Quishing tanımı nedir?
Quishing, QR Kodu kimlik avı olarak Phishing şemsiyesi altında bulunan bir saldırı türüdür.
Yakın zamana kadar bu çok yaygın değildi ama özellikle pandemi ile birlikte kullanım oranı çok sık arttığı bir gerçektir. Özellikle restoran akıllı menüsü, masa siparişi verirken masa üzerinde açık duran qr kod, markette alışveriş yaparken bir ürünün detayı, bir reklam üzerinde detaylı link için qr okutun, aracınıza yakıt alırken ödemeyi QR ile hızlıca yapın gibi örnekler ile hayatımıza çok hızlı bir şekilde girmişlerdir.
Quishing hakkında detaya inmeden önce biraz geçmişine bakmak gerekiyor.
UPC Barkod Ve Standart Barkod Tarihi;
Joseph Woodland, ultraviyole ışığa duyarlı mürekkep kullanan bir konsept önerdi. Bu konsept belli bir dereceye kadar işe yaradıysa da, buluşun çok pahalı ve istikrarsız görülmesi nedeniyle hızla reddedildi. 1952’de Woodland ve Silver’a “Sınıflandırma Aparatı ve Yöntemi” için ABD patenti (#2,612,994) verildi. Bu sistem ilk kez 1966’da ticari olarak kullanıldı ve “Bulls-Eye” sembolü olarak anıldı. Bu konsept işlevsel olsa da 1973 yılında bir endüstri standardının belirlenmesi gerektiğine karar verildi.
1950’lerden 1970’lere kadar, ürünlerin seri üretimi ve büyük market zincirlerinin artması nedeniyle toplum, ürünleri takip etmek için etkili bir yola ihtiyaç duyuluyordu. IBM, daha önce patentli olan bu teknolojiyi yeniden değerlendirdi ve hedef odaklı barkodları bugün bildiğimiz dikey barkoda göre yeniden yapılandırdı.
Komite, IBM’in desteğine sahip olduğundan ve bugün var olan neredeyse her üründe bulunabildiğinden (barkodun üzerinde bulunan 12 haneli kod) UPC (Universal Product Code / Evrensel Ürün Kodu) sembolünün endüstri standardı olmasına karar verdi. Standarda karar verildikten sonra, ilk UPC tarayıcısı 1974’te kuruldu; barkoda sahip ilk öğe, bir paket Wrigley sakızıydı.
26 Haziran 1974 08:01 Marsh’s Store in Troy, Ohio
Gelişimini şu şekilde gösterebiliriz;
1932
Otomatik perakende ödeme sistemi mümkün olabilir
1948
Bernard Silver ve Norman Joseph Woodland bir araya geldi
1949
“Modelleri belirleme aracıyla makale sınıflandırması” olarak tanımladıkları bir çalışma prototipi geliştirdiler.
1952
“Sınıflandırma Aparatı ve Yöntemi” patenti alındı (ABD Patenti #2,612,994)
1966
İlk kez ticari olarak kullanma denemeleri yapıldı
1973
Komite UPC sembolünü endüstri standardı olarak seçti
1974
İlk UPC tarayıcı kuruldu
Barkod Evrimi;
UPC barkodu ürünleri başarılı bir şekilde takip etti, üretim ve market hatlarını hızlandırdı ve 2000’li yılların başlarında toplum bunu her yerde standart olarak kabul etti.
Ancak 2000’li ve 2010’lu yıllarda teknoloji geliştikçe barkod eksiklikleri ortaya çıktı. Birincisi, yalnızca sınırlı miktarda bilgi tutabilirler. 1970’lerin süpermarketleri için bu sorun olmasa da sınırlı alan, zaman geçtikçe ve daha fazla bilgiye olan ihtiyaç arttıkça sorunlar yaratmaya başladı. Ek olarak, UPC tarama ekipmanı pahalı ve sıradan insanlar için uygun maliyetli veya pratik değildi. Bunun da ötesinde, bilgiyi kaydetmek için UPC barkodunu belirli bir yönden taramanız gerekiyordu, bu da her şeyi yavaşlatıyordu. Daha yavaş market hatları sıradan tüketiciyi rahatsız ediyor hatta, endüstriyel fabrikalardaki daha yavaş üretim hatları oluşmasına bu da kârlılığı olumsuz etkiliyordu.
