QR Kod Dolandırıcılığı (Quishing): Sahte QR Kodları Nasıl Tanır ve Korunursunuz

Hızlı Cevap: Quishing, QR kodunun içine gizlenmiş bir bağlantıyla yapılan kimlik avıdır. Saldırgan, gerçek bir QR kodun üzerine sahtesini yapıştırır ya da e-postaya bir QR gömerek sizi sahte giriş sayfasına veya zararlı bir uygulamaya yönlendirir. QR'da adres görünmediği için kullanıcı nereye gittiğini göremez ve e-posta güvenlik filtreleri çoğu zaman koddaki bağlantıyı çözemez. Korunmanın özü: beklenmeyen QR'a güvenmeyin, okuttuktan sonra açmadan önce adresi önizleyin, giriş için her zaman resmi uygulamayı ya da elle yazdığınız adresi kullanın.

QR kodları pandemiyle birlikte menülerden ödeme ekranlarına kadar her yere yayıldı ve dolandırıcılar da bu güveni hedef aldı. ABD Federal Ticaret Komisyonu (FTC), "dolandırıcılar zararlı bağlantıları QR kodların içine gizliyor" başlıklı bir tüketici uyarısı yayımladı; FBI ise daha 2022'de siber suçluların QR kodları kurcaladığına dair kamu duyurusu çıkardı. Tehlike basit bir nedenden kaynaklanır: bir bağlantıya tıklamadan önce adresini görebilirsiniz, ama bir QR koduna baktığınızda yalnızca siyah beyaz kareler görürsünüz, gittiğiniz yeri okutana kadar bilemezsiniz.

Quishing nasıl çalışır

1. Fiziksel üzerine yapıştırma. Saldırgan, otopark ödeme makinesindeki, restoran masasındaki ya da afişteki gerçek QR kodun üzerine kendi sahte etiketini yapıştırır. Okutan kişi, ödeme bilgilerini ya da giriş şifresini sahte bir sayfaya girer.
2. E-postaya gömülü QR. Saldırgan, bir kimlik avı bağlantısını metne koymak yerine QR koduna çevirip e-postaya görsel olarak ekler. Kurumsal e-posta tarayıcıları metindeki bağlantıları kontrol eder ama görsel içindeki QR kodunun adresini çoğu zaman çözemez, böylece filtreyi atlatır. Kullanıcı telefonuyla okutur ve şirket bilgisayarındaki korumanın dışına çıkar.
3. Sahte ödeme ve teslimat. "Kargonuz beklemede, QR ile ödeyin" ya da "cezanızı QR ile yatırın" temalı sahte kodlar, kartınızı bir dolandırıcılık sayfasına girdirir.
4. Zararlı uygulama kurulumu. Bazı kodlar bir kimlik avı sayfası yerine doğrudan zararlı bir uygulama indirme adresine götürür.

Kurumsal risk: QR ile MFA ve hesap avı

Quishing'in en tehlikeli biçimi kurumsal e-postada görülür. Saldırgan, Microsoft 365 ya da banka temalı bir e-postaya "hesabınızı doğrulayın" diyen bir QR koyar. Çalışan koddaki adresi telefonuyla açar, sahte bir giriş sayfasına kullanıcı adı, şifre ve hatta tek seferlik doğrulama kodunu girer. Bu, klasik oltalamanın URL filtrelerini atlatan bir varyantıdır ve kurumsal farkındalık eğitimlerinin yeni odağıdır. Tehdit hızla büyüyor: Microsoft'un tehdit istihbaratına göre QR temelli kimlik avı 2026'nın ilk çeyreğinde aylık 7,6 milyondan 18,7 milyona, yani yüzde 146 arttı. Abnormal Security ise üst düzey yöneticilerin QR saldırılarına 42 kat daha fazla maruz kaldığını ve bu saldırıların yaklaşık dörtte birinin sahte çok faktörlü doğrulama bildirimi içerdiğini raporladı. Kurumların çalışanlarını bu senaryoya hazırlaması için oltalama ve sosyal mühendislik simülasyonu hizmetinden yararlanması, klasik kimlik avı için de phishing e-postası nasıl anlaşılır rehberini incelemesi gerekir.

