QR Kod Saldırıları Nasıl Çalışır (Ve Nasıl Güvende Kalınır)

Q: Kaçmak nedir?

Quishing, QR kodları aracılığıyla yapılan kimlik avıdır. Saldırganlar meşru QR kodlarını, kurbanları sahte giriş sayfalarına yönlendiren veya kötü amaçlı yazılım indirmelerini tetikleyen kötü amaçlı kodlarla değiştirir.

Q: QR kodunu taramak kötü amaçlı yazılım yükleyebilir mi?

Çoğu modern telefonda, yalnızca bir QR kodunu taramak ilk önce bir URL önizlemesini gösterir. Ancak bağlantıya dokunursanız, tarayıcının güvenlik açıklarından yararlanan veya sizi kötü amaçlı bir uygulama indirmeniz için kandıran bir sayfaya yönlendirebilirsiniz.

Sibergüvenlik14 Mart 2026·7 dakika okuma

QR kodları her yerde mevcut hale geldi; restoran menüleri, park sayaçları, ürün ambalajları, etkinlik biletleri. Kolaylıkları onlara dolaylı olarak güvenmemizi sağladı. Ancak bu güven, siber suçluların quishing (QR kimlik avı) adı verilen büyüyen saldırı dalgasında tam olarak istismar ettiği şeydir.

Kapatmak Nedir?

Quishing, "QR" ve "phishing"i birleştirir. Saldırganlar size şüpheli bir e-posta bağlantısı göndermek yerine fiziksel dünyaya veya dijital belgelere kötü amaçlı QR kodları yerleştirir. Bu kodlar tarandığında sizi kimlik bilgilerinizi veya mali bilgilerinizi çalmak veya kötü amaçlı yazılım yüklemek üzere tasarlanmış ikna edici sahte web sitelerine yönlendirir.

FBI, 2023 ile 2025 yılları arasında QR kodu dolandırıcılığı vakalarında %300 artış bildirdi ve kayıpların yalnızca ABD'de 150 milyon doları aştığını bildirdi.

5 Gerçek Dünya QR Kodu Saldırı Yöntemleri

1. Park Ölçer Çıkartmaları

Suçlular, parkmetrelerdeki meşru ödeme kodlarının üzerine sahte QR kodu çıkartmaları yerleştiriyor. Kurbanlar, park yeri için para ödediklerini düşünerek kodu tarıyorlar, ancak aslında kredi kartı bilgilerini bir kimlik avı sitesine giriyorlar. Bu saldırı ABD'nin 40'tan fazla şehrinde belgelendi.

2. Restoran Menü Katmanları

Pandemi sürecinde QR menüler standart hale geldi. Saldırganlar, restoran masa çadırlarının üzerine kötü amaçlı QR kodları içeren şeffaf çıkartmalar yerleştirerek bundan yararlanıyor. Sahte kod, menüyü taklit eden ancak ödeme bilgisi veya uygulama kurulumu isteyen bir siteye yönlendiriyor.

3. Sahte Paket Teslimat Bildirimleri

Posta kutunuza bir kart alırsınız: "Paketinizi teslim etmeye çalıştık. Yeniden planlamak için tarayın." QR kodu, bir teslimat hizmetini taklit eden, oturum açma bilgilerinizi ve kişisel bilgilerinizi isteyen bir kimlik avı sayfasına yönlendiriyor.

4. İş E-postası QR Kodları

Saldırganlar e-postalara QR kodları yerleştirir çünkü QR kodları çoğu e-posta güvenlik filtresini atlar. E-postanın BT desteğinden geldiği iddia edilebilir ve sizden "hesabınızı doğrulamak için tarama yapmanızı" isteyebilir; bu da kimlik bilgileri toplama sayfasına yönlendirir.

5. Herkese Açık Wi-Fi QR Kodları

Havalimanları, kafeler veya otellerdeki sahte "Ücretsiz Wi-Fi" QR kodları, sizi telefonunuza bir yapılandırma profili yükleyen ve tüm trafiğiniz üzerinde ortadaki adam saldırılarına olanak tanıyan sabit bir portala yönlendirebilir.

🧪 QR Güvenlik Testi

1. Parkmetrenin üzerinde bir QR kodu bulacaksınız. İlk önce ne yapmalısınız?

Tarayın ve hemen ödeme yapınBunun orijinal kodun üzerine yapıştırılmış bir etiket olup olmadığını kontrol edinFotoğraf çekin ve tarayın daha sonra

2. "BT Desteği"nden gelen QR kodlu bir e-posta, hesabınızı doğrulamanızı ister. En güvenli eylem nedir?

QR kodunu telefonunuzla tarayınKontrol etmeleri için iş arkadaşlarınıza iletinHiçbir şey yapmadan doğrudan şirketin web sitesine gidin tarama

3. Bir QR kodunu taradıktan sonra telefonunuzda bir URL önizlemesi gösterilir. Hangi URL şüpheli?

https://paypal.com/paymenthttps://paypa1-secure.com/verifyhttps://parking.cityname.gov/pay

Kendinizi Nasıl Korursunuz

Dokunmadan önce önizleme: Taramadan sonra telefonunuzun görüntülediği URL'yi her zaman kontrol edin. Yanlış yazılmış alanları veya şüpheli karakterleri arayın.
Kurcalama olup olmadığını kontrol edin: Fiziksel kodlarda, orijinalin üzerine yerleştirilmiş çıkartmaları arayın. Yasal kodlar genellikle doğrudan yüzeye yazdırılır.
Yerleşik kamerayı kullanın: Telefonunuzun yerel kamera uygulaması, daha az güvenlik korumasına sahip olabilecek üçüncü taraf QR tarayıcı uygulamalarından daha güvenlidir.
Asla kimlik bilgilerini girmeyin: Bir QR kodu bir giriş sayfasına yönlendiriyorsa, onu kapatın ve tarayıcınız aracılığıyla siteye manuel olarak gidin.
QR Wi-Fi kodlarından kaçının: Wi-Fi için QR kodlarını taramak yerine, personelden ağ adını ve şifresini doğrudan isteyin.

FAQ

Firar etmek nedir?

Quishing, QR kodları aracılığıyla kimlik avıdır. Saldırganlar meşru QR kodlarını, kurbanları sahte giriş sayfalarına yönlendiren veya kötü amaçlı yazılım indirmelerini tetikleyen kötü amaçlı kodlarla değiştirir.

QR kodunu taramak kötü amaçlı yazılım yükleyebilir mi?

Modern telefonların çoğunda, yalnızca bir QR kodunu taramak ilk önce bir URL önizlemesini gösterir. Ancak bağlantıya dokunursanız, tarayıcının güvenlik açıklarından yararlanan veya sizi kötü amaçlı bir uygulama indirmeniz için kandıran bir sayfaya yönlendirilebilir.

Bir QR kodunun güvenli olup olmadığını nasıl anlarım?

Telefonunuzun yerleşik kamerasını kullanın (üçüncü taraf uygulamalarını değil), açmadan önce URL önizlemesini kontrol edin, fiziksel QR kodlarında kurcalanma belirtileri olup olmadığına bakın ve güvenilmeyen kaynaklardan gelen kodları asla taramayın.

İlgili Araçlar

Şifre Oluşturucu — QR kimlik avı yoluyla açığa çıkan hesaplar için güçlü şifreler oluşturun
Kimlik Avı Saldırısının Anatomisi