QR Kodlarla Gelen Risk: Quishing

ŞUBAT 2026 -- 2 of 14 -- QR Kodlarla Gelen Risk: QUISHING 1 İÇİNDEKİLER 1. Quishing Nedir? / 4 2. Quishing Saldırıları Nasıl Gerçekleştirilir? / 6 3. Quishing Saldırıları Nasıl Tespit Edilebilir? / 7 4. Quishing Saldırılarına Karşı Bireyler Nelere Dikkat Etmelidir? / 9 -- 3 of 14 -- -- 4 of 14 -- QR Kodlarla Gelen Risk: QUISHING 3 QR kodlar, son yıllarda restoran menülerinin incelenmesinden çevrim içi ve çevrim dışı ürün veya hizmetlere ilişkin ödeme işlemlerinin gerçekleşti- rilmesine, internet sitelerine hızlı erişim sağlanmasından bilgi paylaşımına kadar gündelik yaşamın birçok alanında yaygın şekilde kullanılmaktadır. QR kod kullanımının ağırlıklı olarak mobil cihazlar aracılığıyla gerçek- leştirilmesi ve bu cihazların bireylerin gündelik yaşamlarının ayrılmaz bir parçası hâline gelmesi, QR kod teknolojisinin erişilebilirliğini ve kullanım sıklığını artırmıştır. QR kodlar, hızlı erişim imkânı ve kullanım kolaylığı sunmakla beraber, bu kodlar aracılığıyla yönlendirilen içerikler kişisel ve- rilerin güvenliği ve gizliliği bakımından birtakım riskler doğurabilmekte- dir. Bu kapsamda, bireylerin fiziksel veya dijital ortamlarda karşılaştıkları QR kodları taramaları sonucunda, farkında olmaksızın oltalama saldırıla- rının hedefi hâline gelmeleri mümkün olabilmektedir. Bu dokümanda, QR kodlar aracılığıyla gerçekleştirilen bir oltalama sal- dırısı türü olan quishing ele alınmakta olup, bu saldırı türünün ne olduğu, nasıl gerçekleştirildiği, nasıl tespit edilebileceği ve quishing saldırılarına karşı bireyler tarafından dikkat edilmesi gereken hususlar genel hatlarıyla açıklanmaktadır. -- 5 of 14 --

dırısı türü olan quishing ele alınmakta olup, bu saldırı türünün ne olduğu, nasıl gerçekleştirildiği, nasıl tespit edilebileceği ve quishing saldırılarına karşı bireyler tarafından dikkat edilmesi gereken hususlar genel hatlarıyla açıklanmaktadır. -- 5 of 14 -- QR Kodlarla Gelen Risk: QUISHING 4 1. Quishing Nedir? “QR” (Quick Response) ve “oltalama” (phishing) kelimelerinin birleşi- minden oluşan “quishing”(QR phishing); siber tehdit aktörlerinin sahte veya sonradan değiştirilmiş QR kodları (karekodları) kullanarak bireyleri kötü amaçlı internet sitelerine yönlendirmesi, kişisel verilerini paylaşma- ya ikna etmesi ya da cihazlarına zararlı yazılımlar yüklemelerine neden olması şeklinde gerçekleştirilen bir oltalama yöntemidir. Bu çerçevede quishing saldırılarının işleyişi, QR kod teknolojisi ile oltalama yöntemi olmak üzere temelde iki bileşenin bir araya gelmesine dayanmaktadır. Genel olarak bakıldığında QR kodlar; metin, iletişim bilgileri veya bir internet sitesi adresi gibi farklı türde bilgileri depolayabilen ve mobil cihazlar ya da barkod okuyucular aracılığıyla hızlı biçimde taranabilen iki boyutlu barkodlardır. QR kodlarla hem fiziksel or- tamlarda (afişler, restoranlar veya broşürler gibi) hem de dijital ile- tişim kanallarında (kısa mesajlar, sosyal medya platformları veya e-posta içerikleri gibi) yaygın şekilde karşılaşılmaktadır. QR kodlar, yönlendirdikleri içeriğin sonradan değiştirilebilme du- rumuna bağlı olarak temelde “statik” ve “dinamik” olmak üzere iki gruba ayrılmaktadır. Statik QR kodlarda, kod oluşturulduktan sonra içerdiği bilginin değiştirilmesi öngörülmemekte olup, bu tür kodlar genellikle sabit nitelikteki içeriklerin paylaşılması amacıyla kullanılmaktadır. Dinamik QR kodlar ise kodun görsel yapısı de- ğişmeden, yönlendirdiği hedef içeriğin güncellenebilmesine imkân tanımaktadır. Dinamik QR kodların sağladığı bu esneklik, içeriklerin sık güncel- lenmesini gerektiren durumlar açısından fayda sağlamakla birlikte, ↘ -- 6 of 14 --