Madde madde korunma

1. Beklenmeyen QR'a güvenmeyin. E-postayla, SMS ile ya da sokakta karşınıza çıkan ve aciliyet dayatan kodları okutmayın.
2. Okuttuktan sonra adresi önizleyin. Çoğu telefon kamerası, QR'ı okutunca açmadan önce hedef adresi gösterir. Adres beklediğiniz kurumun resmi alan adı değilse kapatın.
3. Giriş ve ödemeyi QR'dan başlatmayın. Banka ya da kurum hesabınıza her zaman resmi uygulamadan ya da elle yazdığınız adresten girin.
4. Fiziksel kurcalamayı kontrol edin. Ödeme makinesi ya da afişteki kodun üzerine yapıştırılmış bir etiket varsa şüphelenin.
5. Çok faktörlü kimlik doğrulama kullanın, tercihen phishing dirençli olanı. SMS kodu yerine passkey ya da donanım anahtarı, çalınan şifrenin tek başına yetmemesini sağlar. Ayrıntı için parola, 2FA ve passkey rehberimize bakın.
6. Kurumsal farkındalık. Çalışanlara e-posta içindeki QR'ların yeni bir oltalama yöntemi olduğunu öğretin ve şüpheli kodları bildirmelerini sağlayın.

Dolandırıldıysanız ne yapmalı

Kart bilgilerinizi girdiyseniz derhal bankanızı arayın ve kartı bloke ettirin; hesabınıza giriş yaptıysanız şifrenizi değiştirin ve oturumları kapatın. Olayı USOM üzerinden bildirebilir, maddi zarar varsa Cumhuriyet Başsavcılığına ya da Siber Suçlarla Mücadele birimine başvurabilirsiniz. Banka dolandırıcılığı sonrası adımlar için internetten dolandırıldım, ne yapmalı yazımız yol gösterir.

Sıkça Sorulan Sorular

QR kodu okutmak tek başına tehlikeli mi? Okutmak genelde sadece bir adresi gösterir. Tehlike, açılan sayfaya bilgi girmek ya da indirilen uygulamayı kurmaktır. Adresi önizleyip şüpheliyse kapatın.

E-postadaki QR neden daha tehlikeli? Güvenlik tarayıcıları görsel içindeki kodun adresini çoğu zaman çözemez, böylece kod filtreyi atlatır ve siz korumadan habersiz sahte sayfaya gidersiniz.

Telefonum QR'dan virüs kapar mı? Doğrudan okutmak nadiren bulaştırır; risk, kodun yönlendirdiği sahte uygulamayı kurmaktan gelir. Uygulamaları yalnızca resmi mağazadan kurun.

Kaynaklar

• FTC, Scammers hide harmful links in QR codes to steal your information (Aralık 2023): https://consumer.ftc.gov/consumer-alerts/2023/12/scammers-hide-harmful-links-qr-codes-steal-your-information
• FBI IC3, Cybercriminals Tampering with QR Codes (Ocak 2022): https://www.ic3.gov/PSA/2022/PSA220118
• Microsoft Tehdit İstihbaratı, e-posta tehdit ortamı Q1 2026 (QR kimlik avı yüzde 146 arttı): https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/
• Abnormal Security, QR kod saldırıları raporu (yöneticiler 42 kat hedef): https://abnormal.ai/blog/data-shows-c-suite-receives-42x-more-qr-code-attacks
• CISA, phishing dirençli çok faktörlü kimlik doğrulama: https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf
• USOM ihbar: https://www.usom.gov.tr/ihbar

Çalışanlarınızı e-posta ve QR temelli kimlik avına karşı sınamak için DSET ile iletişime geçin.