Günlük hayatımızı hızlandıran ve kolaylaştıran QR kodların siber suçlular tarafından kötüye kullanılması da epey mümkün.
Kare kodların hayatımızı kolaylaştırdığına şüphe yok. Bu şık kodlar dijital ödemeleri mümkün kılmaktan uygun kişi takibine kadar günlük hayatımızı sürdürürken bizi sayısız form doldurma endişesinden kurtardı.
Ancak veri paylaşımını kolaylaştırmak için kullanılan tüm platformlarda olduğu gibi, akla gelen ilk soru şu: Bu şekilde veri paylaşmak güvenli mi?
QR kod teknolojisinin kendisi doğası gereği güvenli olsa da, siber saldırganların bu kodları haksız kazanç elde etmek için kullanma yollarına karşı dikkatli olmalıyız.
SİBER SUÇLULARIN QR KODLARINI KULLANMA YOLLARI
Pandemi sırasında, siber güvenlik firması Palo Alto Networks’ün tehdit istihbarat ekibi Unit 42, QR kodlarını kötüye kullanmanın ve yeraltı çevrimiçi forumlarında sıradan tüketicileri hedef almanın yollarını tartışan siber suçluları tespit etti.
Unit 42, saldırı gerçekleştirmek için QR kodlarının nasıl kullanılacağına ilişkin eğitim sunan çevrimiçi açık kaynaklı araçlar ve video eğitimleri de buldu. Neticede kullanıcıları nereye yönlendireceği belirsiz olan bu QR kodları, potansiyel siber saldırılara bir giriş yolu sağlayabilir.
Siber suçlular, kullanıcıları otomatik olarak web sayfalarına, uygulama mağazalarına ve ödeme sayfalarına yönlendirirken, kendilerini sürece dahil etme fırsatları elde ediyor.
Siber suçluların QR kodlarını kötü niyetli kazançlar için kullanmalarının birkaç yolu var. Bunlardan biri, bir işletmenin web sitesine girip QR kodunu kendi kodlarıyla değiştirmek. QR kodlarının görüntüsü birbirine oldukça benzediğinden, değiştirilen bir kodun fark edilmesi inanılmaz derecede zor.
Kişisel veriler teknoloji devlerinin arasını açtı: Apple güvenlik, Facebook reklam derdinde
Bu kodun taranması, durumdan şüphelenmeyen tüketicileri, siber suçluların kullanıcı kimlik bilgilerini isteyebileceği ve ardından e-posta veya sosyal medya hesaplarının kontrolünü ele geçirebileceği bir şifre avcılığı URL’sine yönlendirebilir.
Ayrıca kullanıcıları, virüs veya diğer kötü amaçlı yazılım türlerini içeren kötü amaçlı bir uygulamayı bilmeden indirebilecekleri resmi olmayan uygulama mağazalarına yönlendirebilir. Veri hırsızlığı veya gizlilik ihlali gibi daha ciddi sonuçlar ortaya çıkabilir.
Singapur’da, son üç yılda QR kodunun dolandırıcılık yapmak için araç olarak kullanıldığı yaklaşık 210 vaka rapor edildi. Bu istatistiğe internetteki aşk dolandırıcılıkları ve kurbanların dolandırıcının banka hesabına veya kripto para birimi adresine para aktarmak için yasal QR kodlarını taradığı dolandırıcılıklar da dahil.
QR KODLARIN YÖNLENDİRDİĞİ ALAN ADLARINI KONTROL EDİN
Pekiyi, kendimizi bu tehlikeden nasıl koruyabiliriz? Bir QR kodunun siber suçlular tarafından kötüye kullanılıp kullanılmadığını anlamanın kesin bir yolu olmasa da alabileceğimiz bazı önlemler var.
Hepimiz şüpheli bir bağlantıya veya e-postaya “tıklamadan önce düşünmemiz” gerektiğini defalarca duyduk ve bu bilgiyi içselleştirdik. Artık bunu QR kodlarına uygulamanın zamanı geldi. Taramadan önce düşünün.
Sadece güvenilir kaynaklardan gelen QR kodlarını tarayın ve yönlendirilmeyi beklediğiniz yerde olduğundan emin olmak için web sitesinin ve alan adının önizlenimine bakın.
Kullanıcıların web sitelerini ziyaret etmeden önce önizlemelerini sağlayan birçok güvenli QR kod tarama uygulaması mevcut. Bazı tarayıcılar ayrıca kullanıcıların bilinmeyen web sitelerine otomatik yönlendirmeleri devre dışı bırakmasına izin vererek, kişilerin güvenilir olup olmadığına karar vermeden önce URL alan adını iki kez kontrol etmelerini sağlıyor.
Uygulamaları yalnızca Apple App Store veya Google Play Store gibi güvenilir kaynaklardan indirin. Bunun da ötesinde, en son güvenlik korumalarından yararlanmak için tüm akıllı cihazlarınızı periyodik olarak güncelleyin.
Kişisel veriler teknoloji devlerinin arasını açtı: Apple güvenlik, Facebook reklam derdinde
İşletme sahipleri ve IT yöneticileri, QR kodlarının doğru bilgileri ve bağlantıları içermelerini sağlamak için sitelerinde ve uygulamalarında düzenli bütünlük kontrolleri yapmak durumunda.
Hem web hem de mobil tarayıcı sürümleri kontrol edilmelidir. İşverenler ayrıca çalışanlarını eğitmek için siber güvenlik uygulamaları konusunda yeterli eğitimi vermelidir. Bu eğitimler arasında hem kişisel hem de iş hesapları için güçlü şifreler kullanma, çok faktörlü kimlik doğrulamayı ayarlama ve şifre avcısı e-postalarının yanı sıra güvenli olmayan sanal ortamları tanımlamak yer almalı.
Birçok çalışan uzaktan çalışmaya devam ettiği düşünüldüğünde, siber farkındalık eğitimi onları mantıklı kararlar almaları için gerekli bilgilerle donatacak ve saldırganların kişisel ve kurumsal ağlara, cihazlara ve verilere erişme riskini azaltacaktır.
Ana akım toplumda yaygınlaşan herhangi bir teknolojide olduğu gibi, önümüzdeki aylarda siber suçluların QR kodlarını kötüye kullanma girişimlerinde bir artış görülmesi bekleniyor.
