HEPİMİZ BİR QR KODU (KAREKOD) TARAYARAK HIZLI BİR ŞEKİLDE BİLGİ ALMAYA ALIŞKINIZ. ANCAK KAREKODLAR GÜVENLİK VE GİZLİLİK RİSKLERİ DE TAŞIYOR. ESET TÜRKİYE ÜRÜN VE PAZARLAMA MÜDÜRÜ CAN ERGİNKURBAN, KAREKOD UYGULAMASINI KULLANIRKEN NELERE DİKKAT EDİLMESİ GEREKTİĞİNİ ANLATIYOR.
İngilizce “Quick response-Hızlı Yanıt” kısaltması olan QR kod, yani karekod, dijital bir cihaz tarafından anında okunmak ve yorumlanmak üzere tasarlanmış, cep telefonuyla bile taranabilen bir barkod türüdür. Karekod içinde kodlanmış metin dizeleri çeşitli veriler içerebilir. Bir karekod okutulduğunda gerçekleşen eylem, söz konusu kodla etkileşime giren uygulamaya bağlıdır. Kodlar, diğer birçok işlemin yanı sıra bir internet sitesini açmak, bir dosya indirmek, bir kişi eklemek, bir Wi-Fi ağına bağlanmak ve hatta ödeme yapmak için kullanılabilir.
KAREKODLAR VE TEHLİKELERİ
Karekodların dinamik sürümleri, içeriği veya eylemi istediğiniz zaman değiştirmenize izin verir. Fakat bu çok yönlülük bazen tehlikeli olabilir. Karekodların kullanışlılığına rağmen doğaları onları istismara açık hale getirir. Güvenilmeyen kaynaklardan gelen karekodları taramak sizi çok sayıda güvenlik tehdidine maruz bırakabilir.
ZARARLI YAZILIM SALDIRILARI
Dolandırıcılar kolayca bir karekod oluşturabilir, Google veya Apple uygulama mağazalarının logosunu ekleyebilir ve bunları herhangi bir yere yapıştırabilir. Bu tür karekodların taranması, cihazınızın sahte bir internet sitesinden bir uygulama indirmek gibi otomatik olarak harekete geçilen bir eylemi tetikleyebilir. Bu tür eylemler, siz farkında olmadan cihazınıza kötü amaçlı yazılım da bulaştırabilir.
KİMLİK AVI SALDIRILARI
“QRishing” olarak da bilinen karekodu taramanın sizi kimlik avına maruz bırakabileceği çeşitli yollar vardır. Örneğin, bir kodu taramak internet tarayıcınızı çevrim içi bir alışveriş sitesine veya bankaya benzeyen bir internet sitesine yönlendirerek, e-posta adresiniz ve şifrelerinizle oturum açmanızı isteyebilir. Bu sahte internet siteleri gerçek internet adreslerine benzediğinden, sahtekârlığı fark edemeyebilirsiniz. Hatta bazı sahte internet adresleri bile ilk bakışta gerçek gibi görünür. Bu internet sitelerine giriş bilgilerinizi girdiğinizde, veriler diğer uçtaki bir dolandırıcıya gönderilir.
KAREKODLAR KONUMUNUZUAÇIĞA ÇIKARABİLİR
Bir etkinliğin yerini hızlı bir şekilde öğrenmeniz gerekiyorsa karekodu taramak ve Google haritalarda göstermek oldukça hızlıdır. Ancak, bir karekodu taramak yaklaşık konumunuzu otomatik olarak belirleyebilir ve bunu üçüncü bir tarafa gönderebilir.
KİŞİSEL BİLGİLERİNİZELE GEÇİRİLEBİLİR
Bir karekodu taramak, telefonunuzu arama yapmak veya bir numaraya kısa mesaj göndermek için tetikleyebilir. Bu, numaranızı üçüncü bir tarafla paylaşmak anlamına da gelir. Zararsız gibi görünse de telefon numaranız kişisel bilgilerinizle tahmin edebileceğinizden çok daha bağlantılıdır. İnternetten edinilebilecek araçlarla bir telefon numarasının sahibini tanımlamak için tam adı, adresi, sosyal medya profili ve kamuya açık diğer bilgileri bir araya getirilebilir.
