GüvenlikDolandırıcılıkRehberİşletme

QR Kod Dolandırıcılığı (Quishing) Nedir? Korunma Rehberi

QR Kodcum Editör Ekibi8 dk okuma

Sahte QR kod sticker’ları, kargo bildirimleri ve otopark ödemeleri üzerinden yapılan dolandırıcılık artıyor. Quishing nasıl çalışır, taramadan önce nelere bakmalısınız, işletmeler kendi kodlarını nasıl korur?

QR kodlar hayatı kolaylaştırdı: menü, ödeme, WiFi, bilet. Ama aynı kolaylık dolandırıcıların da işine yarıyor. Çünkü bir QR koda bakarak nereye gittiğini anlayamazsınız — bağlantı bir insan için okunabilir değildir. Saldırganlar tam olarak bu kör noktayı kullanıyor. Bu yönteme quishing (QR + phishing) deniyor. Bu rehberde nasıl çalıştığını, taramadan önce yapabileceğiniz kontrolleri ve işletmelerin kendi kodlarını nasıl koruyacağını anlatıyoruz.

Öne çıkanlar
  • QR kodun kendisi virüs taşımaz; risk, açtığınız bağlantıda ve girdiğiniz bilgide başlar.
  • En yaygın yöntem basit: gerçek kodun üstüne sahte sticker yapıştırmak.
  • Taramadan önce kodun fiziksel bütünlüğünü, taradıktan sonra alan adını kontrol edin.
  • QR üzerinden gelen sayfaya asla şifre veya kart bilgisi girmeyin — adresi elle yazıp girin.
  • İşletmeler için: kodları düzenli denetleyin, dinamik QR ile hedefi kendi domaininizde tutun.

Quishing (QR Phishing) Nedir?

Quishing, klasik oltalamanın QR kodlu hâlidir. Saldırgan sizi sahte bir siteye çekmek ister; ama tıklanabilir bir bağlantı yerine bir kare görsel kullanır. Bunun iki büyük avantajı vardır: birincisi, siz bağlantıyı önceden okuyamazsınız. İkincisi, kurumsal e-posta güvenlik sistemleri metindeki bağlantıları tarayıp kara listeyle karşılaştırabilir, ama bir görselin içine gömülmüş QR kodu çoğu zaman göremez. Yani QR kod, filtrelerin etrafından dolaşan bir kapıdır.

İkinci bir incelik daha var: QR kodu genelde telefonla tararsınız. Telefon tarayıcısında adres çubuğu kısadır, alan adının tamamı görünmez ve dikkatiniz masaüstündeki kadar keskin değildir. Saldırgan bunu bilir. Bir QR kodun teknik olarak nasıl veri taşıdığını merak ediyorsanız QR kod nedir, nasıl çalışır yazımızda ayrıntısı var.

QR Kod Dolandırıcılığı Nasıl Yapılıyor? Yaygın Senaryolar

Saldırıların çoğu yüksek teknoloji değil; ucuz bir sticker ve biraz sabır yetiyor. En sık görülen senaryolar:

Yaygın QR dolandırıcılığı senaryoları ve amaçları
SenaryoNasıl işliyor?Amaç
Sticker üstüne stickerOtopark otomatı, elektrikli şarj istasyonu, restoran masası veya afişteki gerçek kodun üzerine sahte kod yapıştırılırSahte ödeme sayfasında kart bilgisi toplamak
Sahte kargo/ceza bildirimiKapıya asılan kâğıtta veya postayla gelen mektupta “gönderiniz bekliyor” diyen bir QR kod bulunurKüçük bir “teslimat ücreti” adı altında kart bilgisi
E-postadaki QR görseliKurumsal görünümlü e-postada “hesabınızı doğrulayın” veya “MFA’nızı yenileyin” diyen bir kod yer alırKurumsal hesap şifresi ve doğrulama kodu
Sahte bağış afişiGerçek bir kampanyanın adı ve logosu kullanılıp QR saldırganın hesabına yönlendirilirDoğrudan para transferi
Sahte WiFi koduKafe/otel adı taşıyan bir kod, saldırganın kurduğu ağa bağlanmayı tetiklerTrafiği izlemek, sahte giriş sayfası göstermek
En çok kaçırılan detay

Dolandırıcılığın büyük kısmı kamusal alandaki fiziksel kodlarda oluyor — otopark, şarj istasyonu, bisiklet kiralama, ilan panosu. Buralarda kimse kodun kime ait olduğunu doğrulamıyor ve bir sticker yapıştırmak saniyeler sürüyor. Sokakta gördüğünüz bir ödeme QR’ına, kapalı bir kafedeki menü QR’ından çok daha şüpheci yaklaşın.

QR Kod Telefona Virüs Bulaştırır mı?

Hayır — en azından doğrudan değil. QR kod çalışan bir program değil, metin taşıyan bir görseldir. İçinde bir bağlantı, bir WiFi bilgisi veya düz metin vardır. Tarama işlemi sadece o metni okur. Zincir şöyle işler: kod bir adres taşır, telefonunuz size “bu adresi açmak ister misiniz?” diye sorar, siz açarsınız ve asıl risk oradan sonra başlar. Yani QR kodu taramak ile sonrasında bilgi girmek arasında büyük bir fark vardır.