QR kodunun icadı
Japon otomotiv şirketi Denso Wave, standart UPC kod sistemiyle boğuşan birçok şirketten biriydi. Barkodların sınırlı depolama kapasitesi nedeniyle Denso Wave’in bilgileri doğru bir şekilde takip etmek ve iletmek için tek bir ürüne 10’a kadar barkod uygulaması gerekiyordu. Ayrıca barkodların tek yönden taranması gerektiğinden, tarayıcıları çeşitli şekil ve boyutlardaki otomotiv parçaları üzerindeki barkodları okuyamayınca üretim yedeklemeleriyle karşılaştılar. Şirket, barkodların üretimi yavaşlatması nedeniyle son teslim tarihlerini karşılamakta zorlandı.
1994 yılında Masahiro Hara adlı bir Denso Wave çalışanı Go oyununu oynarken aklına QR kodları fikri geldi. Daha önce hiç Go oynamadıysanız, üzerine siyah beyaz taşların yerleştirildiği 19×19’luk bir ızgaradan oluşur. Go panosuna bir bakış, QR arasındaki bağlantıyı görmenizi sağlayacaktır. Hara, bir ızgara sisteminin tek bir kodda çok daha fazla bilgi tutabileceğini ve aynı zamanda birden fazla yönden, açıdan ve mesafeden okunabileceğini, böylece üretim sürelerinin hızlandırılabileceğini fark etti. Hara ve Denso Wave ekibi vizyonunu başarıyla gerçeğe dönüştürdü ve QR Kodunu (Hızlı Yanıt Kodu) geliştirdi.
Stratejik bir hamleyle Denso Wave, QR kod teknolojisini halka ücretsiz olarak sundu ancak bunları okumak için tarayıcı teknolojisini sattı. Hara ve Denso Wave, diğer endüstriyel ortamlarda QR kodlarının geleceğini öngördü ancak küçük işletmeler ve sıradan bireyler arasındaki popülerliğini tahmin etmediler.
Cep telefonları kameralara dahil olunca her şey değişti, çünkü kamera QR kodlarını okumak için mükemmel bir teknolojiydi. 2002 yılında Sharp, QR tarayıcıya sahip ilk cep telefonunu piyasaya sürdü ve rakip cep telefonu şirketleri de onu takip etti. Sonunda akıllı telefona sahip herkesin cebinde bir QR tarayıcı vardı.
QR kodları 2010’larda istikrarlı bir hızla büyüdü, ancak 2020’de COVID-19 salgınının ortaya çıkmasıyla katlanarak arttı. Aniden tüm dünya fiziksel temas olmadan hızlı ve kolay iş yapmanın yollarını aramaya başladı. QR kodları mükemmel çözümdü. Kodlar ücretsizdir, oluşturulması kolaydır ve bakımı kolaydır. Hemen hemen herkes QR tarama özelliğine sahip bir telefon taşır. Başkalarının dokunduğu bir menüye dokunmadan restoran ve barlarda yemek yiyebilirsiniz, bu da mikropların yayılmasını azaltır. Paraya dokunmadan veya kart okuyucunun düğmelerine basmadan öğelerin ödemesini yapabilirsiniz.
Hatta bazı restoranlar, baskı ve bakım maliyetlerinden kaçınmak için QR menülerini geçişi zorlamayı bile bile seçti. Bu şekilde bir güncelleme olacağı zaman kaynakta güncellemeleri yeterliydi, bazı restoranlar ise PDF formatında menüyü indirmek yerine interaktif bir web sitesine yönlendirmeyi seçti.