CİHAZINIZDABAZI EYLEMLER TETİKLENEBİLİR
Karekodlar, eylemleri doğrudan cihazınızda tetikleyebilir, bu eylemler onları okuyan uygulamaya bağlıdır. Bununla birlikte, herhangi bir temel karekod okuyucunun yorumlayabileceği bazı temel eylemler vardır. Örneğin cihazı bir Wi-Fi ağına bağlama, önceden tanımlanmış bir metin içeren bir e-posta veya kısa mesaj gönderme veya kişi bilgilerini cihaza kaydetmek gibi eylemler standart kamerayla bile tetiklenebilir.
ÖDEMEYİ YÖNLENDİREBİLİR VEYA PARA TALEBİNDE BULUNABİLİR
Günümüzde çoğu finansal uygulama, paranın alıcısına ait verileri içeren karekodlar aracılığıyla ödeme yapılmasına izin veriyor. Birçok mağaza bu kodları müşterilerine gösterip ödeme işlemini kolaylaştırıyor. Ancak, saldırganlar bu karekodları kendi verileriyle değiştirebilir ve hesaplarına ödeme alabilir. Ayrıca, sahte ödeme yapmak dışında alıcıları aldatmak için de para toplama talepleri içeren kodlar oluşturabilir.
KAREKODLARLA GELEN GÜVENLİK TEHDİTLERİNDEN NASIL KAÇINILIR?
Sahte bir karekodu taramak gizliliğinizi ve çevrimiçi güvenliğinizi riske atabilir. ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban olası güvenlik tehditlerini önlemek veya durdurmak için alabileceğiniz önlemleri şöyle sıralıyor:
- Rastgele internet sitelerinden veya sosyal medyadaki resmi olmayan sayfalardan karekodları taramaktan kaçının. Hemen herkes bu kodları tararken sizin dikkatli olmanız zor olabilir. Ancak sosyal mühendislik, siber suçluların kurbanlarının hiç düşünmeden kendi güvenliklerini ihlal etmelerini sağlamanın en yaygın yollarından biridir.
- Telefonunuza bir antivirüs yazılımı yükleyin. Yanlışlıkla veya dalgınlıkla bir kimlik avı sitesini ziyaret ettiğinizde antivirüs yazılımı sizi uyarabilir veya cihazınızın kötü amaçlı yazılım indirmesini engelleyebilir.
- Tüm hesaplarınızda “İki Faktörlü Kimlik Doğrulamayı” (2FA) etkinleştirmelisiniz. 2FA, hesaplarınıza yetkisiz erişime karşı ek bir savunma katmanı ekler. Bu şekilde, üçüncü bir taraf giriş bilgilerinize sahip olsa bile güvende olursunuz.
- Cihazınızın konumunu açık tutmak, kayıp telefonunuzun izini sürmenize ve bir yerde olduğunuzda yapmak istedikleriniz için hatırlatıcılar ayarlamanıza yardımcı olabilir. Ancak, telefonunuz bulunduğunuz yerlerin bir listesini toplar ve örneğin kötü amaçlı bir karekodu taradığınızda, bir bilgisayar korsanı bu konumlara erişebilir.
- Karekodun güvenliği bir dereceye kadar sizin kontrolünüz dışındadır. Ancak cihaz güvenliğiniz ve dolayısıyla kişisel güvenliğiniz sizin kontrolünüz altındadır. Yazılım şirketleri ve donanım üreticileri, siber suçluların yararlanabileceği boşlukları gidermek için güvenlik güncellemeleri yayınlar. Cihazlarınızı en son güvenlik yamalarıyla güncel tutmak, karekodların taranmasıyla ilişkili olası güvenlik tehditlerinden kaçınmanıza yardımcı olabilir.