Bu yüzden yanlışlıkla bir kodu taramak genelde felaket değildir. Tehlikeli olan üç şey vardır: açılan sayfaya bilgi girmek, indirilen bir dosyayı kurmak ve çıkan izin isteğini onaylamak.

Taramadan Önce ve Sonra: 6 Kontrol

  1. Koda dokunun. Kabarık kenar, hizasız bir kare veya altından başka bir kod görünüyorsa üzerine sticker yapıştırılmış demektir. Taramayın.
  2. Bağlamı sorgulayın. Bir otopark otomatının üzerinde kalitesiz basılmış, elle yapıştırılmış bir kod varsa; işletmenin geri kalanıyla uyumsuzsa şüphelenin.
  3. Önizlemeyi okuyun. Telefonunuz bağlantıyı açmadan önce gösterir. Alan adının sonuna bakın: odeme-guvenli.xyz ile bankaniz.com.tr farklıdır.
  4. Kısa bağlantılara dikkat. bit.ly gibi kısaltıcılar hedefi gizler. Bilinmeyen bir kaynaktan geliyorsa açmayın.
  5. Şifre veya kart isteniyorsa durun. QR’dan gelen bir sayfaya asla giriş yapmayın. Adresi tarayıcıya elle yazın veya uygulamayı açın.
  6. İndirme veya izin isteği çıkarsa reddedin. Bir menüyü görmek için hiçbir uygulama kurmanız gerekmez.
Alan adını doğru okumak

Sahte adresler gerçeğe benzemek için oynar: qrkodcum.tr.odeme-merkezi.com adresi qrkodcum.tr değildir — asıl alan adı odeme-merkezi.com’dur, çünkü belirleyici olan son iki parçadır. Aynı şekilde qrkodcum-tr.com da başka bir sitedir. Soldan değil, sağdan sola okuyun.

Sahte Bir Kodu Taradıysanız Ne Yapmalı?

  1. Sadece taradıysanız: Sayfayı kapatın, bir şey indirmediyseniz ve bilgi girmediyseniz yapmanız gereken başka bir şey yok.
  2. Şifre girdiyseniz: O şifreyi hemen değiştirin. Aynı şifreyi başka yerde kullanıyorsanız oradakileri de değiştirin ve iki adımlı doğrulamayı açın.
  3. Kart bilgisi girdiyseniz: Bankanızı arayın, kartı bloke ettirin ve son hareketleri kontrol edin. Beklemeyin — dakikalar önemlidir.
  4. Dosya indirip kurduysanız: Cihazı ağdan ayırın, uygulamayı kaldırın ve bir güvenlik taraması yapın.
  5. Bildirin: Sahte kodu bir işletmenin alanında gördüyseniz işletmeye haber verin — büyük ihtimalle onların da haberi yok. Maddi zarar oluştuysa usom.gov.tr üzerinden veya emniyete başvurun.

İşletmeler İçin: Kendi QR Kodunuzu Nasıl Korursunuz?

Bu işin ikinci yüzü şu: dolandırıcı sizin müşterinizi sizin masanızda avlarsa, itibar kaybı sizin olur. Müşteri “o kafede QR’ı taradım, kartım çalındı” der. Korunmanın yolları:

  • Fiziksel denetim yapın. Masa stantlarını, vitrini ve afişleri periyodik olarak kontrol edin. Elle dokunarak bakın; gözle sticker fark etmek zordur.
  • Kodu zor değiştirilir hâle getirin. Lamine edin, çerçeveye veya akrilik standa yerleştirin, mümkünse doğrudan yüzeye baskı yaptırın. Yapıştırılabilir düz bir sticker en kolay hedeftir.
  • Kodun etrafına kimliğinizi basın. İşletme adınız, logonuz ve gideceği alan adı kodun yanında yazılı olsun. Müşteri, önizlemedeki adresle karşılaştırabilsin.
  • Tanıdık ve sabit bir alan adı kullanın. Müşteriniz her seferinde aynı adresi görürse, farklı bir şey çıktığında fark eder.
  • Taramaları izleyin. Ani düşüş, kodunuzun üzerinin kapatılmış olabileceğine dair erken sinyaldir.

Son madde küçük görünür ama pratikte en işe yarayanıdır. Masanızdaki kod normalde günde 40 tarama alıyorsa ve bir sabah 3’e düştüyse, ortada ya bir baskı sorunu ya da üzerine yapıştırılmış bir sticker vardır. Bunu nasıl kuracağınız QR kod istatistikleri nasıl takip edilir yazımızda anlatılıyor.

Dinamik QR Kod Güvenliği Artırır mı?