QR Kod Tam Olarak Nedir?
QR kodları veya Hızlı Yanıt kodları, bir akıllı telefonun veya barkod tarayıcının tarayabildiği iki boyutlu barkodlardır. Bu gelişmiş barkodlar, süpermarket ürünlerinde görmeye alışkın olduğumuz geleneksel tek boyutlu versiyonlara göre birçok avantaja sahiptir – bunlardan bazıları depolayabildikleri büyük veri hacmi, kısmen hasar görmüş olsalar bile okuma imkanı ve veri iletiminin kolaylığı ve hızıdır.
Static QR veya Dynamic QR
İçerdikleri verileri değiştirme olasılığına bağlı olarak iki ana QR kodu türü bulunmaktadır.
Statik QR kodları, kodlanan bilgilerin değişmesinin beklenmediği durumlarda kullanılır. Bilgiler oluşturulduktan sonra güncellenemez veya değiştirilemez. Bu tür QR kodu genellikle bir web sitesi adresini, iletişim bilgilerini veya Wi-Fi şifresini paylaşmak gibi basit görevler için kullanılır.
Dinamik QR kodları ise depoladıkları veriler, kodun görünümünü değiştirmeden güncellenebildiği veya değiştirilebildiği için daha fazla esneklik sunar. Bu kodlar, bilgilerin saklandığı sunucuya işaret eden benzersiz bir URL içerir. Dinamik QR kodu, tarandığında kullanıcıyı URL’ye yönlendirerek en güncel bilgilere erişmesine olanak tanır. Bu, dinamik QR kodlarını etkinlik ayrıntıları, promosyon teklifleri veya gerçek zamanlı envanter takibi gibi içeriğin sık sık güncellenmesi gereken durumlar için ideal hale getirir; ancak aynı zamanda dolandırıcıların kaynaklarını değiştirerek meşru QR kodlarını manipüle etmeleri için de olgun bir fırsat sağlar
Dinamik QR Kodları – Yazdırdıktan sonra bile düzenlenebilir – QR tarama takibi ve analizi sunabilir – Kullanıcıları çevrimiçi olarak yeniden hedefleyebilir – Kısa ve temiz bir URL’ye sahip olabilir – Taramak için daha az zaman ayrılır – Belirli bir programa göre farklı kampanyalar sunulabilir – Dinamik QR Kod analiz yeteneklerini kullanmak için belirli bir servis sağlayıcısına ihtiyacınız bulunmaktadır. | Statik QR Kodları – Oluşturulduktan sonra düzenlenemez – QR tarama takibi sunamaz – Çevrimiçi yeniden hedefleme için kullanılamaz – Uzun ve karmaşık bir URL’ye sahip olur – Taraması daha uzun sürer – Farklı kampanyalar sunulamaz |
Statik kodları da Dinamik kodlar gibi analiz yapabilirsiniz fakat bu biraz daha uğraştırıcı olacaktır.
Örnek bir Dinamik QR ile www.cozumpark.com web sitesine gitmesi için yaratılmış bir QR ile alınan datalar;
Son yıllarda bu kodların kullanımında muazzam bir artış oldu. Pandemi sırasında hizmet sağlayıcılar, sosyal mesafe kurallarını korurken iş sürekliliğini güvenli bir şekilde sağlamak için bunlara güvenmeye başladı. Bu nedenle, kullanıcılar QR kodlarını taramaya alıştı ve bunu yapmak için daha fazla isteklilik gösterdi. Yakın zamanda yapılan bir araştırma, 2025 yılına kadar ABD’de 99,5 milyon kullanıcının QR kodlarını taramak için telefonlarını kullanacağını doğruluyor. Bir başka araştırmaya göre ise kullanıcıların yüzde 59’u QR kod taramanın gelecekte telefonlarını kullanmanın kalıcı bir parçası olacağını düşünüyor.
