Çabuk Tepki Vermeyin

Quick Response Code (QR Code) Türkçe meali ile Çabuk Tepki Kodu, 1994 yılında Toyota’nın iştiraki olan Japon Denso firması tarafından üretim bandında parça takibi amacıyla geliştirilmiş iki boyutlu barkod türüdür. QR Kodunun veri kapasitesi, nümerik olarak en fazla 7.089 karakter,
alfanümerik olarak en fazla 4.291 karakter, ikilik sistem (8 Bit) olarak en fazla 2.953 bayt, Kanji/Kana olarak ise en fazla 1.817 karakterdir. (Veri kapasitesi seçilen sürüme ve hata düzeltimine göre değişiklik gösterebilir.)


Günümüzde hemen hemen her akıllı cihazda (cep telefonları, tabletler vb.) barkod okuyucu uygulaması olması nedeniyle barkodlar, başta reklam sektörü olmak üzere hizmet sektörü, gıda sektörü, yazılım sektörü ve bankacılık sektörü gibi birçok sektör tarafından çeşitli amaçlar (web sitesi reklamı, uygulama indirme, sanal alışveriş vs.) için kullanılmaktadır.

Örneğin bundan 7 ay önce Astoria Alışveriş Merkezinde karşılaştığım devasa QR koduna bakacak olursanız Mekanist mobil uygulamasını yükletmek amacıyla kullanıldığını görebilirsiniz.

QR Kod

QR Kod

QR Kod

Bir diğer örnek olarak ise farklı hizmetler sunmak ve dünyada bir ilk olmak için birbirleriyle yarışan risk iştahları yüksek bankalarımızın çeşitli yöntemler ile (salla yolla, sosyal ağdan bankacılık) gerçekleştirdikleri bankacılık işlemlerini benimsemeye çalışırken diğer bir bankamızın ATM’den QR kod ile kredi kartsız para çekmeye imkan tanıyarak dünyada bir ilke imza attığını görebilirsiniz.

QR Kod

QR Kod

Günümüzde QR kodların hemen hemen her alanda sıkça kullanılıyor olması ve cep telefonumuz ile her gördüğümüz barkodu taramaya başlıyor olmamız aslında sosyal mühendislik saldırılarına da davetiye çıkarmaktadır. Çoğu zaman akıllı cep telefonlarında da birer işletim sistemi çalıştığını ve bu işletim sistemlerinin de aynı Windows ve Linux işletim sistemleri gibi zafiyetlere sahip olduğunu ancak bu işletim sistemlerinden farklı olarak güvenlik yamalarının kolayca yüklenemediğini göz ardı etmekteyiz. Durum böyle olunca da cep telefonlarımızın QR kodlar da dahil olmak üzere çeşitli yollar ile istismar edilme olasılığı artmaktadır.

Örneğin iOS ve Android işletim sistemlerinde bulunan Webkit internet tarayıcısı motorunda keşfedilen zafiyetlerin sadece bir web sitesini ziyaret ederek istismar edilebildiği haberlerini daha önce okumuştuk.

Mekanist örneğinde olduğu gibi barkod okuyucu uygulaması ile QR kod taratan ve uygulama indirip kurmaya alışan bir kullanıcının art niyetli kişilerce hazırlanan bir QR kodu okutması ve ardından zararlı uygulamayı cep telefonuna kurma olasılığı yüksektir çünkü QR kodları hazırlayan kişilerin/firmaların doğruluğunun teyit edilmesi mümkün değildir.

Veya banka örneğinde olduğu gibi ATM’de QR kod taramaya alışan bir kullanıcının art niyetli kişilerce hazırlanan ve ATM’lere yapıştırılan bir QR kodu okutması, art niyetli kişilerin kontrolünde olan bir web sitesini ziyaret etmesi ve bu site üzerinde bulunan zararlı uygulamayı cep telefonuna istem dışı yüklemesi mümkün olabilir.

Özetle QR kod taramaya teşvik edildiğimiz bugünlerde güvenliğiniz için kaynağından emin olmadığınız QR kodları taramamanız, taramanız durumunda da özellikle kısaltılmış URL içeren adresleri ziyaret etmemeniz şiddetle tavsiye edilir aksi halde art niyetli kişilerin cep telefonunuza erişmesi ve kişisel bilgilerinize ele geçirmesi mümkün olabilir. Herhangi bir QR kodu taramadan önce QR kod oluşturulmasının basit ve anonim olarak gerçekleştirilebilen bir işlem olduğunu asla unutmayın.

QR Kod

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More