Kısmen — ve dürüst olmak gerekirse iki tarafı da var. Dinamik QR kod, hedefi doğrudan koda gömmez; kodun içinde sabit bir yönlendirme adresi vardır, gerçek hedefi panelden siz belirlersiniz. Bunun güvenlik açısından iki net faydası vardır:

  • Hedefi anında değiştirebilirsiniz. Bir kampanya sayfası ele geçirilirse veya yanlış bir yere gidiyorsa, basılı kodlarınızı toplamadan hedefi düzeltirsiniz. Statik kodda tek çare her şeyi yeniden bastırmaktır.
  • Anomaliyi görürsünüz. Tarama sayısındaki ani düşüş veya beklenmedik bir artış, fiziksel bir müdahalenin ilk işareti olabilir.
Madalyonun diğer yüzü

Dinamik QR ve kısa bağlantılar, doğaları gereği nihai hedefi kullanıcıdan gizler — müşteri önizlemede yönlendirme adresini görür, varış noktasını değil. Bu, dolandırıcıların da kısaltıcıları sevmesinin nedenidir. Bu yüzden dinamik QR kullanacaksanız tanınır ve size ait bir alan adı üzerinden yönlendirme yapmak, güvenden çalmak yerine güven inşa eder.

Özetle: dinamik QR kod tek başına bir güvenlik ürünü değildir. Sizi sahte sticker’dan korumaz — onu ancak fiziksel denetim engeller. Ama bir sorun çıktığında hızlı müdahale etme ve erken fark etme imkânı verir. Restoran ve kafeler için bunun pratik karşılığı, masadaki menü kodunun her zaman aynı adrese gitmesi ve gerektiğinde tek panelden güncellenebilmesidir; QR menü tarafında bu zaten varsayılan çalışma şeklidir.

Kısa Özet

QR kod, kendi başına ne güvenli ne tehlikelidir; sadece bir adres taşıyıcısıdır. Kullanıcı tarafında kural basit: koda dokun, adresi oku, şifre girme. İşletme tarafında kural bir o kadar basit: kodunu denetle, kimliğini yanına yaz, taramalarını izle. Bu ikisi, saldırıların büyük çoğunluğunu daha ilk adımda durdurur. QR kod okurken çıkan önizleme ekranını nasıl doğru okuyacağınızı QR kod nasıl okunur yazımızda bulabilirsiniz.

Kendi QR Kodunuzu Kontrol Altında Tutun

Dinamik QR kod ile hedefinizi istediğiniz an güncelleyin, taramaları izleyin ve bir sorun çıktığında ilk siz fark edin. 3 gün ücretsiz, kredi kartı gerekmez.

Dinamik QR Kod Oluştur

Sıkça Sorulan Sorular

QR kod telefonuma virüs bulaştırır mı?+
QR kodun kendisi bir program değil, yalnızca metin taşıyan bir görseldir; tek başına virüs bulaştıramaz. Risk, kodun içindeki bağlantıyı açtıktan sonra başlar: sahte bir giriş sayfasına bilgi girmeniz veya indirilen bir dosyayı kurmanız zararlıdır. Yani tehlike QR kodda değil, gittiği yerdedir.
Quishing nedir?+
Quishing, “QR” ve “phishing” kelimelerinin birleşimidir. Saldırganın, kurbanı sahte bir siteye yönlendirmek veya zararlı dosya indirtmek için bağlantı yerine QR kod kullanmasıdır. E-posta filtreleri bağlantıları tarayabilir ama görsel içine gömülü bir QR kodu çoğu zaman göremez; saldırganların bu yöntemi tercih etmesinin ana nedeni budur.
Bir QR kodun güvenli olduğunu taramadan önce anlayabilir miyim?+
Tam olarak anlayamazsınız, ama riski büyük ölçüde azaltabilirsiniz. Fiziksel kodun üzerine sticker yapıştırılmış mı diye parmağınızla kontrol edin, telefonunuzun kamerasında çıkan bağlantı önizlemesindeki alan adını açmadan önce okuyun ve tanımadığınız bir alan adıysa açmayın.
Sahte QR kodu taradım, ne yapmalıyım?+
Sadece taradıysanız ve hiçbir bilgi girmediyseniz risk çok düşüktür; sayfayı kapatın. Şifre veya kart bilgisi girdiyseniz şifrenizi hemen değiştirin, bankanızı arayıp kartı bloke ettirin ve hesaplarınızda iki adımlı doğrulamayı açın.
İşletmemin QR kodunun değiştirilmediğinden nasıl emin olurum?+
Masa, vitrin ve afişlerdeki kodları düzenli olarak gözle ve elle kontrol edin; üst üste yapıştırılmış sticker en yaygın yöntemdir. Dinamik QR kod kullanıyorsanız tarama istatistiklerinizdeki ani düşüş, kodunuzun üzerinin kapatıldığına dair erken bir uyarı olabilir.

İlgili Yazılar

QR Kod RehberiQR Kod Nasıl Okunur? iPhone ve Android İçin Adım Adım5 dk okumaQR Kod RehberiDinamik QR Kod Nedir? Statik QR Koddan Farkı ve Avantajları7 dk okumaQR Kod RehberiQR Kod Nedir, Nasıl Çalışır? Statik ve Dinamik QR Kod Rehberi6 dk okuma