"QR Kodlarla Gelen Risk: Quishing" dokümanı ("Doküman") 26.02.2026 tarihinde Kişisel Verileri Kurumunun ("Kurum") resmi internet sitesinde yayımlanmıştır. Dokümanda QR kodlar aracılığıyla yönlendirilen içeriklerin kişisel verilerin güvenliği ve gizliliği bakımından riskler doğurabildiği ve bireylerin fiziksel veya dijital ortamlarda karşılaştıkları QR kodları taramaları sonucunda farkında olmaksızın oltalama saldırılarının hedefi hâline gelmelerinin mümkün olduğu belirtilerek bireylerin işbu saldırılara karşı dikkat etmesi gereken durumlar açıklanmıştır. Doküman'da öne çıkan hususlar aşağıdaki gibidir:

QR (Quick Response) ve oltalama (phishing) kelimelerinin birleşiminden oluşan quishing (QR phishing) tabiri, tanımı itibarıyla sahte veya sonradan değiştirilmiş QR kodlar aracılığıyla bireylerin (i) kötü amaçlı internet sitelerine yönlendirilmesi, (ii) kişisel verilerini paylaşmaya ikna edilmesi veya (iii) cihazlarına zararlı yazılımlar yüklenmesi şeklinde gerçekleştirilen bir oltalama yöntemidir. Bu doğrultuda, quishing saldırılarının işleyişi, QR kod teknolojisinin ve oltalama yönteminin bir araya gelmesinden kaynaklanmaktadır.

Kurum QR kodları (i) metin, (ii) iletişim bilgileri veya (iii) bir internet sitesi adresi gibi farklı türde bilgileri depolayabilen ve mobil cihazlar ya da barkod okuyucular aracılığıyla hızlı biçimde taranabilen iki boyutlu barkodlar olarak nitelendirilmiştir.

Doküman'da QR kodları yönlendirdikleri içeriğin sonradan değiştirilebilme durumuna bağlı olarak temelde statik ve dinamik olmak üzere iki gruba ayırılmıştır:

Statik QR kodlarda, kod oluşturulduktan sonra içerdiği bilginin değiştirilmediği ve bu tür kodların sabit nitelikteki içeriklerin paylaşılması amacıyla kullanılmakta olduğu belirtilmiştir.

Dinamik QR kodların ise kodun görsel yapısı değişmeden, yönlendirdiği hedef içeriğin güncellenebilmesine imkan tanınmakta olduğuna değinilmiştir.

Bu çerçevede dinamik QR kodların içerik güncellemesine fayda sağlamasıyla beraber kodun görsel yapısında değişiklik olmaksızın sonradan kötü amaçlı bir kaynağa yönlendirilebilmesinin quishing saldırıları bakımından önemli bir risk unsuru taşıdığı tespiti yapılmıştır.

Doküman'da oltalama ise, saldırganların güvenilir bir kişi veya kuruluştan geldiği izlenimi veren iletişimler aracılığıyla bireyleri kandırmayı ve bu yolla kötü amaçlı internet sitelerine yönlendiren bağlantılara tıklama, kişisel bilgilerini paylaşma veya zararlı yazılım içeren eklenti ya da dosyaları indirme gibi eylemleri gerçekleştirmeye sevk etmeyi amaçladıkları bir saldırı yöntemi olarak tanımlanmıştır.

Bu kapsamda, (i) sesli aramalar üzerinden gerçekleştirilen vishing (voice phishing), (ii) kısa mesajlar aracılığıyla yürütülen smishing (SMS phishing) ve (iii) QR kodlar kullanılarak gerçekleştirilen quishing , oltalama saldırıları kapsamında başvurulan yöntemler arasında sayılmıştır.

Quishing saldırılarının siber tehdit aktörlerinin QR kodlar aracılığıyla bireyleri kötü amaçlı internet sitelerine veya zararlı içeriklere yönlendirmesi mekanizmasına dayanmakta olduğu belirtilmiştir. Bu kapsamda saldırganlar:

Bireyleri kötü amaçlı bir içeriğe yönlendirecek şekilde yapılandırılmış bir QR kod oluşturmaktadır,

Söz konusu QR kod, e-posta içeriklerine görsel olarak eklenmekte veya fiziksel ortamlarda bireylerin erişimine sunulmaktadır,

Kişinin QR kodu taramasıyla birlikte, kötü amaçlı bir internet sitesine yönlendirme yapılabilmekte veya kişi, zararlı bir dosyayı indirmeye yönlendirilebilmektedir ve

Bu süreç sonunda, kimlik veya ödeme bilgilerinin girilmesi talep edilebilmekte ve bu durumda finansal veriler de dahil olmak üzere kişisel veriler ele geçirilebilmektedir.

