QR kodlar hayatımıza o kadar yerleşti ki; menülerden ödemelere, etkinlik kayıtlarından uygulama indirmeye kadar her yerde karşımıza çıkıyor. Tam da bu alışkanlık nedeniyle, birçok kullanıcı QR kodu tararken artık link kontrolü yapmıyor. Saldırganların fırsat gördüğü nokta da burada başlıyor.

QR kod tabanlı phishing, yani quishing, artık yalnızca “QR ile zararlı siteye git” seviyesinde değil. Son dönemde izlediğimiz kampanyalar, QR kodların mobil cihazların zayıf kontrol noktalarını kullanarak kurumsal güvenlik katmanlarını baypas etmek için sistematik biçimde kullanıldığını gösteriyor. Basitçe söylemek gerekirse: Kurbanı bilgisayar yerine kendi telefonuna taşıdığınızda, birçok kontrol devre dışı kalabiliyor.

Telemetri verileri, kötü amaçlı QR kod kullanımının günde 11.000+ tespit seviyesinde seyrettiğini gösteriyor. Bu saldırıların omurgasında ise üç “gelişmiş” yaklaşım var:

  1. QR kod + URL kısaltıcılarla hedefi gizleme

  2. Uygulama içi deep link’lerle hesap ele geçirme

  3. App Store’u baypas eden doğrudan APK indirmeleri

Bu yazımızda, bu üç yaklaşımın neden etkili olduğunu ve güvenlik ekiplerinin nelere dikkat etmesi gerektiğini özetliyoruz.

1) URL Kısaltıcı Kullanan QR Kodlar: “Nereye Gideceğini Sonradan Belirleyen” Linkler

Klasik QR phishing senaryosunda QR kod bir URL’ye gider. Bugün ise saldırganlar, QR kodu URL kısaltıcıyla birleştirip hedefi maskeliyor ve daha da önemlisi QR kodu dinamik hale getiriyor.

Bu ne demek?

  • QR kod görüntüsü aynı kalıyor, ama saldırgan yönlendirdiği hedefi istediği zaman değiştirebiliyor.

  • Kullanıcı “önizleme” görse bile çoğu zaman nihai hedefi anlayamıyor.

  • URL kısaltıcı servislerinin “iyi itibarı”, ilk katmanda tespiti zorlaştırabiliyor.

  • Kampanyalar kısa ömürlü olabiliyor; birkaç gün sonra link geçerliliğini yitiriyor, iz sürmek zorlaşıyor.

Son üç yılda QR kısaltıcı trafiğinde ciddi artışlar gözleniyor (ör. yarıyıllar bazında %55 ve %44 artış trendi). Ayrıca bazı servislerin saldırılarda daha sık kullanıldığı görülüyor. Bu, QR kısaltıcıların artık “kenar vaka” değil, ölçeklenebilir bir saldırı altyapısı olduğuna işaret ediyor.

Sektörel açıdan ilginç bir sinyal de var: Finans sektörü, toplam QR kısaltıcı trafiğinde küçük paya sahip olsa da, kompromize örneklerde oransal olarak çok daha fazla etkileniyor. Bu da saldırganların “ödeme davranışı” ve “hızlı karar” psikolojisini hedeflemesini açıklıyor.

2) Deep Link’ler: QR Kodlar Uygulama Davranışını Tetikliyor

İkinci dalga daha kritik: QR kodlar artık sadece tarayıcıya götürmüyor; mobil işletim sistemi üzerinden uygulama içi deep link tetikleyebiliyor.

Deep link’ler, bir uygulamada belirli bir ekranı/işlemi açan özel bağlantılardır. Meşru kullanımda harika bir kısayol deneyimi sağlarlar; saldırı tarafında ise şu kapıları aralayabilirler:

  • Hesap ele geçirme: Mesajlaşma uygulamalarında “cihaz bağlama / oturum ekleme” akışını kötüye kullanma

  • Finansal dolandırıcılık: Ödeme uygulamasını alıcı bilgileri hazır şekilde açma, işlem başlatmaya zorlama

  • Takvim/kişi zehirleme: Takvime veya rehbere zararlı link gömme; kullanıcı “masum” bir kayıt üzerinden phishing’e sürüklenir

  • Mesaj/e-posta gömme: Cihaz üzerinden e-posta/SMS taslağı hazırlatıp kullanıcıyı göndermeye yönlendirme

Bu alanın savunma tarafında zor olmasının nedeni şu: Web crawler’lar çoğu zaman deep link’in tetiklediği uygulama davranışını “göremez”. Etkili analiz için, çoğu senaryoda uygulamanın kurulu olduğu mobil sandbox yaklaşımı gerekir.

Mesajlaşma Uygulamaları Üzerinden Account Takeover: Özellikle “Cihaz Bağlama” Akışları

Sahada gördüğümüz trendlerden biri, Telegram/Line/Signal/WhatsApp gibi uygulamalarda QR ile cihaz/oturum bağlama mekanizmasının kötüye kullanılması.

