Geçen ay bir kargo mesajı aldım. “Kargonuz teslim edilemedi, adresi güncellemek için tıklayın” diyordu. Altında da bir QR kod vardı. O an normal bir kargo bildirimi sandım — ki her gün onlarca insan aynı şeyi sanıyor. Neyse ki taramadan önce URL’ye baktım ve “bu domain kargo firmasınınki değil” diye fark ettim. Ama kolumu bir saniye daha zayıf tutsaydım, o koda telefonu tutmuş olacaktım.
İşte bu yazıda QR kod dolandırıcılığının nasıl çalıştığını, neler yapılması gerektiğini ve kendi deneyimlerimi anlatacağım. Çünkü bu konu her geçen gün daha tehlikeli hale geliyor.
Konu İçeriği
QR Kod Dolandırıcılığı (Quishing) Tam Olarak Nedir?
Quishing — yani QR kod üzerinden yapılan oltalama saldırısı — son yılların en hızlı büyüyen siber tehditlerinden biri. 2024 yılında QR kod bazlı dolandırıcılık vakaları bir önceki yıla göre yüzde 587 arttı. Evet, yanlış okumadınız, neredeyse 6 kat.
Peki nasıl çalışıyor? Dolandırıcılar sahte bir QR kod üretiyor. Bu kodu sizi bir sahte web sitesine yönlendiriyor. Site, bankanızın, kargo firmasının veya sosyal medya hesabınızın giriş sayfasına benziyor. Orada şifrenizi giriyorsunuz ve… işte o anda elinizde avucunuzdaki her şey gidebiliyor.
Neden bu kadar etkili? Çünkü insanlar QR kodlara güveniyor. Menüde, afişte, kargo bildiriminde — her yerde var ve “resmi” görünüyor. Ama arkasında ne olduğunu kimse göremiyor, karelerin içinde ne yazıyor okuyamıyorsunuz.
Dolandırıcılar Hangi Yöntemleri Kullanıyor?
Sahte Kargo ve Posta Bildirimleri
En sık karşılaştığım yöntem bu. SMS veya e-posta ile “kargonuz teslim edilemedi” diye mesaj geliyor. Altında QR kod var, taratıyorsunuz, sahte bir sayfa açılıyor.
Benim yaşadığım örnekte mesaj “PTT Kargo” diye geliyordu ama gönderen numara yabancı bir numaraydı. QR kodun altındaki URL’ye bakınca ptt-kargo-guncellemex.xyz gibi saçma bir domain gördüm. Hemen sildim mesajı.
Ama dürüst olacağım: o an acelem olsaydı, dikkatli bakmasaydım, büyük ihtimalle tarayacaktım. Çünkü kargo bekliyordum ve insan beyni böylesi durumlarda “bu bana ilgili” diyor ve eleştirel düşünmeyi devre dışı bırakıyor.
Menü ve Ödeme Dolandırıcılığı
Restoran ve kafelerde masaya yapıştırılmış sahte QR kodlar yeni bir moda. Dolandırıcılar restoranın kendi QR kodunun üzerine kendi sahte kodlarını yapıştırıyor. Siz menü yerine taradığınızda sahte bir ödeme sayfasına yönlendiriliyorsunuz.
Bunu bir arkadaşımda gördüm. Kafede menü için QR kodu taradı, karşısına “ödeme yap” sayfası çıktı. “Acaba garson mu yaptı?” diye düşünürken aslında dolandırıcının üzerine yapıştırdığı sahte karekod sayfasına girmiş olduğunu fark etti. Şans eseri kart bilgilerini girmemişti.
Park ve Otopark Ücreti
Sokak park ücretlerini QR kod ile alan belediyeler var. Dolandırıcılar da bu sistemi kullanıyor — sahte park ücreti QR kodları park tabelalarının üzerine yapıştırıyor. Özellikle büyük şehirlerde bu yöntem çok yaygın.
Sosyal Medya Hesabı Çalma
“Instagram hesabınız doğrulanacak, tarayın” diye mesaj geliyor. Kodu taradığınızda sahte Instagram giriş sayfası açılıyor. Şifrenizi giriyorsunuz ve hesabınız elden gidiyor.
Kendi Deneyimlerim ve Öğrendiklerim
Bir süre önce annem de benzer bir mesaj aldı. “Bankanız hesabınızı askıya aldı, doğrulamak için QR kodu tarayın” diyordu. Annem panik halinde beni aradı. Neyse ki daha önce ona “öyle mesajlar gelirse bana sor” demiştim.
Ama herkesin arkasında benim gibi biri yok. Ya da herkes o an düşünemeyebilir. Bir araştırmaya göre insanların yüzde 36’sı bir QR kodu tararken ne çıkacağını düşünmüyor. Sadece tarıyor ve bakıyor.
Bir keresinde iş yerinde fatura ödemek için QR kod taradım. Normal bir işlem gibi görünüyordu ama URL’ye baktığımda http:// ile başladığını, SSL sertifikası olmadığını fark ettim. Bu kadar basit bir detay bile yüzlerce insanı tuzağa düşürebilir.
