Siber Suçlular QR Kodlarını Kendi Avantajları İçin Nasıl İstismar Ediyor?

selen guvenc
Mayıs 8, 2023
  • 1199

2023'de artacağı tahmin edilen yeni tür siber tehditlerle kullanıcılar, ilgili riskler konusunda dikkatli olmalı ve bir sonraki QR kodunu taramadan önce düşünmelidir.

COVID-19 salgınının patlak vermesinden bu yana, dünya çapında tüketici teknolojisinde çarpıcı bir değişiklik oldu. Hızlı Yanıt (QR kodu) teknolojisi, insanlar temassız işlemlere yöneldikten sonra iyi karşılandı ve çokça kullanıldı. Ancak QR kod teknolojisi aracılığıyla yapılan dijital işlemlerin yükselişi, çoğu kişinin farkında olmadığı yeni siber tehditleri de beraberinde getirdi.

Araştırmaya göre, 2020'de dünya çapında 1,5 milyardan fazla kişi dijital işlemler için QR kodlarından yararlandı ve tehdit aktörleri bu eğilimden çoktan yararlandı.

QR Kod Teknolojisi Nasıl Suistimal Edilir?

QR kodu, kullanıcıların dijital bir cihaz aracılığıyla bilgilere anında erişmesini sağlayan bir barkoddur. QR kodları, verileri kare şeklindeki bir ızgarada bir dizi piksel olarak depolar ve çoğunlukla bir tedarik zincirindeki belirli bir ürünün ayrıntılarını izlemek için kullanılır. Tüketici tabanlı QR kodları, kurumsal sistemler ve veriler için ciddi güvenlik tehditleri oluşturur. Birkaç siber suçlu grubu, hedeflenen cihazları tehlikeye atmak ve hassas finansal verileri çalmak için Quishing ve QRLjacking saldırıları yoluyla QR kodlarından yararlanır.

QR Kod Saldırısı Türleri

Kimlik avı saldırıları gibi, tehdit aktörleri de kullanıcıları kötü amaçlı QR kodunu taramaları için kandırmak için farklı tuzaklar ve taktikler kullanır. QR kod saldırılarının türleri şunları içerir:

1. Bitirme

Bir Quishing saldırısında, tehdit aktörleri kötü amaçlı bir QR kodu eki içeren bir kimlik avı e-postası gönderir. Kullanıcı QR kodunu taradığında, kullanıcıyı, oturum açma kimlik bilgileri gibi hassas verileri yakalayan bir kimlik avı sayfasına yönlendirecektir.

2. QRL hırsızlığı

Çoğu kuruluş, parola tabanlı kimlik doğrulama prosedürlerine alternatif olarak Hızlı Yanıt Koduyla Oturum Açma'yı (QRL) kullanır. QRL, kullanıcının oturum açma kimlik bilgileriyle şifrelenmiş bir QR kodunu tarayarak kullanıcıların hesaplarında oturum açmasına olanak tanır.

QRLJacking, oturumu ele geçirme yeteneğine sahip bir sosyal mühendislik saldırısı gibidir ve QR koduyla Oturum Açma özelliğine dayanan tüm hesapları etkiler. Bir QRLjacking saldırısında, tehdit aktörleri, farkında olmayan kullanıcıları meşru olan yerine özel hazırlanmış bir QRL'yi taramaları için kandırırlar. Kurban, kötü niyetli QRL'yi taradığında, cihazın güvenliği aşılır ve saldırganın cihazın kontrolünü tamamen ele geçirmesine izin verilir.

Ek olarak, tehdit aktörleri, QR Kodunu tarayan ücretsiz bir Wi-Fi ağı ile kullanıcıları cezbetmek gibi "bal küpü" tekniklerinden yararlanır. Kötü aktörler ayrıca halka açık yerlerdeki QR kodlarını, kullanıcıları kimlik avı sitelerine yönlendiren kötü niyetli kodlarla değiştirir. Kötü amaçlı QR kodları, kurbanın cihazını kötü amaçlı bir ağa bağlayarak kullanıcının konumunu ortaya çıkarabilir ve sahte ödemeler başlatabilir. Sahte QR kodlarının çoğu, şüpheli barkodlar yerine yalnızca e-posta/site içeriğini tarayan geleneksel güvenlik algılamalarından kolaylıkla kurtulabilir.