kullanılmaktadır. Dinamik QR kodlar ise kodun görsel yapısı de- ğişmeden, yönlendirdiği hedef içeriğin güncellenebilmesine imkân tanımaktadır. Dinamik QR kodların sağladığı bu esneklik, içeriklerin sık güncel- lenmesini gerektiren durumlar açısından fayda sağlamakla birlikte, ↘ -- 6 of 14 -- QR Kodlarla Gelen Risk: QUISHING 5 bazı durumlarda quishing saldırıları bakımından önemli bir risk unsuru oluşturabilmektedir. Zira siber tehdit aktörleri, bireyler ta- rafından meşru ve güvenilir olduğu varsayılan QR kodların yönlen- dirdiği kaynağı, dinamik QR kodların arka planda bir yönlendirme adresi üzerinden çalışması nedeniyle, kodun görsel yapısında her- hangi bir değişiklik olmaksızın sonradan kötü amaçlı bir kaynağa dönüştürebilmekte ve bu yolla bireyleri zararlı internet sitelerine yönlendirebilmektedir. Genel anlamıyla oltalama, saldırganların güvenilir bir kişi veya kuruluştan geldiği izlenimi veren iletişimler aracılığıyla bireyleri kandırmayı ve bu yolla kötü amaçlı internet sitelerine yönlendiren bağlantılara tıklama, kişisel bilgilerini paylaşma veya zararlı yazılım içeren eklenti ya da dosyaları indirme gibi eylemleri gerçekleştir- meye sevk etmeyi amaçladıkları bir saldırı yöntemidir. Bu tür saldırılar uzun süre ağırlıklı olarak e-posta aracılığıyla ger- çekleştirilmiş ve bu süreçte bireylerin dikkatini çekmek ve güven- lerini kazanmak amacıyla ikna edici mesaj içeriklerinden yarar- lanılmıştır. Bununla birlikte, saldırganların daha etkili ve başarılı sonuçlar elde etme arayışı, oltalama yöntemlerinin zaman içerisin- de çeşitlenmesine yol açmış ve farklı iletişim kanallarının kullanıl- masıyla yeni oltalama türlerinin ortaya çıkmasına neden olmuştur. Bu kapsamda, sesli aramalar üzerinden gerçekleştirilen “vishing” (voice phishing), kısa mesajlar aracılığıyla yürütülen “smishing” (SMS phishing) ve QR kodlar kullanılarak gerçekleştirilen “quis- hing”, oltalama saldırıları kapsamında başvurulan yöntemler ara- sında yer almaktadır. ↘ -- 7 of 14 --

Bu kapsamda, sesli aramalar üzerinden gerçekleştirilen “vishing” (voice phishing), kısa mesajlar aracılığıyla yürütülen “smishing” (SMS phishing) ve QR kodlar kullanılarak gerçekleştirilen “quis- hing”, oltalama saldırıları kapsamında başvurulan yöntemler ara- sında yer almaktadır. ↘ -- 7 of 14 -- QR Kodlarla Gelen Risk: QUISHING 6 2. Quishing Saldırıları Nasıl Gerçekleştirilir? Quishing saldırıları, siber tehdit aktörlerinin QR kodlar aracılığıyla birey- leri kötü amaçlı internet sitelerine veya zararlı içeriklere yönlendirmesi mekanizmasına dayanmaktadır. Bu kapsamda saldırganlar, bireylerin za- rarsız veya gerekli bir QR kodla etkileşimde bulundukları izlenimini oluş- turmayı amaçlamakta ve bu doğrultuda, bilinen bir internet sitesini taklit edecek şekilde hazırlanmış sahte giriş sayfalarına yönlendiren bağlantılar, zararlı yazılım içeren indirilebilir dosyalar ya da sahte ödeme süreçlerine ait unsurlar barındıran QR kodlar oluşturmaktadır. Oluşturulan bu QR kodlar, afiş veya broşür gibi fiziksel ortamlarda ko- numlandırılabildiği gibi, e-posta yoluyla görsel unsur olarak da bireylere iletilebilmektedir. QR kodların e-posta yoluyla görsel biçimde iletilmesi, bu kodlar aracılığıyla gizlenen kötü amaçlı bağlantıların bazı e-posta gü- venlik sistemleri tarafından tespit edilmesini zorlaştırabilmektedir. Kişinin QR kodu taramasıyla birlikte, kötü amaçlı bir internet sitesine yönlendirme yapılabilmekte veya zararlı bir yazılım ya da dosyanın indi- rilmesine yol açabilecek bir etkileşimde bulunulması talep edilebilmekte- dir. Bu aşamada kişiden sahte bir oturum açma arayüzü üzerinden kimlik doğrulama ya da ödeme bilgilerini girmesi istenebilmekte ve bu durum, finansal veriler dâhil olmak üzere kişisel verilerin yetkisiz kişilerce ele geçirilmesine yol açabilmektedir. -- 8 of 14 --