QR Kodu Tararken Nelere Dikkat Etmeli?
URL’yi Kontrol Edin
QR kodu taradığınızda tarayıcı açılmadan önce URL gösterilir. Durdurun ve okuyun. Domain ismini kontrol edin:
ptt-kargo-guncelleme.xyz→ sahtegaranti-bankasi-login.com→ sahteinstagram-verify.xyz→ sahte
Gerçek siteler .com, .com.tr gibi bilinen uzantılar kullanır. Uzantı xyz, top, club gibi şeyler ise büyük ihtimalle sahtedir.
Kargo ve Banka Mesajlarına Dikkat
Eğer bir kargo mesajı aldıysanız, QR kodu taramak yerine doğrudan kargo firmasının resmi sitesine girin. SMS’teki takip numarasını orada arayın. Banka mesajlarında ise bankanızın uygulamasını açın, oradan kontrol edin.
QR Kodun Kaynağına Bakın
Restorandaki QR kod menünün üstüne yapıştırılmış gibi duruyorsa şüphelenin. Afiş, tabeladaki QR kodların üzerinde bir sticker varsa kazıyın veya yetkililere bildirin.
Telefonunuzda Güvenlik Uygulaması Kullanın
Mobil cihaz güvenlik yazılımları sahte URL’leri tespit edebiliyor. Android’de Google Play Protect, iOS’ta Apple’ın yerleşik koruması çalışıyor ama üçüncü parti uygulamalar da ekstra koruma sağlıyor.
Asla Acele Etmeyin
Dolandırıcılar aciliyet hissi yaratır. “Hesabınız 24 saat içinde kapatılacak”, “Kargonuz iade edilecek” gibi mesajlarla sizi heyecanlandırmaya çalışırlar. Ama gerçek kurumlar asla QR kod ile acil işlem istemez. Derin bir nefes alın ve durumu mantıklı düşünün.
Hangi Siteler ve Araçlar Yardımcı Olur?
QR kodu taramadan önce içeriğini görmek isterseniz şu araçları kullanabilirsiniz:
- QR Code Reader (online) — koda telefonu tutmadan URL’yi görebilirsiniz
- VirusTotal URL Scanner — URL’yi tarayıp güvenli olup olmadığını kontrol eder
- Google Safe Browsing — tarayıcınızın yerleşik koruması
Ben şahsen her şüpheli QR kodda önce URL’yi okuyorum, sonra VirusTotal’da taratıyorum. 10 saniye sürer ama büyük bir felçten korur.
Sıkça Sorulan Sorular
QR kod dolandırıcılığından nasıl korunurum?
En önemli kural: QR kodu taramadan önce URL’yi kontrol edin. Bilmediğiniz veya şüpheli domain’lerden gelen kodları taramayın. Banka ve kargo bildirimlerinde doğrudan resmi uygulamayı kullanın.
Sahte QR kodu nasıl anlarım?
URL’ye bakın. Tanımadığınız domain uzantıları (xyz, top, club), yazım hataları, ve HTTPS olmayan siteler en büyük ipuçları. Ayrıca QR kodun üzerine yapıştırılmış sticker varsa şüphelenin.
QR kod taradım ve şüpheli bir site açıldı, ne yapmalıyım?
Hemen tarayıcıyı kapatın. Hiçbir bilgi girmeyin. Eğer şifrenizi girdiyseniz derhal ilgili hesabın şifresini değiştirin. Banka kartı bilgisi girdiyseniz bankanızı arayıp kartı iptal ettirin. İki faktörlü doğrulama açıksa hesabınız büyük ihtimalle güvendedir.
Türkiye’de QR kod dolandırıcılığı yaygın mı?
Evet, son yıllarda ciddi artış var. Özellikle kargo bildirimi ve banka doğrulama şeklinde gelen SMS’lerde sahte QR kodlar sıkça kullanılıyor. BTK verilerine göre 2024’te oltalama saldırılarının önemli bir kısmı QR kod tabanlıydı.
Restoran menüsündeki QR kodlar güvenli mi?
Genelde evet ama dikkatli olmak gerekiyor. Eğer QR kodun üzerine sonradan yapıştırılmış bir sticker varsa, veya menü yerine ödeme sayfası açılıyorsa, şüphelenin ve personel bildirin.
Sonuç
QR kodlar hayatımızı kolaylaştıran bir teknoloji ama dolandırıcılar da bu kolaylığı kullanıyor. Her QR kod güvenli değil ve ne yazık ki gözle hangisinin tehlikeli olduğunu anlamanın yolu yok.
Ben birkaç kez bu tuzağa düşmekten son anda kurtuldum. Her seferinde dikkatimi veriyor olmam kurtardı. Ama herkes her an aynı dikkatle hareket edemiyor.
Basit kural: taradığınız her kodun URL’sini okuyun, acele etmeyin ve şüphelendiğinizde resmi kanallardan doğrulayın. Bu üç adım sizi büyük bir felçten koruyabilir.
Unutmayın: dolandırıcılar sizin hızlı düşünmenizi, paniklemenizi ve tıklamanızı bekliyor. Tek silahınız yavaşlamak ve düşünmek.