QR kodların, içerebildikleri veri miktarı ve geleneksel barkodlarla mümkün olmayan hem ekranlarda hem de kağıt üzerinde tarama imkanı dahil olmak üzere birçok faydası, özellikle ödeme işlemleri, pazarlama ve reklamcılık amaçları için birçok sektörün kullanımını keşfetmesine neden oldu. Artık QR kodlarını reklam panoları, restoranlar, el ilanları ve çıkartmalar gibi halka açık yerlerde ve kısa mesajlar, sosyal medya ve e-postalar aracılığıyla telefonumuzda ve gelen kutumuzda buluyoruz.
Quishing Nedir?
Quishing, insanları kötü amaçlı bir web sitesini ziyaret etmeleri veya virüs dolu bir belge indirmeleri için kandırmak için QR kodlarını kullanan bir tür kimlik avı saldırısıdır. Bağlantılar, belgeler ve ödeme portalları gibi çeşitli kaynakları barındırma seçeneğiyle QR kodları, kötü amaçlı bağlantıları, virüs içeren belgeleri ve sahte ödeme portallarını barındıracak şekilde değiştirilebilir. QR kodların arkasındaki kaynak, düz bir resim olarak yapıştırıldığında tespit edilmesi çok zor olduğundan, dolandırıcılara bunları e-postalara dahil ederek güvenlik filtrelerini aşmaları için mükemmel bir fırsat sunar. Bir siber suçlu, kurbanlarının kimlik bilgilerini topladığı sahte bir giriş sayfasına veya kod tarandıktan hemen sonra indirilmeye başlayan indirilebilir bir virüs veya kötü amaçlı yazılıma yönlendiren QR kodları oluşturmasıyla başlar. Bu kodlar daha sonra e-postalara resim veya ek olarak eklenebilir, ancak aynı zamanda mağdurların onları tarayabileceği halka açık yerlerde de sergilenebilir. QR kodunu taradıktan sonra, oturum açma kimlik bilgileri veya banka bilgileri gibi hassas bilgileri sağlamaları ya da kötü amaçlı yazılım veya uygulamaları indirmeleri isteniyor. İndirme işlemi, kodu taradıktan hemen sonra otomatik olarak gerçekleşebilir ve cihazlarına daha fazla virüs bulaştırabilir.
Bir Quishing Saldırısı Örneği;
- Öncelikle kullanıcının oturum açmasını istedikleri web sitesinde veya uygulamada istemci tarafında bir QR oturumu başlatırlar.
- Daha sonra meşru QR kodunu kopyalayıp saldırganın sunucusuna yönlendirerek onu değiştiriyorlar.
- Daha sonra QR’yi orijinalini taklit eden sahte bir giriş sayfasına yerleştiriyorlar.
- QR kodu hazır olduğunda, sahte giriş sayfasının bağlantısını e-posta veya başka bir kanal aracılığıyla dağıtıyorlar ve kullanıcının bağlantıya tıklayıp QR’yi tarayarak giriş yapmasını sağlıyorlar.
- Çok faktörlü kimlik doğrulamanın etkinleştirilmemesi durumunda mağdur QR kodunu tarar okumaz saldırgan, mağdurun hesabına erişim sağlıyor.
QR kimlik avı gerçek hayattan örnekler
Becerikli siber suçlular, kimlik avı planlarında QR kodlarından yararlanmak için yeni stratejiler geliştirmeye devam ediyor. İster oturum açma bilgilerinizi almak olsun, ister park ücretini öderken kredi kartı bilgilerinizi almak olsun, kurbanlarını kandırmak ve hassas verileri ele geçirmek için gelişmiş sosyal mühendislik taktiklerini kullanıyorlar.
