QR kodlar hayatı kolaylaştırdı: menü, ödeme, WiFi, bilet. Ama aynı kolaylık dolandırıcıların da işine yarıyor. Çünkü bir QR koda bakarak nereye gittiğini anlayamazsınız — bağlantı bir insan için okunabilir değildir. Saldırganlar tam olarak bu kör noktayı kullanıyor. Bu yönteme quishing (QR + phishing) deniyor. Bu rehberde nasıl çalıştığını, taramadan önce yapabileceğiniz kontrolleri ve işletmelerin kendi kodlarını nasıl koruyacağını anlatıyoruz.
- QR kodun kendisi virüs taşımaz; risk, açtığınız bağlantıda ve girdiğiniz bilgide başlar.
- En yaygın yöntem basit: gerçek kodun üstüne sahte sticker yapıştırmak.
- Taramadan önce kodun fiziksel bütünlüğünü, taradıktan sonra alan adını kontrol edin.
- QR üzerinden gelen sayfaya asla şifre veya kart bilgisi girmeyin — adresi elle yazıp girin.
- İşletmeler için: kodları düzenli denetleyin, dinamik QR ile hedefi kendi domaininizde tutun.
Quishing (QR Phishing) Nedir?
Quishing, klasik oltalamanın QR kodlu hâlidir. Saldırgan sizi sahte bir siteye çekmek ister; ama tıklanabilir bir bağlantı yerine bir kare görsel kullanır. Bunun iki büyük avantajı vardır: birincisi, siz bağlantıyı önceden okuyamazsınız. İkincisi, kurumsal e-posta güvenlik sistemleri metindeki bağlantıları tarayıp kara listeyle karşılaştırabilir, ama bir görselin içine gömülmüş QR kodu çoğu zaman göremez. Yani QR kod, filtrelerin etrafından dolaşan bir kapıdır.
İkinci bir incelik daha var: QR kodu genelde telefonla tararsınız. Telefon tarayıcısında adres çubuğu kısadır, alan adının tamamı görünmez ve dikkatiniz masaüstündeki kadar keskin değildir. Saldırgan bunu bilir. Bir QR kodun teknik olarak nasıl veri taşıdığını merak ediyorsanız QR kod nedir, nasıl çalışır yazımızda ayrıntısı var.
QR Kod Dolandırıcılığı Nasıl Yapılıyor? Yaygın Senaryolar
Saldırıların çoğu yüksek teknoloji değil; ucuz bir sticker ve biraz sabır yetiyor. En sık görülen senaryolar:
| Senaryo | Nasıl işliyor? | Amaç |
|---|---|---|
| Sticker üstüne sticker | Otopark otomatı, elektrikli şarj istasyonu, restoran masası veya afişteki gerçek kodun üzerine sahte kod yapıştırılır | Sahte ödeme sayfasında kart bilgisi toplamak |
| Sahte kargo/ceza bildirimi | Kapıya asılan kâğıtta veya postayla gelen mektupta “gönderiniz bekliyor” diyen bir QR kod bulunur | Küçük bir “teslimat ücreti” adı altında kart bilgisi |
| E-postadaki QR görseli | Kurumsal görünümlü e-postada “hesabınızı doğrulayın” veya “MFA’nızı yenileyin” diyen bir kod yer alır | Kurumsal hesap şifresi ve doğrulama kodu |
| Sahte bağış afişi | Gerçek bir kampanyanın adı ve logosu kullanılıp QR saldırganın hesabına yönlendirilir | Doğrudan para transferi |
| Sahte WiFi kodu | Kafe/otel adı taşıyan bir kod, saldırganın kurduğu ağa bağlanmayı tetikler | Trafiği izlemek, sahte giriş sayfası göstermek |
Dolandırıcılığın büyük kısmı kamusal alandaki fiziksel kodlarda oluyor — otopark, şarj istasyonu, bisiklet kiralama, ilan panosu. Buralarda kimse kodun kime ait olduğunu doğrulamıyor ve bir sticker yapıştırmak saniyeler sürüyor. Sokakta gördüğünüz bir ödeme QR’ına, kapalı bir kafedeki menü QR’ından çok daha şüpheci yaklaşın.
