Amerika Birleşik Devletleri’nde hızla yayılan yeni ve tehlikeli bir QR kod dolandırıcılığı, milyonlarca insanın banka hesaplarını tehdit ediyor. Uzmanlar, bu kötü amaçlı saldırıların birçok ülkede de görüldüğünü bildiriyor.
Siber güvenlik uzmanları, ‘quishing’ (QR kod kimlik avı) olarak bilinen bu yeni kimlik avı türünün, kullanıcıları kişisel bilgilerini, kredi kartı detaylarını ve bankacılık kimlik bilgilerini vermeye kandırdığı konusunda acil bir uyarı yayınladı.
ABD’DE 26 MİLYON KİŞİ ETKİLENDİ
Son bir rapora göre, sadece ABD’de 26 milyondan fazla kişi bu dolandırıcılığın kurbanı oldu ve bu sayının hızla artmasından endişe ediliyor.
Bu dolandırıcılık yöntemi, gündelik hayatta sıkça kullandığımız QR kod teknolojisinin rahatlığını kötüye kullanıyor.
“QUISHING” NEDİR VE NASIL ÇALIŞIR
QR kodları veya ‘hızlı yanıt’ kodları, işletmeler tarafından müşterilerin web sitelerine, menülere veya ödeme portallarına hızlıca erişmesi için yaygın olarak kullanılır.
Ancak suçlular artık bu kolaylıktan faydalanarak, otopark otomatları, toplu taşıma tabelaları, restoran masaları ve hatta teslimat paketleri gibi yoğun alanlardaki gerçek QR kodlarının üzerine sahte olanlarını yapıştırıyorlar.
Kullanıcı sahte QR kodunu taradığında, genellikle meşru siteleri birebir taklit eden ancak oturum açma kimlik bilgilerini veya finansal verileri çalmak için tasarlanmış sahte web sitelerine yönlendiriliyor.
Bazı durumlarda ise bu sahte kodlar, kullanıcının telefonuna farkında olmadan kötü amaçlı yazılım (malware) yükleyerek siber saldırganlara cihaz üzerinde tam uzaktan erişim sağlayabiliyor.
GERÇEK HAYATTAN ÖRNEKLER
Bu dolandırıcılığın ne kadar yaygınlaştığına dair somut örnekler de mevcut. Örneğin Miami’de şehir yetkilileri, otoparklara yerleştirilen sahte QR kodlarının sürücüleri sahte ödeme sitelerine yönlendirerek kredi kartı bilgilerini çaldığını tespit etti ve 7 binden fazla sahte etiketi kaldırdı.
Federal Ticaret Komisyonu (FTC) tarafından bildirilen bir başka vakada ise, kurbanlar üzerinde sahte “hediye” mesajı bulunan gizemli paketler aldı.
Paketin üzerindeki QR kodu, gönderenin kim olduğunu bulma vaadiyle kullanıcıları taramaya teşvik ediyor, ancak aslında onları kimlik bilgilerini isteyen kimlik avı sitelerine yönlendiriyordu.
SAHTE BİR QR KODU NASIL TESPİT EDİLİR
Uzmanlar, sahte bir QR kodunu tespit etmenin bazı yolları olduğunu belirtiyor.
Öncelikle fiziksel görünüme dikkat edin; birçok sahte kod düşük kaliteli etiketlere basılmıştır veya gerçek olanın üzerine yapıştırıldığında hafifçe hizasız, tahrif edilmiş veya çevresindeki markayla uyumsuz görünebilir.
Ayrıca, çoğu akıllı telefon artık bir web sitesini açmadan önce URL’nin önizlemesini gösterir.
Bu önizlemede bağlantının her zaman ‘https://’ ile başladığından ve meşru bir web adresi gibi göründüğünden emin olun.
UZMANLARDAN UYARILAR VE KORUNMA YÖNTEMLERİ
Siber güvenlik uzmanı Dustin Brewer, “En tehlikeli yanı, göz önünde saklanmaları. Saldırganlar kendi QR kodlarını yazdırıp gerçek bir kodun üzerine yapıştırabilirler ve siz de aradaki farkı asla anlayamazsınız.” dedi.
Brewer, bu dolandırıcılıkların maliyetinin düşük ancak getirisinin çok yüksek olduğunu belirterek, insanların artık her yerde gördükleri için QR kodlarını sorgulamadan taradıklarını ve dolandırıcıların da tam olarak buna güvendiğini söyledi.
Uzmanlar, özellikle e-postalarda, kısa mesajlarda veya fiziksel postalarda bilinmeyen kaynaklardan gelen QR kodlarını asla taramamanızı öneriyor.
Bir QR kodunu taradığınızda aniden sizden parola sıfırlama, iki faktörlü kimlik doğrulama bilgisi isteyen veya gerçek olamayacak kadar iyi görünen bir teklifle karşılaşıyorsanız, bunun büyük olasılıkla bir dolandırıcılık olduğunu unutmayın.
SANS Enstitüsü’nden Rob Lee’nin de belirttiği gibi, “QR kodları güvenlik düşünülerek değil, hayatı kolaylaştırmak için oluşturuldu; bu da onları dolandırıcılar için mükemmel kılıyor.”
kaydırmaya devam ederek gündemden son dakika ve magazin haberlerine havadiskolik.com üzerinden anında erişebilirsiniz.
kaynak
News