dir. Bu aşamada kişiden sahte bir oturum açma arayüzü üzerinden kimlik doğrulama ya da ödeme bilgilerini girmesi istenebilmekte ve bu durum, finansal veriler dâhil olmak üzere kişisel verilerin yetkisiz kişilerce ele geçirilmesine yol açabilmektedir. -- 8 of 14 -- QR Kodlarla Gelen Risk: QUISHING 7 Siber tehdit aktörleri, bireyleri kötü amaçlı bir içeriğe yönlendirecek şekilde yapılandırılmış bir QR kod oluşturmaktadır. Bu QR kod, e-posta içeriklerine görsel olarak eklenmekte veya fiziksel ortamlarda bireylerin erişimine sunulmaktadır. Kişinin QR kodu taramasıyla birlikte, kötü amaçlı bir internet sitesine yönlendirme yapılabilmekte veya kişi, zararlı bir dosyayı indirmeye yönlendirilebilmektedir. Bu süreç sonunda kötü niyetli kişiler, kimlik veya ödeme bilgileri gibi kişisel verileri ele geçirebilmektedir. 3. Quishing Saldırıları Nasıl Tespit Edilebilir? QR kodların sunduğu kolaylık ve hızlı erişim imkânı, bu yöntemin yay- gın biçimde kullanılmasında etkili olmakta ve quishing saldırılarının uy- gulanmasını kolaylaştıran unsurlar arasında yer almaktadır. QR kodların görsel olarak büyük ölçüde benzerlik göstermesi ve yönlendirdikleri içe- riğin tarama öncesinde her zaman açık ve anlaşılır biçimde değerlendiri- lememesi, bireylerin olası güvenlik risklerini ilk bakışta fark etmelerini zorlaştırabilmektedir. Bununla birlikte, hem fiziksel ortamlarda hem de dijital iletişim kanalları aracılığıyla sunulan QR kodların çeşitli gösterge- ler üzerinden değerlendirilmesi, bu tür saldırıların tespit edilmesine katkı sağlayabilecektir. Bu kapsamda, QR kodlarla etkileşim sürecinde dikkate alınabilecek bazı hususların şu şekilde örneklendirilmesi mümkündür: -- 9 of 14 --

ler üzerinden değerlendirilmesi, bu tür saldırıların tespit edilmesine katkı sağlayabilecektir. Bu kapsamda, QR kodlarla etkileşim sürecinde dikkate alınabilecek bazı hususların şu şekilde örneklendirilmesi mümkündür: -- 9 of 14 -- QR Kodlarla Gelen Risk: QUISHING 8 Fiziksel Ortamlarda Sunulan QR Kodlar QR kodların kamuya açık alanlarda yer alan basılı yüzeylerde, sonradan eklenmiş izlenimi vermesi, üst üste yapıştırılmış olması veya bulunduğu yüzeyin doku ve tasarımıyla uyumsuz görünmesi Fiziksel ortamlarda sunulan QR kodlar aracılığıyla, kaynağı açıkça belirtilmeyen veya olağan dışı ölçüde avantajlı ödeme, indirim ya da kampanya tekliflerine yönlendirme yapılması Dijital İletişim Kanalları Üzerinden Sunulan QR Kodlar Bilinmeyen veya beklenmeyen göndericilerden; e-posta, kısa mesaj ya da sosyal medya platformları aracılığıyla talep edilmemiş şekilde QR kod iletilmesi Hesap güvenliği, şüpheli işlem bildirimi veya teslimat problemi gibi gerekçelerle aciliyet, panik ya da merak duygusu uyandırarak QR kodun taratılmasının istenmesi Göndereni açık bir şekilde tanımlamayan veya meşru bir kurumla ilişkilendirilmesi güç iletiler aracılığıyla QR kod paylaşılması QR Kodun Taranması Sonrasında Ortaya Çıkabilecek Durumlar QR kodun taranmasının ardından, kişinin kimlik doğrulama bilgileri veya kredi kartı bilgileri gibi verilerini girmesi istenen bir sayfaya yönlendirilmesi Açılan internet sayfasının, temsil ettiği iddia edilen kurum veya hizmetle uyuşmayan bir alan adına yönlendirme yapması Hizmet alınan yerlerde, yetkili kurum veya işletme ile ilişkisi doğrulanamayan ödeme sayfalarına yönlendirme yapılması QR kodun taranması sonrasında beklenmeyen dosya indirme işlemleri, ek yönlendirmeler veya ilave kullanıcı etkileşimleri ortaya çıkması ↘ ↘ ↘ ↘ ↘ ↘ ↘ ↘ ↘ SCAN ME -- 10 of 14 --