Örneğin Telegram’da tg://login gibi deep link’ler, saldırganın ürettiği oturumu kurbanın hesabına yetkilendirebilir. Sinyal açık: saldırganlar “şifre çalma” yerine, oturum ekleme üzerinden dolanıyor.

Finansal Deep Link’ler: “Güvenilen Ödeme QR’ı” Üzerinden Manipülasyon

Ödeme QR’ları meşru dünyada çok yaygın olduğu için, saldırganların sosyal mühendislikte en sevdiği alanlardan biri. Kripto cüzdan deep link’leri ve popüler ödeme uygulamaları üzerinden “hızlı ödeme”, “yatırım getirisi”, “işlem onayı” gibi baskı taktikleriyle kullanıcıyı hızlandıran senaryolar görüyoruz.

Buradaki kritik risk: kullanıcı “QR = ödeme” eşleşmesine alışık. Saldırganın ihtiyacı olan şey çoğu zaman teknik bypass değil; sadece hız ve dikkatsizlik.

3) App Store’u Baypas Eden Doğrudan APK İndirmeleri: Mobil Zararlı Dağıtımı QR ile Ölçekleniyor

Üçüncü trend, özellikle Android ekosisteminde ciddi: QR kod kullanıcıyı uygulama mağazasına değil, saldırganın barındırdığı doğrudan APK indirme sayfasına götürüyor.

Bu yaklaşım neden tehlikeli?

  • App Store denetimi ve inceleme süreçleri baypas edilir.

  • Kampanyalar çok sayıda domain üzerinden dağıtılarak “kapanınca yenisini aç” modeliyle ölçeklenir.

  • APK’ların talep ettiği izinler çoğu zaman aşırıdır: depolama yazma, kamera, konum (hatta background location), telefon durumu vb.

  • Bu izin kombinasyonu; veri sızdırma, gözetleme ve ikinci aşama yük indirme gibi riskleri büyütür.

Sahada özellikle “kumar/casino” temalı uygulama dağıtımlarının QR ile agresif şekilde yayıldığı; aynı APK’nın farklı sayfalardan, farklı domainlerden pompalanabildiği görülüyor. “Telefon optimizasyonu” gibi masum görünen uygulamalar da benzer şekilde şüpheli izinlerle karşımıza çıkabiliyor.

Neden Bu Kadar Etkili? Asıl Açık: Görünürlük + Alışkanlık

Bu saldırı dalgasının temelinde iki problem var:

  1. Kullanıcı beklentisi: QR kod “menü açar, ödeme açar” diye düşünülüyor. Oysa deep link’lerle uygulama davranışı tetiklenebiliyor.

  2. Görünürlük açığı: QR içindeki veriyi ve yönlendirme zincirini birçok güvenlik kontrolü yeterince ayrıştıramıyor; özellikle mobil cihazlar kurumsal perimeter dışında kalabiliyor.

Bu yüzden “QR güvenliği” artık yalnızca farkındalık posteri değil; teknik bir tespit/önleme konusu.

QR Güvenliği İçin Pratik Kontrol Listesi

Quasys olarak, sahada gördüğümüz quishing vakaları üzerinden aşağıdaki pratik adımların hızla olgunlaştırılmasını öneriyoruz:

  • QR içeriğini ayrıştırabilen (URL + deep link + non-URL) tarama kabiliyeti

  • URL kısaltıcılar için dinamik yönlendirme analizi ve “final destination” çözümlemesi

  • Kurumsal mobil cihazlarda tarayıcı izolasyonu / advanced web protection yaklaşımı

  • Mesajlaşma uygulamalarında “cihaz bağlama” ve oturum ekleme akışlarına yönelik farkındalık + prosedür (özellikle Signal/WhatsApp Web benzeri mekanizmalar)

  • Android tarafında “doğrudan APK indirme” riskine karşı MDM politikaları ve izin denetimi

  • Kullanıcıya “QR sadece web açmaz” gerçeğini anlatan, kısa ve net mikro eğitim içerikleri

Palo Alto Networks ile Koruma Katmanını Güçlendirin

Bu tehdit sınıfında etkili savunma, QR’ın götürdüğü adresi “görmekle” bitmiyor; yönlendirme zincirini, landing page’i ve deep link davranışını analiz edebilmek gerekiyor.

Palo Alto Networks tarafında Advanced URL Filtering ve Prisma Browser (Advanced Web Protection ile) gibi katmanlar; QR kodların yönlendirdiği landing page’leri, link zincirlerini ve deep link’leri analiz ederek bu saldırı tiplerine karşı korumayı güçlendirebiliyor.

Quasys olarak, kurumların QR tabanlı saldırı yüzeyini, doğru görünürlük ve doğru politikalarla kapatmasına yardımcı oluyor; QR kodların “masum bir kare” olmaktan çıkıp kurumsal erişim kapısı haline geldiği bu dönemde, tespit ve önleme mimarisini birlikte tasarlıyoruz.

Yorumlar kapalı.