Hepimiz özellikle restoranlarda QR kodu (kare kod) okutarak hızlı bir şekilde bilgi almaya alışkınız. Ancak QR kodları güvenlik ve gizlilik riskleri de taşır. ESET Türkiye Sanat Eserleri ve Pazarlama Müdürü Can Erginkurban, QR kod uygulamasını kullanırken dikkat edilmesi gerekenleri paylaştı.
‘Hızlı yanıt’ın kısaltması olan QR kod, cep telefonuyla bile taranabilen, dijital bir cihaz tarafından anında okunup yorumlanacak şekilde tasarlanmış bir barkod türüdür. QR kodu içinde kodlanan metin dizileri çeşitli veriler içerebilir. Bir QR kodu okuyarak istenen eylem, söz konusu kodla etkileşime giren uygulamaya bağlıdır. Kodlar, diğer birçok işlemin yanı sıra bir web sitesi açmak, bir belge indirmek, bir kişi eklemek, bir Wi-Fi ağına bağlanmak ve hatta ödeme yapmak için kullanılabilir.
QR kodları ve tehlikeleri
QR kodlarının dinamik sürümleri, içeriği veya hareketi istediğiniz zaman değiştirmenize olanak tanır. Ancak bu çok taraflılık bazen tehlikeli olabilir. QR kodlarının kullanışlılığına rağmen, yapıları onları sömürüye karşı savunmasız hale getirir. Güvenilmeyen kaynaklardan QR kodlarını taramak, sizi çok sayıda güvenlik tehdidine maruz bırakabilir.
Kötü amaçlı yazılım saldırıları Dolandırıcılar kolayca bir QR kodu oluşturabilir, Google veya Apple uygulama mağazalarının logosunu ekleyebilir ve bunları rastgele bir yere yapıştırabilir. Bu tür QR kodlarının taranması, cihazınızın sahte bir web sitesinden uygulama indirmek için otomatik olarak harekete geçmesini tetikleyebilir. Bu tür eylemler, siz farkında olmadan cihazınıza kötü amaçlı yazılımlar da bulaştırabilir.
Kimlik avı saldırıları “QRishing” olarak da bilinen QR kod taramasının sizi kimlik avına maruz bırakmasının birkaç yolu vardır. Örneğin, bir kodu taramak, web tarayıcınızı bir çevrimiçi alışveriş sitesine veya bankaya benzeyen bir URL’ye açabilir ve sizden e-posta adresiniz ve şifrelerinizle oturum açmanızı isteyebilir. Bu geçersiz web siteleri gerçek web siteleri gibi göründüğü için dolandırıcılığı erken fark edemeyebilirsiniz. Hatta bazılarının URL adresleri ilk bakışta gerçek gibi görünüyor. Bu sitelere giriş bilgilerinizi girdiğinizde karşı uçta bir dolandırıcıya bilgiler gönderilmektedir.
QR kodları konumunuzu gösterebilir Bir etkinliği hızlı bir şekilde bulmanız gerekiyorsa, QR kodunu tarayıp Google haritalarında görüntülemek oldukça hızlıdır. Ancak, bir QR kodunu taramak, yaklaşık konumunuzu otomatik olarak belirleyebilir ve üçüncü bir tarafa gönderebilir.
Başkaları kişisel bilgilerinizi alabilir Bir QR kodunun taranması, telefonunuzun bir arama yapmasına veya bir numaraya sms göndermesine neden olabilir. Bu, numaranızı üçüncü bir tarafla paylaşır. Zararsız gibi görünse de, telefon numaranız kişisel bilgilerinizle tahmin edebileceğinizden daha fazla şekilde ilişkilendirilir. Tam ad, adres, sosyal medya profili ve diğer kamuya açık bilgiler, İnternet’te bulunan araçlar kullanılarak bir telefon numarasının sahibini belirlemek için gün ışığına çıkarılabilir.
Bazı işlemler cihazınızda tetiklenebilir QR kodları, doğrudan cihazınızda hareketleri tetikleyebilir, bu eylemler, onları okuyan uygulamaya bağlıdır. Ancak, rastgele bir temel QR okuyucunun yorumlayabileceği bazı temel hareketler vardır. Eylemler, örneğin cihazı bir Wi-Fi ağına bağlama, önceden tanımlanmış metin içeren bir e-posta veya SMS mesajı gönderme veya iletişim bilgilerini cihaza kaydetme gibi standart kamera tarafından bile tetiklenebilir.
Doğrudan ödeme yapabilir veya para talep edebilir Günümüzde birçok finansal uygulama, paranın alıcısı hakkında bilgi içeren QR kodlar aracılığıyla ödeme yapılmasına izin vermektedir. Birçok mağaza bu kodları müşterilerine göstererek süreci basitleştiriyor. Ancak saldırganlar bu QR kodlarını kendi verileriyle değiştirebilir ve hesaplarına ödeme alabilir. Ayrıca, sahte ödemeler yapmak dışında, alıcıları aldatmak için bağış toplama talepleri içeren kodlar üretebilir.
QR kodlarıyla gelen güvenlik tehditlerinden nasıl kaçınılır?
Sahte bir QR kodu taramak, gizliliğinizi ve çevrimiçi güvenliğinizi riske atabilir. ESET Türkiye İşler ve Pazarlama Müdürü Can Erginkurban, olası güvenlik tehditlerini önlemek veya durdurmak için alabileceğiniz önlemleri şöyle sıraladı:
- Rastgele QR kodlarını taramaktan kaçının Rastgele web sitelerinden veya resmi olmayan sosyal medya sayfalarından QR kodlarını taramaktan kaçınmalısınız. Herkes bu kodları hızlı bir şekilde tararken dikkatli olmanız sizin için sorun olabilir. Ancak sosyal mühendislik, siber suçluların kurbanlarını tereddüt etmeden kendi güvenliklerinden taviz vermelerini sağlamanın en yaygın yollarından biridir.
- Güvenlik için cihazınıza antivirüs yükleyin Telefonunuza bir virüsten koruma yazılımı yükleyin. Yanlışlıkla veya dalgınlıkla bir kimlik avı web sitesini ziyaret ettiğinizde, virüsten koruma yazılımı sizi uyarabilir veya cihazınızın kötü niyetli yazılımları indirmesini engelleyebilir.
- Hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin Ayrıca tüm hesaplarınızda İki Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirmelisiniz. 2FA, hesaplarınıza yetkisiz erişime karşı ekstra bir savunma katmanı ekler. Bu durumda, giriş bilgilerinize üçüncü bir kişi sahip olsa bile inanıyorsunuz.
- Canlı pozisyonu kapat Cihazınızın konumunu korumak, kayıp telefonunuzun izini sürmenize ve bir yerdeyken yapmak istediğiniz şeyler için hatırlatıcılar ayarlamanıza yardımcı olabilir. Ancak, telefonunuz bulunduğunuz yerlerin bir listesini toplar ve örneğin kötü amaçlı bir QR kodunu tararsanız, bir bilgisayar korsanı bu konumlara erişebilir.
- Cihazlarınızı güncel tutun QR kodunun güvenliği bir dereceye kadar kontrolünüz dışındadır. Ancak cihaz güvenliğiniz ve kişisel güvenliğiniz kontrolünüz altındadır. Yazılım şirketleri ve donanım üreticileri, siber hataların yararlanabileceği açıkları ele almak için güvenlik güncellemeleri yayınlar. Cihazlarınızı en son güvenlik yamalarıyla güncel tutmak, QR kodlarının taranmasıyla ilişkili olası güvenlik tehditlerinden kaçınmanıza yardımcı olabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
