş süreçlerini kolaylaştırmak için çok yönlü bir yöntem olarak öne çıktığını söyleyen İnfrasis Siber Mühendislik Genel Müdürü Can Sobutay, “Kullanımın artmasıyla siber suçlular da bu kodlar aracılığıyla kimlik avı saldırılarını artırdı. Geçtiğimiz günlerde FBI, suçluların gerçek QR kodunun üzerine kendi oluşturdukları kodları içeren çıkartmalar yerleştirerek QR kodlarını ele geçirdiklerine dair bir uyarı yayınladı. Siber suçluların yöntemlerinden biri, meşru görünen sahte bir QR kodu oluşturmak ve bunu reklam panosu veya mağaza gibi halka açık bir yere yerleştirmektir. Birisi kodu taradığında, meşru bir giriş sayfası veya başka bir çevrimiçi hizmet gibi görünen ancak sahte olan ve kullanıcının oturum açma kimlik bilgilerini veya kişisel bilgilerini çalmak için tasarlanmış bir web sitesine yönlendirebiliyor” dedi.

QR kodlarının; bilgi paylaşmak, ödeme yapmak ve iş süreçlerini kolaylaştırmak için çok yönlü bir yöntem olarak öne çıktığını söyleyen Can Sobutay, ancak kullanıcıların bunların kullanımıyla ilişkili potansiyel risklerin farkında olması gerektiğini belirtti. Küresel kullanıcıların, 2022’de kullanıcılar tarafından oluşturulan dinamik QR kodlarını toplam 6.825.842 kez taradığını ifade eden Can Sobutay, “Bu da 2021’de kaydedilen rakamlara kıyasla yüzde 433’lük kayda değer bir artışı temsil ediyor. Kullanımın artmasıyla siber suçlular da bu kodlar aracılığıyla kimlik avı saldırılarını artırdı. Geçtiğimiz günlerde FBI, suçluların gerçek QR kodunun üzerine kendi oluşturdukları kodları içeren çıkartmalar yerleştirerek QR kodlarını ele geçirdiklerine dair bir uyarı yayınladı. Siber suçluların yöntemlerinden biri, meşru görünen sahte bir QR kodu oluşturmak ve bunu reklam panosu veya mağaza gibi halka açık bir yere yerleştirmektir. Birisi kodu taradığında, meşru bir giriş sayfası veya başka bir çevrimiçi hizmet gibi görünen ancak sahte olan ve kullanıcının oturum açma kimlik bilgilerini veya kişisel bilgilerini çalmak için tasarlanmış bir web sitesine yönlendirebiliyor” dedi.

Zararlı içerikleri yönlendiriyor
Başlangıçta kolaylık sağlamak için tasarlanan QR kodlarının, fidye yazılımı ve truva atları gibi kötü amaçlı yazılımların indirilmesi veya diğer zararlı içerikleri yönlendirme yapmak için kullanıldığını vurgulayan Can Sobutay, “Bu virüsler sizi gözetleyebilir, hassas bilgileri veya dosyaları (fotoğraflar veya videolar gibi) çalabilir ve hatta siz fidye ödeyene kadar cihazınızı şifreleyebilir. Finansal uygulamaları, sosyal medya hesaplarını ve e-posta hesaplarını açabilir. E-posta veya sosyal medya hesaplarınızı kullanarak kişilerinize mesaj oluşturabilir ve gönderebilir” diye konuştu. QR kodlarının benzersiz bir siber güvenlik tehdidi oluşturduğunu belirten İnfrasis Siber Mühendislik Genel Müdürü Can Sobutay, şöyle devam etti: “Çünkü geleneksel kimlik avından farklı olarak, kodu taramadan önce meşruluğunu doğrulamak için bir URL veya doğrulama yolu bulunmuyor. QR kod taramalarından kaçınmak zor olabilir ancak bazı proaktif önlemler almak, QR kod teknolojisiyle ilişkili tehlikeleri en aza indirmenize yardımcı olacaktır. Sahte bir QR kodunu belirlemek zordur. QR kodların günlük yaşamda hem profesyonel hem de kişisel amaçlarla kullanımı artmaya devam ederken, çoğu kullanıcı QR kodunu tarayarak kendilerini akıllı siber saldırılara maruz bırakabileceğinin farkında değil. Bu konuda farkındalığın artırılması oldukça önemlidir. Kuruluşların, çalışanlarını QR kodlarının potansiyel tehlikesi konusunda eğitmesi zorunludur.”

Can Sobutay, QR kodu kullanıcılarının kendilerini koruyabilmeleri için dikkat etmesi gereken noktaları şöyle sıraladı:
• Bir etiket üzerindeyse, değiştirilmiş gibi görünüyorsa veya üzeri örtülüyse kodu taramayın.
• Yönlendirildiğiniz URL’nin “https” ile başlayan güvenli bir URL olup olmadığına bakın.
• Amaçlanan site olduğundan ve orijinal göründüğünden emin olmak için web adresini kontrol edin, olası harf hatalarına karşı dikkatli olun.
• Mümkünse sizi belirli bir web sitesine götürecek bir kodu taramak yerine, o web sitesinin URL’sini yazın.
• Bir uygulamaya veya hizmete QR kodu ile giriş yapmayın.
• Bir QR kodunu taradığınızda herhangi bir hassas bilginin girilmesi yönünde bir bildirim alırsanız asla ödemeyi başlatmayın.
• Şüpheli veya bilinmeyen kaynaklardaki QR kodlarını ve bilinmeyen kaynaklardan e-posta yoluyla alınan QR kodlarını taramaktan kaçının.