QR Kod Telefona Virüs Bulaştırır mı?
Hayır — en azından doğrudan değil. QR kod çalışan bir program değil, metin taşıyan bir görseldir. İçinde bir bağlantı, bir WiFi bilgisi veya düz metin vardır. Tarama işlemi sadece o metni okur. Zincir şöyle işler: kod bir adres taşır, telefonunuz size “bu adresi açmak ister misiniz?” diye sorar, siz açarsınız ve asıl risk oradan sonra başlar. Yani QR kodu taramak ile sonrasında bilgi girmek arasında büyük bir fark vardır.
Bu yüzden yanlışlıkla bir kodu taramak genelde felaket değildir. Tehlikeli olan üç şey vardır: açılan sayfaya bilgi girmek, indirilen bir dosyayı kurmak ve çıkan izin isteğini onaylamak.
Taramadan Önce ve Sonra: 6 Kontrol
- Koda dokunun. Kabarık kenar, hizasız bir kare veya altından başka bir kod görünüyorsa üzerine sticker yapıştırılmış demektir. Taramayın.
- Bağlamı sorgulayın. Bir otopark otomatının üzerinde kalitesiz basılmış, elle yapıştırılmış bir kod varsa; işletmenin geri kalanıyla uyumsuzsa şüphelenin.
- Önizlemeyi okuyun. Telefonunuz bağlantıyı açmadan önce gösterir. Alan adının sonuna bakın:
odeme-guvenli.xyzilebankaniz.com.trfarklıdır. - Kısa bağlantılara dikkat.
bit.lygibi kısaltıcılar hedefi gizler. Bilinmeyen bir kaynaktan geliyorsa açmayın. - Şifre veya kart isteniyorsa durun. QR’dan gelen bir sayfaya asla giriş yapmayın. Adresi tarayıcıya elle yazın veya uygulamayı açın.
- İndirme veya izin isteği çıkarsa reddedin. Bir menüyü görmek için hiçbir uygulama kurmanız gerekmez.
Sahte adresler gerçeğe benzemek için oynar: qrkodcum.tr.odeme-merkezi.com adresi qrkodcum.tr değildir — asıl alan adı odeme-merkezi.com’dur, çünkü belirleyici olan son iki parçadır. Aynı şekilde qrkodcum-tr.com da başka bir sitedir. Soldan değil, sağdan sola okuyun.
Sahte Bir Kodu Taradıysanız Ne Yapmalı?
- Sadece taradıysanız: Sayfayı kapatın, bir şey indirmediyseniz ve bilgi girmediyseniz yapmanız gereken başka bir şey yok.
- Şifre girdiyseniz: O şifreyi hemen değiştirin. Aynı şifreyi başka yerde kullanıyorsanız oradakileri de değiştirin ve iki adımlı doğrulamayı açın.
- Kart bilgisi girdiyseniz: Bankanızı arayın, kartı bloke ettirin ve son hareketleri kontrol edin. Beklemeyin — dakikalar önemlidir.
- Dosya indirip kurduysanız: Cihazı ağdan ayırın, uygulamayı kaldırın ve bir güvenlik taraması yapın.
- Bildirin: Sahte kodu bir işletmenin alanında gördüyseniz işletmeye haber verin — büyük ihtimalle onların da haberi yok. Maddi zarar oluştuysa
usom.gov.trüzerinden veya emniyete başvurun.
İşletmeler İçin: Kendi QR Kodunuzu Nasıl Korursunuz?
Bu işin ikinci yüzü şu: dolandırıcı sizin müşterinizi sizin masanızda avlarsa, itibar kaybı sizin olur. Müşteri “o kafede QR’ı taradım, kartım çalındı” der. Korunmanın yolları:
- Fiziksel denetim yapın. Masa stantlarını, vitrini ve afişleri periyodik olarak kontrol edin. Elle dokunarak bakın; gözle sticker fark etmek zordur.
