Kişisel Verileri Koruma Kurumu (KVKK), QR kodlar üzerinden gerçekleştirilen yeni nesil siber saldırılara karşı kamuoyunu bilgilendirmek amacıyla “QR Kodlarla Gelen Risk: Quishing” başlıklı bir doküman yayımladı. Kurum, özellikle mobil cihazlar üzerinden artan QR kod kullanımının kişisel veri güvenliği açısından yeni tehdit alanları oluşturduğuna dikkat çekti.
QR Kodlar Günlük Hayatın Merkezinde
KVKK açıklamasında, QR kodların son yıllarda restoran menülerinden ödeme sistemlerine, internet sitelerine hızlı erişimden bilgi paylaşımına kadar birçok alanda yaygınlaştığı vurgulandı. Mobil cihazların günlük yaşamın vazgeçilmez bir parçası haline gelmesiyle QR kod teknolojisinin erişilebilirliği ve kullanım sıklığının arttığı ifade edildi. Ancak bu kolaylık, siber güvenlik açısından bazı riskleri de beraberinde getiriyor. QR kodların yönlendirdiği bağlantıların kullanıcı tarafından doğrudan görülememesi, kötü niyetli kişilere oltalama (phishing) saldırıları için yeni bir alan açıyor.
“Quishing” Nedir?
KVKK’nın hazırladığı dokümanda, QR kodlar aracılığıyla gerçekleştirilen bir oltalama yöntemi olan “quishing” ele alındı. “QR” ve “phishing” kelimelerinin birleşiminden türetilen bu kavram, kullanıcıların sahte bağlantılara yönlendirilerek kişisel verilerinin ele geçirilmesini hedefliyor. Quishing saldırılarında, fiziksel ortamlara yerleştirilen ya da dijital kanallar üzerinden paylaşılan QR kodlar aracılığıyla kullanıcılar sahte internet sitelerine yönlendiriliyor. Bu sitelerde genellikle banka bilgileri, kimlik verileri, şifreler veya ödeme bilgileri talep ediliyor.
Risk Nasıl Ortaya Çıkıyor?
Kurumun değerlendirmesine göre, QR kodların taranması sırasında kullanıcılar çoğu zaman yönlendirilecekleri bağlantının güvenilir olup olmadığını kontrol edemiyor. Özellikle kamusal alanlarda yapıştırılmış sahte QR etiketleri, gerçek kodların üzerine yerleştirilebiliyor. Ayrıca e-posta, SMS ya da sosyal medya üzerinden gönderilen QR kodlar da benzer şekilde dolandırıcılık amacıyla kullanılabiliyor. Bu tür saldırılarda kullanıcı, farkında olmadan zararlı yazılım indirebiliyor ya da kimlik bilgilerini paylaşabiliyor.
KVKK’dan Bireylere Uyarılar
Hazırlanan dokümanda, quishing saldırılarına karşı bireylerin dikkat etmesi gereken temel hususlar da sıralandı. Buna göre:
- Kaynağı belirsiz QR kodlar taranmamalı.
- QR kod tarandıktan sonra açılan bağlantının adresi mutlaka kontrol edilmeli.
- Şüpheli görünen sayfalarda kişisel veri veya ödeme bilgisi paylaşılmamalı.
- Mobil cihazlarda güvenlik yazılımları kullanılmalı ve sistem güncellemeleri düzenli yapılmalı.
- Fiziksel ortamlarda QR kodun üzerinde oynama olup olmadığına dikkat edilmeli.
KVKK, dijital dönüşümün hız kazandığı bir dönemde kullanıcı farkındalığının siber güvenliğin en önemli unsurlarından biri olduğunu vurguladı.
Dijital Kolaylık, Dijital Sorumluluk
Kurumun yayımladığı rehber, QR kodların sunduğu pratikliğin yanında veri güvenliği risklerinin de göz ardı edilmemesi gerektiğini ortaya koyuyor. Özellikle ödeme ve kimlik doğrulama süreçlerinde kullanılan QR sistemlerinin yaygınlaşması, bireysel farkındalığın önemini artırıyor. KVKK, kişisel verilerin korunması için yalnızca teknik önlemlerin değil, bilinçli kullanıcı davranışlarının da kritik rol oynadığını hatırlatarak, vatandaşları dikkatli olmaya çağırdı.
