Hepimiz bir QR kodu kare kod tarayarak süratli bir biçimde bilgi almaya alışkınız, özellikle lokantalarda. Ancak QR kodları güvenlik ve saklılık tehlikeleri de taşır. ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban QR kod uygulamasını kullanırken nelere dikkat edilmesi gerektiğini paylaştı.
‘Süratli Cevap ’ın quick response kısaltması olan QR kod, dijital bir makine tarafından anında okunmak ve açıklanmak üzere planlanmış, cep telefonu ile dahi taranabilen bir barkod cinsidir. QR kodu içinde kodlanmış metin mısraları muhtelif bilgiler kapsayabilir. Bir QR kodu okutarak istenen eylem, söz mevzusu kodla etkileşime giren uygulamaya bağlıdır. Kodlar, öbür bir hayli harekâtın yanı gizeme bir web sitesini açmak, bir dosya indirmek, bir birey ilave etmek, bir Wi-Fi ağına bağlanmak ve hatta ödeme yapmak için kullanılabilir.
QR kodları ve riskleri
QR kodlarının dinç versiyonları, içeriği veya eylemi istediğiniz zaman değiştirmenize izin verir. Fakat bu çok güzergahlılık bazen riskli olabilir. QR kodlarının kullanışlılığına karşın, tabiatları onları istismara sarih hale getirir. Güvenilmeyen kaynaklardan gelen QR kodlarını taramak sizi çok rakamda güvenlik tehdidine maruz vazgeçebilir.
Hasarlı yazılım atakları Dolandırıcılar basitçe bir QR kodu oluşturabilir, Google veya Apple uygulama mağazalarına logosuna ilave edebilir ve bunları rastgele bir yere yapıştırabilir. Bu cins QR kodlarının taranması, aygıtınızın sahte bir web sitesinden bir uygulama indirmek gibi otomatik olarak harekete geçmesini tetikleyebilir. Bu cins eylemler, siz farkında olmadan makinenize makûs emelli yazılım da bulaştırabilir.
Kimlik avı atakları “QRishing” olarak da öğrenilen QR kodu taramanın sizi kimlik avına maruz vazgeçebileceği muhtelif yollar vardır. Misalin, bir kodu taramak web tarayıcınızı çevrimiçi bir alışveriş sitesine veya bankaya benzeyen bir URL ’ye açabilir ve e-posta adresiniz ve parolalarınızla seans açmanızı isteyebilir. Bu sahte web siteleri asıl web sitelerine benzediğinden, sahtekarlığı erkenden fark etmeyebilirsiniz. Hatta kimilerinin URL adresleri bir bakışta asıl gibi görünür. Bu web sitelerine giriş bilgilerinizi girdiğinizde, bilgiler öbür uçtaki bir dolandırıcıya sevk edilir.
QR kodları konumunuzu sarihe çıkabilir Bir faalliğin yerini süratli bir biçimde bilmeniz gerekiyorsa QR kodunu taramak ve Google haritalarda göstermek oldukça süratlidir. Ancak, bir QR kodunu taramak takribî konumunuzu otomatik olarak tanımlayabilir ve bunu üçüncü bir tarafa yollayabilir.
Ötekileri şahsi bilgilerinizi ele geçirebilir Bir QR kodunu taramak, telefonunuzu arama yapmak veya bir numaraya sms yollamak için tetikleyebilir. Bu, numaranızı üçüncü bir tarafla paylaşır. Hasarsız gibi görünse de telefon numaranız şahsi bilgilerinizle varsayım edebileceğinizden çok daha fazla biçimde iletişimlidir. İnternetten edinilebilecek taşıtlarla bir telefon numarasının sahibini belirlemek için, bütün ismi, adresi, sosyal medya profili ve kamuya sarih öbür bilgileri bir araya getirilebilir.