doğrulanamayan ödeme sayfalarına yönlendirme yapılması QR kodun taranması sonrasında beklenmeyen dosya indirme işlemleri, ek yönlendirmeler veya ilave kullanıcı etkileşimleri ortaya çıkması ↘ ↘ ↘ ↘ ↘ ↘ ↘ ↘ ↘ SCAN ME -- 10 of 14 -- QR Kodlarla Gelen Risk: QUISHING 9 4. Quishing Saldırılarına Karşı Bireyler Nelere Dikkat Etmelidir? Quishing saldırıları, geleneksel oltalama saldırılarının genel özelliklerini büyük ölçüde taşımakla birlikte, QR kodlar aracılığıyla gerçekleştirilme- leri nedeniyle uygulamada farklı biçimlerde ortaya çıkabilmektedir. Bu durum, quishing saldırılarının ele alınmasında ve bu tür saldırılara karşı farkındalığın artırılmasında, QR kodların kullanımı kapsamında ortaya çı- kabilecek risklerin dikkate alınmasını gerekli kılmaktadır. Bu çerçevede, bu tür tehditlere karşı korunmak için dikkat edilmesi gereken hususlardan bazıları şu şekildedir: ↘ Kamuya açık alanlardaki QR kodlara karşı dikkatli olunuz. Son- radan yapıştırılma, hizasızlık veya pikselleşme gibi fiziksel değişik- likler olup olmadığını kontrol ediniz. Şüpheli görünen kodları tarama- yınız. ↘ QR kodun kaynağını doğrulayınız. Kodları yalnızca güvenilir kaynaklardan tarayınız. Tanımadığınız kişilerden veya beklenmedik e-posta/mesajlardan gelen QR kodları taramaktan kaçınınız. Özellikle aciliyet, panik veya merak duygusu uyandıracak şekilde kurgulanmış mesajlara karşı temkinli olunuz. ↘ Güvenilir QR kod okuyucuları tercih ediniz. Çoğu akıllı telefonun kamera uygulaması QR kodları doğrudan tarayabilmekle birlikte, üçüncü taraf bir uygulama kullanmanız gerekmesi durumunda bu uy- gulamanın güvenilir olduğundan emin olunuz. ↘ Yönlendirildiğiniz bağlantıyı inceleyiniz. Tarama sonrası ulaştığınız bağlantının gerçekten doğru siteye veya mobil uygulamaya ait olup ol- madığını kontrol ediniz. Bu kapsamda yazım hataları, farklı karakterler veya alışılmadık uzantılar bulunup bulunmadığına dikkat ediniz. -- 11 of 14 --

↘ Yönlendirildiğiniz bağlantıyı inceleyiniz. Tarama sonrası ulaştığınız bağlantının gerçekten doğru siteye veya mobil uygulamaya ait olup ol- madığını kontrol ediniz. Bu kapsamda yazım hataları, farklı karakterler veya alışılmadık uzantılar bulunup bulunmadığına dikkat ediniz. -- 11 of 14 -- QR Kodlarla Gelen Risk: QUISHING 10 ↘ Kişisel bilgi taleplerine karşı dikkatli olunuz. İlgili kodu tarama- nızın ardından kişisel bilgilerinizi talep eden bir bağlantıya yönlendi- rilmeniz durumunda, bilgilerinizi paylaşmadan önce internet sitesinin doğruluğundan emin olunuz. Mümkünse ilgili adresi tarayıcınıza ma- nuel olarak giriniz. ↘ Cihaz ve hesap güvenliğinizi güçlendiriniz. İşletim sisteminizi gün- cel tutmaya, güçlü parolalar belirlemeye ve mümkünse çok faktörlü kimlik doğrulama kullanmaya özen gösteriniz. UNUTMAYIN! QR kodlar pratik bir araç olsa da kötüye kullanıldıklarında kişisel verileriniz için risk oluşturabilir. Farkındalıkla hareket etmek, olası risklere karşı en güçlü korumadır. -- 12 of 14 -- -- 13 of 14 -- Nasuh Akar Mh. 1407. Sk. No:4 06520 Çankaya/Ankara Tel: 0312 216 50 00 www.kvkk.gov.tr -- 14 of 14 --