Banka hesaplarını boşaltan QR kod dolandırıcılığına karşı acil ihtar: Uydurma kodlar nasıl anlaşılır

Amerika Birleşik Devletleri'nde süratle yayılan yeni ve tehlikeli bir QR kod dolandırıcılığı, milyonlarca insanın banka hesaplarını tehdit ediyor. Uzmanlar, bu makus maksatlı taarruzların birçok ülkede de görüldüğünü bildiriyor.

Siber güvenlik uzmanları, 'quishing' (QR kod kimlik avı) olarak bilinen bu yeni kimlik avı tipinin, kullanıcıları ferdî bilgilerini, kredi kartı ayrıntılarını ve bankacılık kimlik bilgilerini vermeye kandırdığı konusunda acil bir ikaz yayınladı.

ABD'DE 26 MİLYON KİŞİ ETKİLENDİ

Son bir rapora nazaran, yalnızca ABD'de 26 milyondan fazla kişi bu dolandırıcılığın kurbanı oldu ve bu sayının süratle artmasından tasa ediliyor.

Bu dolandırıcılık tekniği, gündelik hayatta sıkça kullandığımız QR kod teknolojisinin rahatlığını berbata kullanıyor.

"QUISHING" NEDİR VE NASIL ÇALIŞIR

QR kodları yahut 'hızlı yanıt' kodları, işletmeler tarafından müşterilerin web sitelerine, menülere yahut ödeme portallarına süratlice erişmesi için yaygın olarak kullanılır.

Ancak hatalılar artık bu kolaylıktan faydalanarak, otopark otomatları, toplu taşıma tabelaları, restoran masaları ve hatta teslimat paketleri üzere ağır alanlardaki gerçek QR kodlarının üzerine uydurma olanlarını yapıştırıyorlar.

Kullanıcı geçersiz QR kodunu taradığında, çoklukla legal siteleri birebir taklit eden fakat oturum açma kimlik bilgilerini yahut finansal bilgileri çalmak için tasarlanmış uydurma web sitelerine yönlendiriliyor.

Bazı durumlarda ise bu düzmece kodlar, kullanıcının telefonuna farkında olmadan berbat hedefli yazılım (malware) yükleyerek siber saldırganlara aygıt üzerinde tam uzaktan erişim sağlayabiliyor.

GERÇEK HAYATTAN ÖRNEKLER

Bu dolandırıcılığın ne kadar yaygınlaştığına dair somut örnekler de mevcut. Örneğin Miami'de kent yetkilileri, otoparklara yerleştirilen düzmece QR kodlarının şoförleri uydurma ödeme sitelerine yönlendirerek kredi kartı bilgilerini çaldığını tespit etti ve 7 binden fazla düzmece etiketi kaldırdı.

Federal Ticaret Komitesi (FTC) tarafından bildirilen bir öbür hadisede ise, kurbanlar üzerinde düzmece "hediye" bildirisi bulunan gizemli paketler aldı.

Paketin üzerindeki QR kodu, gönderenin kim olduğunu bulma vaadiyle kullanıcıları taramaya teşvik ediyor, lakin aslında onları kimlik bilgilerini isteyen kimlik avı sitelerine yönlendiriyordu.

SAHTE BİR QR KODU NASIL TESPİT EDİLİR

Uzmanlar, düzmece bir QR kodunu tespit etmenin kimi yolları olduğunu belirtiyor.

Öncelikle fizikî görünüme dikkat edin; birçok geçersiz kod düşük kaliteli etiketlere basılmıştır yahut gerçek olanın üzerine yapıştırıldığında yavaşça hizasız, tahrif edilmiş yahut etrafındaki markayla uyumsuz görünebilir.

Ayrıca, birçok akıllı telefon artık bir web sitesini açmadan evvel URL'nin önizlemesini gösterir.

Bu önizlemede ilişkinin her vakit 'https://' ile başladığından ve legal bir web adresi üzere göründüğünden emin olun.

UZMANLARDAN İKAZLAR VE KORUNMA YÖNTEMLERİ

Siber güvenlik uzmanı Dustin Brewer, "En tehlikeli yanı, göz önünde saklanmaları. Saldırganlar kendi QR kodlarını yazdırıp gerçek bir kodun üzerine yapıştırabilirler ve siz de ortadaki farkı asla anlayamazsınız." dedi.

Brewer, bu dolandırıcılıkların maliyetinin düşük fakat getirisinin çok yüksek olduğunu belirterek, insanların artık her yerde gördükleri için QR kodlarını sorgulamadan taradıklarını ve dolandırıcıların da tam olarak buna güvendiğini söyledi.

Uzmanlar, bilhassa e-postalarda, kısa iletilerde yahut fizikî postalarda bilinmeyen kaynaklardan gelen QR kodlarını asla taramamanızı öneriyor.

Bir QR kodunu taradığınızda birdenbire sizden parola sıfırlama, iki faktörlü kimlik doğrulama bilgisi isteyen yahut gerçek olamayacak kadar güzel görünen bir teklifle karşılaşıyorsanız, bunun büyük olasılıkla bir dolandırıcılık olduğunu unutmayın.

SANS Enstitüsü'nden Rob Lee'nin de belirttiği üzere, "QR kodları güvenlik düşünülerek değil, hayatı kolaylaştırmak için oluşturuldu; bu da onları dolandırıcılar için kusursuz kılıyor."