QR kod hayatı kolaylaştırdı. Menüyü açıyor, ödeme sayfasına götürüyor, Wi-Fi bağlatıyor, kargo takip ettiriyor, etkinlik girişini hızlandırıyor. Tam da bu yüzden iyi bir tuzak haline geldi. Çünkü karekoda bakınca nereye gideceğini göremiyorsun. Telefonu çıkarıp okutuyorsun ve güven kararını ekrandaki küçük bir bağlantıya bırakıyorsun. QR kod dolandırıcılığı burada başlıyor.
Bu yazı “QR kod okutma” diye bağıran bir panik yazısı değil. QR kod pratik ve çoğu zaman güvenli. Ama her pratik şey gibi, düşünmeden kullanıldığında risk büyür. Masadaki karekod gerçek menüye de gidebilir, sahte ödeme sayfasına da. Otoparktaki etiket belediye sistemine de götürebilir, kart bilgisi çalan sayfaya da.
QR kod neden iyi bir kimlik avı aracıdır?
Çünkü bağlantıyı gizler. E-postadaki linke bakıp garip alan adını fark edebilirsin. QR kodda önce tararsın, sonra görürsün. Üstelik QR genelde fiziksel ortamda durur: masa, afiş, kargo etiketi, otopark panosu, banka broşürü. Fiziksel dünyada gördüğümüz şeye daha kolay güveniriz.
Saldırgan için de ucuzdur. Gerçek QR kodun üstüne sahte etiket yapıştırmak, sahte afiş basmak veya “kargonuz için okutun” mesajı göndermek zor değildir. Buna bazen quishing de denir: QR kodla yapılan phishing.
En sık görülen QR tuzakları
| Yer | Tuzak | Risk |
| Restoran masası | Sahte menü veya ödeme linki | Kart bilgisi veya zararlı sayfa |
| Otopark | Sahte ödeme etiketi | Yanlış hesaba ödeme veya kart avı |
| Kargo mesajı | Takip için QR okutma | Sahte giriş sayfası |
| Etkinlik girişi | Sahte bilet kontrol linki | Hesap bilgisi çalma |
| Wi-Fi afişi | Yanlış ağa yönlendirme | Trafik izleme riski |
Telefonun gösterdiği URL’ye bakmadan ilerleme
QR kodu okuttuktan sonra telefon genelde bağlantıyı gösterir. İşte karar anı orasıdır. Alan adı tanıdık mı? Garip harf değişimi var mı? Resmi kurum veya markaya benziyor ama küçük bir ekle farklı mı? Kısa link mi kullanılmış? Ödeme sayfası beklerken rastgele bir domain mi açılıyor?
Özellikle ödeme, giriş, kimlik doğrulama veya kart bilgisi isteyen sayfalarda acele etme. QR kod seni bir sayfaya götürdü diye o sayfa otomatik olarak doğru olmaz.
Fiziksel etiket kontrolü küçük ama güçlüdür
Restoran, otopark veya afişlerde QR kodun üstüne sonradan etiket yapıştırılmış mı bak. Kenarından kalkıyor mu? Renk tonu farklı mı? Aynı masadaki diğer kodlarla aynı mı? Bu dedektifçilik gibi görünebilir ama QR saldırılarının bir kısmı tam olarak bu kadar basit fiziksel hileye dayanır.
Şüphe varsa çalışan kişiye sor. “Bu QR size mi ait?” demek tuhaf değil. Kart bilgini sahte sayfaya vermekten çok daha az tuhaf.
QR ile ödeme yaparken ayrı dikkat gerekir
Menü açan QR ile ödeme isteyen QR aynı riskte değildir. Ödeme sayfası açıldığında alan adını kontrol et, HTTPS var mı bak, banka uygulamasına mı yönleniyor yoksa kart bilgilerini rastgele bir forma mı istiyor dikkat et. Mümkünse resmi uygulama içinden ödeme yap. Otopark, belediye, kargo ve etkinlik gibi işlemlerde kurumun kendi sitesine manuel girip ödeme bölümünü bulmak daha güvenlidir.
QR kod güvenliği için pratik alışkanlıklar
- QR okuttuktan sonra URL’yi mutlaka kontrol et.
- Kısa link ve garip alan adlarında dur.
- Kart bilgisi isteyen sayfalarda iki kez düşün.
- Fiziksel QR etiketinde sonradan yapıştırma izi var mı bak.
- Resmi kurum işlemlerinde siteye manuel girmeyi tercih et.
- Telefon kamerası yerine URL önizlemesi gösteren güvenilir tarayıcı/okuyucu kullan.
- QR kodla indirilen dosyaları otomatik açma.
İş yerleri ve işletmeler için küçük önlem
QR kod kullanan işletmeler de sorumlu. Masadaki kodlar düzenli kontrol edilmeli, ödeme QR’ları kolay sökülemeyecek şekilde yerleştirilmeli, menü veya ödeme sayfasında işletme adı net görünmeli. Müşteri “bu QR doğru mu?” diye sorduğunda çalışanların net cevap verebilmesi gerekir.
QR kod tuzağı çok teknik görünür ama çoğu zaman insanın acele ve güven alışkanlığını hedefler. Çözüm de aynı yerde başlar: okut, dur, adrese bak, sonra ilerle. Üç saniyelik duraklama bazen bütün kartını kurtarır.
QR kod dolandırıcılığı hakkında kısa sorular
QR kod dolandırıcılığı nasıl anlaşılır?
Garip alan adı, kısa link, sonradan yapıştırılmış etiket, beklenmeyen ödeme formu ve kart bilgisi isteme en önemli risk işaretleridir.
QR kod okutmak tamamen güvensiz mi?
Hayır. QR kod kullanışlıdır; güvenli kullanım için açılan bağlantıyı kontrol etmek, ödeme sayfalarında dikkatli olmak ve şüpheli kodları doğrulamak gerekir.
Bir yanıt yazın