QR Kod Saldırıları Nasıl Engellenir?

QR kod taramalarından kaçınmak pratik olmayabilirken, belirli proaktif önlemlerin alınması QR kod teknolojisiyle ilişkili risklerin azaltılmasına yardımcı olabilir.

Bir uygulamaya veya hizmete QR kodu ile giriş yapmayın.
Unutmayın, para almak için QR kodu taramanıza gerek yoktur. Bu nedenle, birisi sizi bunu yapmaya teşvik ettiğinde buna asla inanmayın.
Bir QR kodunu taradığınızda herhangi bir hassas bilginin girilmesi yönünde bir bildirim alırsanız asla ödemeyi başlatmayın.
Şüpheli veya bilinmeyen kaynaklardan rastgele QR kodlarını taramaktan kaçının.
Bilinmeyen kaynaklardan e-posta yoluyla alınan QR kodlarını taramayın.
QR'nin orijinal olduğundan ve başka bir QR ile yapıştırılmadığından emin olun.
Tıklamadan önce URL'yi görüntülemek için QR tarayıcı yazılımını kullanın.

Çözüm

Fidye yazılımı ve kimlik avı saldırıları gibi QR kod saldırıları, küresel tehdit ortamında daha sık görülüyor. 2023'de artacağı tahmin edilen yeni tür siber tehditlerle, kullanıcılar ilgili riskler konusunda dikkatli olmalı ve bir sonraki QR kodunu taramadan önce düşünmelidir.


Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


İlgili İçerik
Duyurular

Generative AI: Üretken Yapay Zeka ile Yaratıcılığın Buluşması

Generative AI, kendinden öğrenen algoritmaları kullanarak yeni veriler oluşturabilen yapay zekâ sistemlerini ifade eder. Bu sistemler, önceden belirlenmiş bir kural seti veya model üzerinden gerçekçi ve özgün içerikler üretebilirler.

selen guvenc Mayıs 20

ISO/IEC 42001:2023 Yapay Zekâ Yönetim Sistemi

ISO/IEC 42001, kuruluşlar içerisinde Yapay Zekâ Yönetim Sisteminin (AIMS) kurulması, uygulanması, sürdürülmesi ve sürekli olarak iyileştirilmesine yönelik gereksinimleri belirleyen uluslararası bir standarttır.

selen guvenc Mayıs 20

Perakende Günleri Yaklaşıyor: Mobildev Standımıza Sizleri Bekliyoruz!

Mobildev olarak, Perakende Günleri’nde Kurumsal Mesajlaşma Sponsoru olarak yerimizi aldık. Hall 3’de bulunan 316 numaralı standımızda, sektördeki işletmelerin dönüşümüne katkı sağlayacak çözümlerimizi ve uzmanlığımızı sergileyeceğiz.

selen guvenc Mayıs 20

Mobildev&Teknosa 30 Mayıs'ta Perakende Günleri'nde!

Teknosa Müşteri Deneyimi, Crm ve Veri Analitiği Grup Müdürü Duygu Bayram ile Mobildev Kurucusu ve Genel Müdürü Ozan Özgür Erdoğan, uzmanlık sahnesinde gerçekleştireceğimiz oturumda bir araya geliyor!

selen guvenc Mayıs 20

Sosyal Medyada İtibar ve Kriz Yönetimi

Mobildev Pazarlama Sohbetleri webinar serimiz, 24 Mayıs Cuma günü gerçekleşecek olan "Sosyal Medyada İtibar ve Kriz Yönetimi" konulu on altıncı webinarı ile devam ediyor.

selen guvenc Mayıs 19

"Sağlık Sektöründe Devrim Yaratan Dijital Pazarlama Stratejileri 2024" Şimdi YouTube ve Spotify'da Yayında!

“Sağlık Sektöründe Devrim Yaratan Dijital Pazarlama Stratejileri 2024” konulu webinarımız; kaçıranlar veya tekrar izlemek isteyenler için Youtube, dinlemek isteyenler için Spotify kanallarımıza yüklenmiştir.

selen guvenc Mayıs 17

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.