Aygıtınızda bazı eylemler tetiklenebilir QR kodları, eylemleri doğrudan aygıtınızda tetikleyebilir, bu eylemler onları okuyan uygulamaya bağlıdır. Bununla beraber, rastgele bir temel QR okuyucunun açıklayabileceği bazı temel eylemler vardır. Misalin aygıtı bir Wi-Fi ağına bağlama, evvelden belirlenmiş bir metin kapsayan bir e-posta veya SMS iletiyi yollama veya birey bilgilerini makineye kaydolmak gibi eylemler standart kamera ile dahi tetiklenebilir.
Ödemeyi yönlendirebilir veya para arzında bulunabilir Günümüzde çoğu finansal uygulama, paranın müşterisine ait bilgileri kapsayan QR kodları aracılığıyla ödeme yapılmasına izin vermektedir. Bir Hayli mağaza bu kodları alıcılarına gösterir ve böylece harekâtı basitleştirir. Ancak, saldırganlar bu QR kodlarını kendi bilgileriyle değiştirebilir ve hesaplarına ödeme alabilir. Ayrıca, sahte ödeme yapmak dışında müşterileri kandırmak için de para toplama arzları kapsayan kodlar oluşturabilir.
QR kodları ile gelen güvenlik tehditlerinden nasıl sakınılır?
Sahte bir QR kodunu taramak saklılığınızı ve çevrimiçi güvenliğinizi tehlikeye atabilir. ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban mümkün güvenlik tehditlerini önlemek veya durdurmak için alabileceğiniz temkinleri şöyle sıraladı:
Gelişigüzel QR kodları taramaktan kaçının Gelişigüzel web sitelerinden veya sosyal medyadaki resmi olmayan sayfalardan QR kodlarını taramaktan sakınmalısınız. Hemen herkes bu kodları tararken sizin dikkatli olmanız güç olabilir. Ancak sosyal mühendislik, siber kabahatlilerin kurbanlarının hiç düşünmeden kendi güvenliklerini ihlal etmelerini sağlamanın en yaygın yollarından biridir. Güvenlik için makinenize antivirüs yükleyin Telefonunuza bir antivirüs yazılımı yükleyin. Yanlışlıkla veya düşüncelilikle bir kimlik avı web sitesini ziyaret ettiğinizde antivirüs yazılımı sizi uyarabilir veya aygıtınızın makûs emelli yazılım indirmesini yasaklayabilir. Hesaplarınızda iki etmenli kimlik doğrulamayı faalleştirin Ayrıca tüm hesaplarınızda İki Etmenli Kimlik Doğrulamayı 2FA faalleştirmelisiniz. 2FA, hesaplarınıza yetkisiz ulaşıma karşı ekstra bir korunma tabakayı ilaveler. Bu biçimde, üçüncü bir taraf giriş bilgilerinize sahip olsa dahi güvende olursunuz. Canlı konumu kapatın Aygıtınızın konumunu sarih yakalamak, kayıp telefonunuzun izini sürmenize ve bir yerde olduğunuzda yapmak istedikleriniz için andırdırıcılar ayarlamanıza destekçi olabilir. Ancak, telefonunuz bulunduğunuz yerlerin bir listesini toplar ve misalin makûs emelli bir QR kodunu taradığınızda, bir bilgisayar korsanı bu konumlara ulaşabilir. Makinelerinizi aktüel tutun QR kodunun güvenliği bir dereceye kadar sizin hakimiyetiniz dışındadır. Ancak makine güvenliğiniz ve dolayısıyla şahsi güvenliğiniz sizin hakimiyetiniz altındadır. Yazılım işletmeleri ve teçhizat üreticileri, siber kabahatlilerin faydalanabileceği boşlukları gidermek için güvenlik aktüellemeleri yayınlar. Makinelerinizi en son güvenlik yamaları ile aktüel yakalamak, QR kodlarının taranmasıyla ilişkili mümkün güvenlik tehditlerinden sakınmanıza destekçi olabilir.
Kaynak: BYZHA Beyaz Haber Ajansı