Bu QR kodunu henüz taramayın.
Temel Çıkarımlar
– Quishing, insanları kişisel bilgilerini ve ödeme bilgilerini vermeleri için kandırmak amacıyla sahte QR kodları kullanan dolandırıcıları içerir.
– Dolandırıcılar, kurbanın bilgilerini çalmak için web sitelerinin kopyalarını oluşturarak QR kodlarının ödemeler için kullanıldığı yerleri hedef alıyor.
– Kendinizi sonlandırma saldırılarına karşı korumak için, QR kodlarında değişiklik olup olmadığını kontrol edin, taradıktan sonra URL’leri doğrulayın ve şüpheliyse alternatif ödeme yöntemlerini kullanın.
Halka açık yerlerde QR kodlarını mı tarıyorsunuz? Bağlantıları açmak ve ödeme yapmak için çok uygundurlar ancak aynı zamanda risklerden de paylarını alırlar. Bir QR kodunu taramanın size nasıl binlerce dolara mal olabileceğini ve bundan nasıl kaçınabileceğinizi burada bulabilirsiniz.
Quishing Nedir?
Quishing, “QR” ve ” phishing ” kelimelerinin birleşimidir .
Quishing, bir dolandırıcının, taradığınızda etkinleşen bir QR kodu aracılığıyla kimlik avı eylemi gerçekleştirmesidir. Daha önce , kimlik avının ne olduğunu ve nasıl tespit edileceğini ele almıştık , ancak kimlik avının bu tehlikeli biçimi, dünya çapındaki kurbanlarda önemli bir artışa neden oluyor.
Quishing size nasıl binlerce dolara mal olabilir?
Quishing tehlikelidir çünkü çoğu kişi QR kodlarını taramayı ciddiye almaz. Bu nedenle, QR kodunun bağlandığı URL’ye veya hizmete giderek QR kodunun talimatlarını takip etme olasılığımız daha yüksektir. Azalan güvenlik duygusu, dolandırıcıların insanların ödeme yapmak için QR kodu kullandığı alanlara saldırmasına olanak tanıyor. Dolandırıcı, QR kodunun bağlandığı web sitesini inceler, bir kopya oluşturur ve ardından klonlanmış web sitesini işaret edecek şekilde meşru QR kodunu değiştirir.
Bir kurban sahte QR kodunu taradığında, meşru bir web sitesini ziyaret ettiğine inanarak sahte web sitesine yönlendirilir. Sahte web sitesi, ödeme bilgileri de dahil olmak üzere kişisel ayrıntılar istiyor. Dolandırıcılar bunları ele geçirdikten sonra kurbanın banka hesabını kullanarak alışveriş çılgınlığı gerçekleştirebilirler.
3 Öldürme Saldırısı Örneği
Kötü bir QR kodunu tarayarak binlerce doların çalınması kulağa bilim kurgu gibi gelse de bu büyük ölçüde bir gerçek. İşte susturucuların kullandığı daha yaygın saldırı vektörlerinden bazıları.
1. Parkmetre ve Şarj Noktası Saldırıları
Bazı otopark sayaçları ve şarj noktaları, ödeme sürecinin bir parçası olarak QR kodlarını kullanır. Ücretinizi ödemek için sizi bir ödeme web sitesine veya indireceğiniz bir uygulamaya yönlendiren bir kodu tararsınız.
Dolandırıcılar, kötü amaçlı sürümlerini orijinalin üzerine yapıştırarak bu QR kodlarını ele geçirirler. Birisi otopark veya elektrik ücretini ödemeye gittiğinde, uygulamayı tarar, ödeme ayrıntılarını sahte web sitesine veya uygulamaya girer ve bilmeden dolandırıcılara gönderir.
İnsanların bu dolandırıcılık yüzünden binlerce kişiyi kaybetmesi gerçekçi görünmeyebilir, ancak bu daha önce de yaşandı. ITV‘nin bildirdiğine göre , bir kişi park makinesindeki bozuk bir QR kodunu taradıktan sonra 13.000 £ (16.500 $) kaybetti.
