Kişisel Verileri Koruma Kurumu (“Kurum”), Şubat 2026 tarihinde yayımladığı “QR Kodlarla Gelen Risk: Quishing” başlıklı bilgilendirme dokümanında, QR kodlar aracılığıyla gerçekleştirilen oltalama (phishing) saldırılarına ilişkin önemli değerlendirmelerde bulundu.
Son yıllarda restoran menülerinden ödeme sistemlerine kadar geniş bir kullanım alanına sahip olan QR kodların, dinamik yapıları nedeniyle kötüye kullanılabildiğine dikkat çeken Kurum; özellikle kişisel veri güvenliği bakımından ortaya çıkabilecek risklere vurgu yaptı.
Bu kapsamda Kurum;
- QR kodların görsel yapısı değişmeden yönlendirme adresinin sonradan
değiştirilebildiğini,
- E-posta içeriklerine görsel olarak eklenen QR kodlar aracılığıyla kötü
amaçlı bağlantıların güvenlik sistemlerinden kaçabildiğini,
- Kullanıcıların sahte giriş veya ödeme sayfalarına yönlendirilerek kimlik ve
finansal bilgilerinin ele geçirilebildiğini belirtmiştir.
QUISHING NEDİR?
Quishing (QR + phishing); sahte veya sonradan değiştirilmiş QR kodlar aracılığıyla kullanıcıların kötü amaçlı internet sitelerine yönlendirilmesi ve kişisel verilerinin ele geçirilmesi şeklinde ortaya çıkan bir saldırı türüdür.
SALDIRILAR NASIL GERÇEKLEŞİR ?
Kurumun değerlendirmesine göre quishing saldırıları;
- Fiziksel ortamlara yerleştirilen QR kodlar,
- E-posta içeriklerine görsel olarak eklenen QR’lar,
- Güvenilir bir kurumu taklit eden sahte giriş veya ödeme sayfaları
aracılığıyla gerçekleştirilebilmektedir.
Bu süreçte kullanıcılar;
- Sahte login ekranlarına,
• Sahte ödeme sayfalarına,
• Zararlı dosya indirme süreçlerine
yönlendirilebilmekte ve kimlik ile finansal veriler ele geçirilebilmektedir.
RİSK GÖSTERGELERİ NELERDİR?
Kurum, hem fiziksel hem dijital ortamlarda bazı uyarı işaretlerine dikkat çekmektedir:
Fiziksel ortamda:
- Sonradan yapıştırılmış izlenimi,
- Tasarımla uyumsuzluk,
- Olağan dışı kampanya vaatleri.
Dijital ortamda:
- Beklenmeyen göndericilerden gelen QR’lar,
- Aciliyet veya panik oluşturan mesajlar,
- Göndereni belirsiz iletiler.
Tarama sonrasında:
- Kimlik veya kart bilgisi talebi,
- Alan adının temsil edilen kurumla uyuşmaması,
- Beklenmeyen yönlendirme veya dosya indirme.
KURUMUN ÖNERILERI
Kurum;
- QR kodun kaynağının doğrulanmasını,
- Şüpheli görünen kodların taranmamasını,
- Yönlendirilen bağlantının dikkatle incelenmesini,
- Güçlü parola ve çok faktörlü kimlik doğrulama kullanılmasını
Önermektedir.
HUKUKİ DEĞERLENDİRME
Her ne kadar duyuru ağırlıklı olarak farkındalık ve önleyici güvenlik tedbirlerine odaklansa da, QR kod kullanan işletmeler açısından konu yalnızca bir siber güvenlik meselesi değildir.
Olası bir quishing vakasında;
- Kişisel veri ihlali değerlendirmesi,
• Gerekmesi halinde Kurum’a bildirim yükümlülüğü,
• İlgili kişilere bildirim süreci,
• KVKK m.12 kapsamında teknik ve idari tedbirlerin yeterliliğinin sorgulanması,
• İdari para cezası ve itibar riski
gündeme gelebilecektir.
KVKK’nın 12. maddesi uyarınca veri sorumlularının, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla gerekli teknik ve idari tedbirleri alma yükümlülüğü bulunmaktadır.
Bu nedenle QP kod kullanan işletmeler; QR kod kullanımını teknik ve idari kontrol mekanizmalarına bağlamalı, dinamik yönlendirmeleri düzenli olarak denetlemeli ve olası quishing senaryolarını veri ihlali yönetim süreçlerine entegre etmelidir.
Kurum’un ilgili kamuoyu duyurusuna buradan ulaşabilirsiniz