QR kodları (kare kod), “ku-ar kodları” veya “kare kodlar” olarak biliyor olabilirsiniz: QR kodları internette gezinmeden veya Google’da bir arama yapmadan hedefe erişmeyi mümkün kılıyor. Tek yapmanız gereken telefonunuzun kamerasını kare koda doğrultmak ve ihtiyacınız olan bilgiye anında ulaşmak. Ancak, bu kolaylığa rağmen, cihazınızı herhangi bir kareye doğrulturken dikkatli olmalısınız.
Peki QR kodları neden tehdit oluşturuyor? Ne gibi sorunlar ortaya çıkabilir? Dolandırıcılıklara karşı nasıl korunabilirsiniz? ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban bu kapsamda merak edilen tüm soruların cevaplarını Chip Dergisi ile paylaştı. İşte Chip arşivinden o makale:
QR Kodu Nedir? Nasıl Çalışır?
‘Hızlı Yanıt’ın (quick response) kısaltması olan QR kodu, adından da anlaşılacağı gibi, dijital bir cihaz tarafından anında okunmak ve yorumlanmak üzere tasarlanmış, cep telefonu ile bile taranabilen bir barkod türüdür. Bir QR kodu 4.296 alfasayısal karaktere kadar veri saklayabilir ancak yaygın olarak kullanılanlar daha az karakter içerir ve bu nedenle bir akıllı telefonun kamerası tarafından kolayca okunabilir.
QR kodu içinde kodlanmış metin dizeleri çeşitli veriler içerebilir. Bir QR kodu okutarak istenen eylem, söz konusu kodla etkileşime giren uygulamaya bağlıdır. Kodlar, diğer birçok işlemin yanı sıra bir web sitesini açmak, bir dosya indirmek, bir kişi eklemek, bir Wi-Fi ağına bağlanmak ve hatta ödeme yapmak için kullanılabilir. QR kodları çok yönlüdür ve logoları içerecek şekilde özelleştirilebilir.
QR kodlarının dinamik sürümleri, içeriği veya eylemi istediğiniz zaman değiştirmenize bile izin verir. Fakat bu çok yönlülük bazen tehlikeli olabilir.
QR Kodları Neden Bu Kadar Revaçta?
QR kodları, küçük alanlarda bilgi düzenlemeyi mümkün kılar. İletişim bilgilerinizi paylaşmak, web’de WhatsApp kullanmak ve etkinliğinizin, ürününüzün veya hizmetinizin reklamını yaparken maliyetten tasarruf etmek için QR kodu kullanılabilir. QR kodlarını daha önceleri kullanılan barkodlara göre kullanışlı yapan 3 özellik var.
Verilerin saklanma biçimi: QR kodları çok fazla bilgi tutabilir. 2D yapısı, yatay ve dikey yönlerde daha fazla bilgi depolamayı mümkün kılar. Diğer yandan barkodlar ise verileri dikey çubuklar halinde depolayarak tutabildikleri için saklayabildikleri bilgi miktarı sınırlıdır.
Veri kaybına karşı dirençlidir: Hasarlı bir QR kodundan bilgi okumak ve kurtarmak mümkündür, kodun yüzde 30’una kadarı hasarlı, eksik veya gizlenmiş olsa bile kullanılabilir hale getirilebilmektedir. Barkodlarda bu düzeyde hata düzeltmek ise veriden ödün vermeden oldukça zordur. QR kodların bu özelliği fabrikalar ve açık alanlar, restoranlarda tercih edilmelerini sağlar.
Ne yönden taradığınız önemli değildir: QR kodları, kullanıcıların belirli bir yönde tarama yapmasını gerektirmez. Bir cihaz, veri veya hızdan ödün vermeden kodu herhangi bir açıdan tarayabilir ve okuyabilir. Bu yönsüz okunabilirlik, QR kodlarının matrisin üç köşesinde bulunan özel konum algılama desenlerine sahip olması nedeniyle mümkündür. Bunun aksine barkodlar, kullanıcının tarayıcıyı çubuklarla hizalamasını gerektirir.
QR Kodları ve Tehlikeleri
QR kodlarının kullanışlılığına rağmen, doğaları onları istismara açık hale getirir. Güvenilmeyen kaynaklardan gelen QR kodlarını taramak sizi çok sayıda güvenlik tehdidine maruz bırakabilir.
Zararlı yazılım saldırıları: Dolandırıcılar kolayca bir QR kodu oluşturabilir, Google veya Apple uygulama mağazalarının logosunu ekleyebilir ve bunları herhangi bir yere yapıştırabilir. Bu tür QR kodlarının taranması, cihazınızın sahte bir web sitesinden bir uygulama indirmek gibi otomatik olarak harekete geçmesini tetikleyebilir. Bu tür eylemler, siz farkında olmadan cihazınıza kötü amaçlı yazılım da bulaştırabilir.
