Siber güvenlik alandaki en hızlı büyüyen tehditlerden biri olan “quishing”, bankacılık bilgilerini ele geçirmeyi hedefleyen bir dolandırıcılık yöntemi olarak hızla yayılmakta. Özellikle QR kodları üzerinden gerçekleştirilen bu saldırılar, dikkatli kullanıcılar için bile büyük bir tehlike arz ediyor.
Çek merkezli teknoloji şirketi ČMIS tarafından yapılan bir sosyal deney, bu tuzağa düşmenin ne denli kolay olduğunu gözler önüne serdi. Yapılan araştırmaya göre, sokakta “1 TL’ye pizza” kampanyası sunan bir kişiye ödeme yapmak için tasarlanan QR kodunu okutan bireylerin neredeyse üçte ikisi, şüphe duymadan kredi kartı bilgilerini sahte bir siteye girdi.
Quishing nedir, nasıl çalışır?
Phishing (kimlik avı) saldırılarının bir alt türü olan “quishing”, adını QR kod ve phishing kelimelerinin birleşiminden alıyor. Saldırganlar, bu yöntemde hedeflerini sahte web sitelerine yönlendirmek için QR kodlarını kullanıyor. ČMIS CEO’su Václav Svátek, metodun tehlikelerini şu şekilde açıklıyor: “Saldırganlar, parklardaki, afiş veya reklam panolarındaki sahte QR kodlarıyla hedef alıcıları dolandırıyor. Ayrıca, e-postalarda zararlı bağlantılar içeren PDF dosyalarına gömülen QR kodları da yaygın halde.”
Başarılı olmasının altında psikolojik yanılgı var
Uzmanlar, quishing’in bu denli etkili olmasının arkasındaki sebebin psikolojik bir yanılgı olduğunu belirtiyor. Svátek, “QR kodları, kullanıcılara e-posta üzerindeki bağlantılardan daha güvenilir görünmektedir. Bu durum, dolandırıcılar için son derece çekici hale getiriyor,” diyerek uyarıyor.
100’den 1.386’ya fırladı
Quishing’in hızla arttığına dair küresel veriler de bulunmaktadır. İngiltere’nin siber güvenlik merkezi Action Fraud’a göre, ülkede 2019’da 100 olarak kaydedilen sahte QR kodu vakaları, 2024’te 1.386’ya yükselmiştir. Yazılım güvenliği şirketi Keepnet Labs ise quishing vakalarının bir yıl içinde %25 artış gösterdiğini raporlamaktadır. Çek Cumhuriyeti’nde de siber olayların sayısı rekor seviyeye ulaşmış durumda ve uzmanlar, quishing vakalarının da dünya çapında artmasını bekliyor.
Kontrol etmeden onaylamayın!
Bankalar, quishing’i giderek artan bir tehdit olarak kabul ediyor ve müşterilerini bu konuda sık sık uyarıyor. Česká spořitelna’dan müşteri güvenliği uzmanı Andrea Kameníčková, “QR kod okutulduktan sonra görünen tüm bilgilerin, özellikle hesap numarası ve tutarın, onaylanmadan önce mutlaka kontrol edilmesi gerekir,” açıklamasında bulunmaktadır. Bankalar, kaynağı belirsiz ya da şüpheli QR kodlarının mutlaka taranmaması gerektiği hususunda da uyarıyor.
Nasıl korunabilirsiniz?
Uzmanlar, quishing saldırılarından korunmanın birkaç basit adımla mümkün olduğunu vurguluyor:
Bilinmeyen Kodları Taramayın: Halka açık yerlerde veya güvenilirliğinden emin olmadığınız QR kodlarını okutmaktan kaçının.
URL’yi Kontrol Edin: QR kodunu taradıktan sonra yönlendirildiğiniz web sitesinin URL adresini dikkatlice kontrol edin, özellikle bankacılık siteleri için bu büyük önem taşıyor.
Hassas Verileri Girmeyin: Güvenli olmadığını düşündüğünüz sitelere bankacılık şifrelerinizi veya kart bilgilerinizi girmeyin.
Bu basit ama etkili önlemler, olası büyük kayıpların önüne geçmek için kritik birer savunma mekanizması sağlayacaktır.
