QR Kodlu Hack Saldırısı: QUISHING

QR kodları özellikle Covid 19 sebebiyle gerekli olan temazsız işlem sebebiyle oldukça yaygın hale geldi. ATM kullanımında, kafelerde, restoranlarda, uygulama erişimlerinde ve daha birçok işlemde kullanır hale geldiğimiz QR kodları yeni sayılabilecek bir sistem ve kötü niyetli kişiler tarafından güvenlik açıkları tespit edilmiş durumda.

QR kodlu hack saldırısı olarak bilinen ve kişisel bilgilerimizi, banka erişimlerimizi tehdit eden mobil saldırılar hakkında bilgiye bu yazıdan ulaşabilirsiniz.

QUISHING Nedir?

QOUISHING, QR kodlu hack saldırılarının genel tanımıdır. Pek çok farklı alanda kullanılmakta olan QR kodları, genel olarak güvenilir bir sistem olsa da güvenilir olmayan yerlerde kullanıldığından mobil cihazlarımızı ve bizleri tehdit eder hale gelebiliyor.

Kullanıcıları web sitesine yönlendirme, ürün ve hizmet hakkında bilgi verme özelliği de olan QR kodlar, bu gibi işlemler esnasında güvensizleşebiliyor.

 QR kodu ile mobil erişim sağlarken kodun kim tarafından önerildiğine ve sunulduğuna dikkat etmek gerekir.

QUISHING Nasıl Yapılır?

QR kodlu hack saldırıları kullanıcının güvenerek taradığı QR kodunun mobil cihaz bilgilerine ve banka bilgilerine erişmesi ile gerçekleşir. Genellikle QR kod taraması yapıldıktan sonra kullanıcıdan kişisel verilerinin paylaşımını onaylaması ya da bir sistem girişi yapması beklenir. Oysa QR kodlarının yapması gereken yalnızca yönlendirmedir ve yönlendirilen sitelere herhangi bir girişin yapılması gerekmez. Sistem, kullanıcı girişleri yalnızca bankaların mobil uygulamalarında ya da çeşitli yasal-kurumsal uygulamalarda gerçekleştirilir.

Kötü amaçlı yazılım saldırıları: Kullanıcıları sitelere, ürün ve hizmet sunumlarına yönlendiren yasal gibi görünen QR kodları kimlik bilgileri, kredi kartı verileri gibi önemli bilgileri çalmak amacıyla kullanılabilir. Genellikle kod taraması sonrasında kullanıcıya otomatik yönlendirmeler yapılır. Eğer banka gibi güvenlik sistemi içeren ve güvenlik prosedürü gereği şifre isteyen kurumsal veri tabanlı kodlar değilse, kullanıcıların otomatik yönlendirmeleri onaylamaması gerekir.

QRL Kaçırma: Alışveriş esnasında ödemeleri kolaylaştırmak için geliştirilmiş QRL sistemi kötü amaçlı kişiler tarafından kullanılabilir. Bunun için hackerler; nakitsiz ödeme yapılabilen yasal QR kodlarını banka bilgilerini ve hesap bilgilerini deşifre eden yasal olmayan bir kod ile değiştirirler. Yasal kod okuttuğunu düşünen kullanıcı hack saldırısı içeren kodu tarar ve mobil uygulamalarına, banka hesaplarına erişim sağlanır.

QUISHING Tehlikeleri Nelerdir?

Qr kodlu hack saldırısı ile kötü niyetli kişilerin yapabilecekleri şunlardır:

  • QR kodu ile mobil cihazda yeni bir kişi listesi oluşturulabilir.
  • Cihazda var olan kişilere erişilebilir.
  • Kişilere mesaj gönderebilir, arama yapılabilir.
  • Cihazdaki güvenlik açıkları tetiklenebilir.
  • Kullanıcının konum bilgilerine erişilebilir.
  • Cihaza istenmeyen içerikler yüklenebilir.
  • Kişiye özel içeriklere ve görsellere QR kod ile erişim sağlanabilir.
  • QR kodlu hack saldırıları ile e posta hesaplarına erişilebilir, e-posta gönderilebilir.
  • Sosyal medya hesapları ele geçirilebilir.
  • Banka hesaplarına, e-devlet hesabına erişim sağlanabilir.

Not: Yukarıda saydıklarımız kötü niyetli kişilerce oluşturulan, yasal olmayan QR kodları ile yapılır. Yasal QR kodları, güvenilir kurumlara ait QR kodları bu tip amaçlarla oluşturulmazlar.

Korunmak için Neler Yapılabilir?

QR kodlu hack saldırılarından korunmak için bilinçli ve temkinli bir tavır takınmak gerekiyor.

  • Öncelikle ilk defa gittiğiniz ya da güvenlik sistemi olmayan yerlerde kod taraması yapmayın. Eğer bir restoran ya da kafede QR kodun hangi şirket tarafından oluşturduğunu sorarak kurumu tarayıcınızdan araştırın.
  • Mümkünse işleminizi QR kodu olmadan yapmaya çalışın
  • Tarama sonrası oturum açma, erişim onayı gibi platformlara yönlendiriliyorsanız işlemleri onaylamayın, oturum açmayın. 
  • Yasal olduğundan emin değilseniz e-posta yoluyla gönderilen kodları taramayın.
  • Eğer orijinal mağazadan ya da güvenilir bir tedarikçi mağazadan ürün almıyorsanız ürüne QR kod taraması yapmayın.
Tasarlab