Son zamanların en hızlı büyüyen siber tehdidi olan ve QR kodları üzerinden bankacılık bilgilerini çalmayı hedefleyen “quishing”, birçok kullanıcının dikkatinden kaçan büyük bir tehlike oluşturuyor.
Çek merkezli teknoloji şirketi ČMIS tarafından yapılan çarpıcı bir sosyal deney, bu tuzağa düşmenin ne kadar kolay olduğunu kanıtladı: (Onlar deneyde kendi para birimini kullandılar, biz anlaşılır kullanmak için 1 TL diyeceğiz)
Sokakta “1 TL’ye pizza” teklif edilen ve ödeme için bir QR kod okutulan kişilerin neredeyse üçte ikisi, tereddüt etmeden kredi kartı bilgilerini sahte bir siteye girdi.
“Kimlik avı” (phishing) saldırılarının bir türü olan “quishing”, adını QR kod ve phishing kelimelerinin birleşiminden alıyor. Saldırganlar, bu yöntemde kullanıcıları sahte web sitelerine yönlendirmek için QR kodlarını kullanıyor.
ČMIS CEO’su Václav Svátek, yöntemin tehlikelerini şöyle açıklıyor: “Saldırganlar parkmetreler, afişler veya reklam panoları gibi halka açık yerlere sahte QR kodları yapıştırarak kurbanları sahte ödeme sayfalarına yönlendiriyor. Ayrıca, e-postalara eklenen ve zararlı bir web sitesine link içeren PDF’lerin içine gömülmüş QR kodları da giderek yaygınlaşıyor.”
Uzmanlara göre quishing’in bu kadar başarılı olmasının ardındaki temel neden, psikolojik bir yanılgı. Svátek, “Sorun şu ki, QR kodları kullanıcılara bir e-postadaki linkten daha güvenilir görünüyor. Bu da onları saldırganlar için son derece çekici ve etkili bir araç haline getiriyor,” diye uyarıyor.
Bu yeni tehdidin yükselişi, küresel verilerle de doğrulanıyor:
İngiltere’nin siber güvenlik merkezi Action Fraud’a göre, ülkede bildirilen sahte QR kodu vakaları 2019’da 100 iken, geçen yıl 1.386’ya fırladı.
Yazılım güvenliği şirketi Keepnet Labs’a göre, quishing vakalarının sayısı bir önceki yıla göre %25 artış gösterdi.
Çek Cumhuriyeti’nde de genel siber olayların sayısı rekor seviyeye ulaştı ve uzmanlar, quishing vakalarının da yakında küresel trendleri takip edeceğini öngörüyor.
Bankalar da quishing’i giderek artan bir tehdit olarak görüyor ve müşterilerini uyarıyor. Česká spořitelna’dan müşteri güvenliği uzmanı Andrea Kameníčková, “Özellikle hesap numarası ve tutar olmak üzere, QR kod okutulduktan sonra mobil bankacılık uygulamasında görünen tüm verilerin, ödemeyi onaylamadan önce mutlaka kontrol edilmesi gerekir,” diyor. Bankalar, kaynağı belirsiz veya şüpheli QR kodlarının kesinlikle taranmaması gerektiğini vurguluyor.
Uzmanlar, quishing saldırılarından korunmanın aslında birkaç basit adıma dayandığını belirtiyor:
Bilinmeyen Kodları Taramayın: Halka açık yerlerde veya şüpheli e-postalarda gördüğünüz, kaynağını bilmediğiniz QR kodlarını okutmaktan kaçının.
URL’yi Kontrol Edin: QR kodu taradıktan sonra yönlendirildiğiniz web sitesinin adresini (URL) dikkatlice kontrol edin. Özellikle bankacılık sitelerinde adresin doğruluğundan emin olun.
Hassas Verileri Girmeyin: Şüpheli görünen veya güvenliğinden emin olmadığınız hiçbir siteye bankacılık şifrelerinizi veya kart bilgilerinizi girmeyin.
Bu basit önlemler, saniyeler içinde binlerce liranızı kaybetmenize neden olabilecek bu yeni nesil dolandırıcılık tuzağına karşı en etkili savunmanız olacaktır.