- Kodu zor değiştirilir hâle getirin. Lamine edin, çerçeveye veya akrilik standa yerleştirin, mümkünse doğrudan yüzeye baskı yaptırın. Yapıştırılabilir düz bir sticker en kolay hedeftir.
- Kodun etrafına kimliğinizi basın. İşletme adınız, logonuz ve gideceği alan adı kodun yanında yazılı olsun. Müşteri, önizlemedeki adresle karşılaştırabilsin.
- Tanıdık ve sabit bir alan adı kullanın. Müşteriniz her seferinde aynı adresi görürse, farklı bir şey çıktığında fark eder.
- Taramaları izleyin. Ani düşüş, kodunuzun üzerinin kapatılmış olabileceğine dair erken sinyaldir.
Son madde küçük görünür ama pratikte en işe yarayanıdır. Masanızdaki kod normalde günde 40 tarama alıyorsa ve bir sabah 3’e düştüyse, ortada ya bir baskı sorunu ya da üzerine yapıştırılmış bir sticker vardır. Bunu nasıl kuracağınız QR kod istatistikleri nasıl takip edilir yazımızda anlatılıyor.
Dinamik QR Kod Güvenliği Artırır mı?
Kısmen — ve dürüst olmak gerekirse iki tarafı da var. Dinamik QR kod, hedefi doğrudan koda gömmez; kodun içinde sabit bir yönlendirme adresi vardır, gerçek hedefi panelden siz belirlersiniz. Bunun güvenlik açısından iki net faydası vardır:
- Hedefi anında değiştirebilirsiniz. Bir kampanya sayfası ele geçirilirse veya yanlış bir yere gidiyorsa, basılı kodlarınızı toplamadan hedefi düzeltirsiniz. Statik kodda tek çare her şeyi yeniden bastırmaktır.
- Anomaliyi görürsünüz. Tarama sayısındaki ani düşüş veya beklenmedik bir artış, fiziksel bir müdahalenin ilk işareti olabilir.
Dinamik QR ve kısa bağlantılar, doğaları gereği nihai hedefi kullanıcıdan gizler — müşteri önizlemede yönlendirme adresini görür, varış noktasını değil. Bu, dolandırıcıların da kısaltıcıları sevmesinin nedenidir. Bu yüzden dinamik QR kullanacaksanız tanınır ve size ait bir alan adı üzerinden yönlendirme yapmak, güvenden çalmak yerine güven inşa eder.
Özetle: dinamik QR kod tek başına bir güvenlik ürünü değildir. Sizi sahte sticker’dan korumaz — onu ancak fiziksel denetim engeller. Ama bir sorun çıktığında hızlı müdahale etme ve erken fark etme imkânı verir. Restoran ve kafeler için bunun pratik karşılığı, masadaki menü kodunun her zaman aynı adrese gitmesi ve gerektiğinde tek panelden güncellenebilmesidir; QR menü tarafında bu zaten varsayılan çalışma şeklidir.
Kısa Özet
QR kod, kendi başına ne güvenli ne tehlikelidir; sadece bir adres taşıyıcısıdır. Kullanıcı tarafında kural basit: koda dokun, adresi oku, şifre girme. İşletme tarafında kural bir o kadar basit: kodunu denetle, kimliğini yanına yaz, taramalarını izle. Bu ikisi, saldırıların büyük çoğunluğunu daha ilk adımda durdurur. QR kod okurken çıkan önizleme ekranını nasıl doğru okuyacağınızı QR kod nasıl okunur yazımızda bulabilirsiniz.
Kendi QR Kodunuzu Kontrol Altında Tutun
Dinamik QR kod ile hedefinizi istediğiniz an güncelleyin, taramaları izleyin ve bir sorun çıktığında ilk siz fark edin. 3 gün ücretsiz, kredi kartı gerekmez.
Dinamik QR Kod Oluştur