Kimlik avı saldırıları: “QRishing” olarak da bilinen QR kodu taramanın sizi kimlik avına maruz bırakabileceği çeşitli yollar vardır. Örneğin, bir kodu taramak web tarayıcınızı çevrimiçi bir alışveriş sitesine veya bankaya benzeyen bir URL’ye açabilir ve e-posta adresiniz ve şifrelerinizle oturum açmanızı isteyebilir. Bu sahte web siteleri gerçek web sitelerine benzediğinden, sahtekarlığı erkenden fark etmeyebilirsiniz. Hatta bazılarının URL adresleri bir bakışta gerçek gibi görünür. Bu web sitelerine giriş bilgilerinizi girdiğinizde, veriler diğer uçtaki bir dolandırıcıya gönderilir. Dolandırıcı daha sonra bu bilgileri hesabınıza erişmek için kullanabilir.
QR kodları konumunuzu açığa çıkabilir: Bir etkinliğin yerini hızlı bir şekilde öğrenmeniz gerekiyorsa QR kodunu taramak ve Google haritalarda göstermek oldukça hızlıdır. Ancak, bir QR kodunu taramak yaklaşık konumunuzu otomatik olarak belirleyebilir ve bunu üçüncü bir tarafa gönderebilir.
Diğerleri kişisel bilgilerinizi ele geçirebilir: Bir QR Kodunu taramak, telefonunuzu arama yapmak veya bir numaraya sms göndermek için tetikleyebilir. Bu, numaranızı üçüncü bir tarafla paylaşır. Zararsız gibi görünse de telefon numaranız kişisel bilgilerinizle tahmin edebileceğinizden çok daha fazla şekilde bağlantılıdır. İnternetten edinilebilecek araçlarla bir telefon numarasının sahibini tanımlamak için, tam adı, adresi, sosyal medya profili ve kamuya açık diğer bilgileri bir araya getirilebilir.
Cihazınızda bazı eylemler tetiklenebilir: QR kodları, eylemleri doğrudan cihazınızda tetikleyebilir, bu eylemler onları okuyan uygulamaya bağlıdır. Bununla birlikte, herhangi bir temel QR okuyucunun yorumlayabileceği bazı temel eylemler vardır. Örneğin cihazı bir Wi-Fi ağına bağlama, önceden tanımlanmış bir metin içeren bir e-posta veya SMS mesajı gönderme veya kişi bilgilerini cihaza kaydetmek gibi eylemler standart kamera ile bile tetiklenebilir. Bu eylemler kendi başlarına kötü niyetli görünmese de cihazı güvenliği ihlal edilmiş bir ağa bağlamak veya kurban adına mesaj göndermek için kullanılabilirler.
Ödemeyi yönlendirebilir veya para talebinde bulunabilir: Günümüzde çoğu finansal uygulama, paranın alıcısına ait verileri içeren QR kodları aracılığıyla ödeme yapılmasına izin vermektedir. Birçok mağaza bu kodları müşterilerine gösterir ve böylece işlemi kolaylaştırır. Ancak, saldırganlar bu QR kodlarını kendi verileriyle değiştirebilir ve hesaplarına ödeme alabilir.
QR Kodları İle Gelen Güvenlik Tehditlerinden Nasıl Kaçınılır?
Sahte bir QR kodunu taramak gizliliğinizi ve çevrimiçi güvenliğinizi riske atabilir ancak olası güvenlik tehditlerini önlemek veya durdurmak için alabileceğiniz önlemler vardır.
Rastgele QR kodları taramaktan kaçının: Rastgele web sitelerinden veya sosyal medyadaki resmi olmayan sayfalardan QR kodlarını taramaktan kaçınmalısınız. Hemen herkes bu kodları tararken sizin dikkatli olmanız zor olabilir. Ancak sosyal mühendislik, siber suçluların kurbanlarının hiç düşünmeden kendi güvenliklerini ihlal etmelerini sağlamanın en yaygın yollarından biridir.
Güvenlik için cihazınıza antivirüs yükleyin: Telefonunuza bir www.eset.com/ tr/home/mobile-security-android/ Yanlışlıkla veya dalgınlıkla bir kimlik avı web sitesini ziyaret ettiğinizde antivirüs yazılımı sizi uyarabilir veya cihazınızın kötü amaçlı yazılım indirmesini engelleyebilir.
Hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin: Ayrıca tüm hesaplarınızda İki Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirmelisiniz. 2FA, hesaplarınıza yetkisiz erişime karşı ekstra bir savunma katmanı ekler. Bu şekilde, üçüncü bir taraf giriş bilgilerinize sahip olsa bile güvende olursunuz.
Canlı konumu kapatın: Cihazınızın konumunu açık tutmak, kayıp telefonunuzun izini sürmenize ve bir yerde olduğunuzda yapmak istedikleriniz için hatırlatıcılar ayarlamanıza yardımcı olabilir. Ancak telefonunuz bulunduğunuz yerlerin bir listesini toplar ve örneğin kötü amaçlı bir QR kodunu taradığınızda, bir bilgisayar korsanı bu konumlara erişebilir.
Cihazlarınızı güncel tutun: QR kodunun güvenliği bir dereceye kadar sizin kontrolünüz dışındadır. Ancak cihaz güvenliğiniz ve dolayısıyla kişisel güvenliğiniz sizin kontrolünüz altındadır. Yazılım şirketleri ve donanım üreticileri, siber suçluların yararlanabileceği boşlukları gidermek için güvenlik güncellemeleri yayınlar. Cihazlarınızı en son güvenlik yamaları ile güncel tutmak, QR kodlarının taranmasıyla ilişkili olası güvenlik tehditlerinden kaçınmanıza yardımcı olabilir.