2. E-posta QR Kodu Saldırıları
Bazen dolandırıcılar QR kodunun eklendiği bir e-posta gönderir. Dolandırıcı sizi taramaya ikna edecektir; örneğin, bunun önemli bir uygulamayı indirmek olduğunu belirtebilir veya kolluk kuvvetlerinin ödeme istediğini iddia edebilirler. Kurban QR kodunu taradığında, kredi kartı bilgilerini isteyen sahte bir web sitesine veya uygulamaya yönlendiriliyor.
HP Tehdit Araştırması, bu saldırı yönteminin 2022’de Çin’de alıcının devlet yardımı almaya hak kazandığını iddia eden bir e-postayla ani bir artış gördüğünü bildirdi. Süreçte kullanıcılardan mevcut bakiye ayrıntıları da dahil olmak üzere tam kredi kartı bilgileri istendi.
3. Sahte QR Kod Oluşturucular
Bazı durumlarda dolandırıcı, insanları kandırmak için sahte bir QR kodu oluşturucu kurar. Bu genellikle insanlar ödeme istemek için QR kodlarını kullanabildiğinde meydana gelir, çünkü dolandırıcılar orijinal üreticiler yerine hesaplarına gizlice girebilirler.
BitDefender, birçok web sitesinin Bitcoin cüzdanları için sahte QR kodu oluşturucular kurduğu bir örneği bildirdi. Web sitesi, kullanıcıdan bir cüzdan kimliği istedi ve gerçekte kod dolandırıcının kendi Bitcoin cüzdanını işaret ettiğinde, alıcıların kolayca tarayıp kullanabileceği bir QR kodu oluşturma sözü verdi.
Bir QR Kodun Güvenli Olup Olmadığı Nasıl Kontrol Edilir
Quishing kulağa korkutucu gelebilir, ancak birkaç kolay güvenlik ipucuyla dolandırıcılıkları finansal bilgilerinize erişmeden önce durdurabilirsiniz.
QR Kodunun Değiştirilip Değiştirilmediğini Kontrol Edin
Herkese açık bir QR kodunu tarıyorsanız kodun değiştirilmediğinden emin olun. Birisinin orijinal QR kodunun üzerine çıkartma yapıştırdığına dair işaretlere bakın; bu durumda QR kodunu taramayın.
Benzer şekilde, ödeme almak için bir QR kodu oluşturuyorsanız, QR kodunu kendiniz taradığınızdan emin olun ve ödemelerin gideceğini düşündüğünüz yere gidip gitmeyeceğini bir kez daha kontrol edin.
Taradıktan Sonra URL’yi veya Web Sitesini Bir Kez Kontrol Edin
Bir QR kodunu taradıktan sonra, her zaman URL’yi veya açılan web sitesini tekrar kontrol edin. Bir dolandırıcının web sitesi tuhaf görünümlü bir URL’ye sahip olacaktır veya web sitesi “doğru hissetmeyecektir”. Bir web sitesinin güvenli olup olmadığını kontrol etmek için adımları izleyin ve herhangi bir şey şüpheli görünüyorsa web sitesine herhangi bir ödeme bilgisi girmeyin.
Alternatif Ödeme Yöntemlerini Arayın
QR kodu şüpheli görünüyorsa veya risk almak istemiyorsanız başka bir ödeme yöntemi arayın. Örneğin, QR kodu sizi bir uygulamaya yönlendireceğini iddia ediyorsa, bunun yerine onu telefonunuzun uygulama mağazasında manuel olarak arayın. Alıcı alternatif ödeme yöntemlerine izin veriyorsa bunları kullanın veya bir çalışana bunlar hakkında bilgi verin.
Söndürme saldırıları size pahalıya mal olabilir, ancak bunlara karşı en iyi savunma nasıl çalıştıklarını ve nelere dikkat etmeniz gerektiğini bilmektir. Bir QR kodu sizi şüpheli bir yere götürürse ödeme bilgilerinizi girmeyin.