Restoranda masa üzerinde duran menü için QR’ı okutun logolu objeler (Pleksi içindeki QR kodları)
Verdiğiniz siparişi QR ile masadan kalkmadan ödeme şeklinde (Genelde masaya yapıştırılmış halde) olan QR Objeler
Benzinliklerde bulunan ve kasaya gitmeden ödemenize imkan veren QR kodları
Arabanızın sileceğinize iliştirilmiş park cezası aldınız, QR kodu okutarak ödeyebilirsiniz şeklinde QR kodu
Park için ödeme büfeleri ve park bileti dolandırıcılığı hikayesi
Quishing, bankacılık ve ödeme ayrıntılarının çıkarılmasına odaklanıldığında daha büyük bir tehdit oluşturur. Teksas’ta meydana gelen bir vakada, siber suçlular park için ödeme yapan büfelere sahte QR kodu etiketleri yapıştırarak sürücülerin bunları park ücretini ödemek için kullanabileceklerine inandırdılar. Sürücüler, kodları tarayarak kredi kartı bilgilerini girecekleri ve gizli verilerini istemeden bilgisayar korsanlarına verecekleri bir siteye yönlendirildi. Benzer bir şey Şubat 2022’de Atlanta’da da yaşandı; sürücüler, sözde para cezası ödemesi için araçlarında QR kodları bulunan sahte park biletleri keşfettiler. Durumun farkına varan yerel yetkililer, Atlanta’nın park cezalarında QR kod kullanmadığı konusunda uyardı.
Quishing Saldırılarından Nasıl Korunabiliriz?
QR kaynağını doğrulayın: Özellikle karşı konulamaz fırsatlar veya indirimler sunuyorlarsa yabancılardan gelen QR kodlarını taramaktan kaçının. Mesaj veya e-posta resmi bir kaynaktan veya bir meslektaşınızdan geliyorsa, postanın orijinalliğini onlarla kontrol edin veya resmi web sitelerini ziyaret edin.
Güvenilir bir QR kod okuyucu kullanın: Çoğu akıllı telefon, kameralarındaki yerleşik tarama özelliğiyle veya Google Lens ile QR kodlarını taramanıza olanak tanır, ancak üçüncü taraf bir uygulama indirmeye karar verirseniz bunun güvenilir olduğundan emin olun. Siber suçlular geçmişte kullanıcılara kötü amaçlı yazılım bulaştırmak için QR tarama uygulamalarına yönelik sahte güncellemeler kullanmıştı.
Hedef URL’yi önizleyin: Tarama uygulamanız bu özelliğe sahipse erişmeden önce QR kodunun sizi yönlendirdiği bağlantıyı kontrol edin. Bu sizi, kötü amaçlı yazılımları taradıktan sonra cihazınıza otomatik olarak indiren QR kodlarına karşı koruyacaktır.
QR taradıktan sonra sağladığınız bilgilere dikkat edin: Kişisel bilgi veya veri isteyen bir bağlantı istendiğinde, herhangi bir şey girmeden önce logoyu ve bulunduğunuz sayfanın tam URL’sini çapraz kontrol edin. Mümkünse hassas bilgileri bir bağlantı veya QR kodu aracılığıyla girmek yerine tarayıcınıza orijinal URL’yi yazın.
İki faktörlü kimlik doğrulamayı etkinleştirin: Bu ekstra koruma katmanı, geleneksel kimlik avında olduğu gibi çalışır. Bilgilerinizin bir siber suçlunun eline geçmesi durumunda, ikinci kimlik doğrulama biçimini kabul etmediğiniz sürece, hesaplarınıza erişemeyeceklerdir. Bu aynı zamanda, hesabınıza erişmeyi denemediyseniz, yüzlerce bildirim alsanız bile telefonunuzdaki bildirimleri kabul etmekten kaçınmanız gerektiği anlamına da gelir. Bu, bilgisayar korsanlarının kimlik bilgilerinizi ele geçirdiğinin ve hesabınıza erişmeye çalıştıklarının açık bir işaretidir
Düzenli güvenlik farkındalığı eğitimleriyle kendinizi güncel tutun: Bir siber suçludan iki adım önde olmak, onların nasıl davranacağını ve olası bir saldırı durumuyla karşı karşıya kaldığında ne yapılacağını öğrenmek anlamına gelir.