Doküman içerisinde Quishing saldırılarının tespiti için hem fiziksel ortamlarda hem de dijital iletişim kanalları aracılığıyla sunulan QR kodlarının değerlendirilmesinin bu tür saldırıların tespit edilmesine katkı sağlayabileceği belirtilmiştir. Bu çerçevede Doküman'da dikkate alınabilecek bazı hususlar:

Fiziksel Ortamlarda Sunulan QR Kodlar için:

QR kodların kamuya açık alanlarda yer alan basılı yüzeylerde, sonradan eklenmiş izlenimi vermesi, üst üste yapıştırılmış olması veya bulunduğu yüzeyin doku ve tasarımıyla uyumsuz görünmesi,

Fiziksel ortamlarda sunulan QR kodlar aracılığıyla, kaynağı açıkça belirtilmeyen veya olağan dışı ölçüde avantajlı ödeme, indirim ya da kampanya tekliflerine yönlendirme yapılması,

Dijital İletişim Kanalları Üzerinden Sunulan QR Kodlar için:

Bilinmeyen veya beklenmeyen göndericilerden; e-posta, kısa mesaj ya da sosyal medya platformları aracılığıyla talep edilmediği halde QR kod iletilmesi,

Hesap güvenliği, şüpheli işlem bildirimi veya teslimat problemi gibi gerekçelerle aciliyet, panik ya da merak duygusu uyandırarak QR kodun taratılmasının istenmesi,

Göndereni açık bir şekilde tanımlamayan veya meşru bir kurumla ilişkilendirilmesi güç iletiler aracılığıyla QR kod paylaşılması,

QR Kodun Taranması Sonrasında Ortaya Çıkabilecek Durumlar için:

QR kodun taranmasının ardından, kişinin kimlik doğrulama bilgileri veya kredi kartı bilgileri gibi verilerini girmesi istenen bir sayfaya yönlendirilmesi,

Açılan internet sayfasının, temsil ettiği iddia edilen kurum veya hizmetle uyuşmayan bir alan adına yönlendirme yapması,

Hizmet alınan yerlerde, yetkili kurum veya işletme ile ilişkisi doğrulanamayan ödeme sayfalarına yönlendirme yapılması ve

QR kodun taranması sonrasında beklenmeyen dosya indirme işlemleri, ek yönlendirmeler veya ilave kullanıcı etkileşimleri ortaya çıkması

örneklerini vermiştir.

Doküman içerisinde quishing saldırılarına karşı korunmak için dikkat edilmesi gereken hususların bazıları açılanmıştır:

Kamuya açık alanlardaki QR kodlara karşı dikkatli olunması: Fiziksel değişiklikler olup olmadığın kontrol edilmesi ve şüpheli görünen kodların taranmaması gerektiği belirtilmiştir.

Fiziksel değişiklikler olup olmadığın kontrol edilmesi ve şüpheli görünen kodların taranmaması gerektiği belirtilmiştir. QR kodun kaynağının doğrulanması: Kodların yalnızca güvenilir kaynaklardan taranmasına, tanınmayan kişilerden veya beklenmedik e-posta ve mesajlardan gelen kodlara karşın dikkat edilmesi gerektiği belirtilmiştir.

Kodların yalnızca güvenilir kaynaklardan taranmasına, tanınmayan kişilerden veya beklenmedik e-posta ve mesajlardan gelen kodlara karşın dikkat edilmesi gerektiği belirtilmiştir. Güvenilir QR kod okuyucuların tercih edilmesi: Üçüncü taraf bir uygulama kullanılması gerektiği durumlarda bu uygulamanın güvenilir olduğundan emin olunması gerektiğinin altı çizilmiştir.

Üçüncü taraf bir uygulama kullanılması gerektiği durumlarda bu uygulamanın güvenilir olduğundan emin olunması gerektiğinin altı çizilmiştir. Yönlendirilen bağlantının incelenmesi: Tarama sonrası ulaşılan bağlantı adresinin doğru siteye veya mobil uygulamaya ait olduğunun kontrol edilmesi ve yazım hataları ile farklı karakterler veya alışılmadık uzantılar bulunup bulunmadığına dikkat edilmesi gerektiği belirtilmiştir.

Tarama sonrası ulaşılan bağlantı adresinin doğru siteye veya mobil uygulamaya ait olduğunun kontrol edilmesi ve yazım hataları ile farklı karakterler veya alışılmadık uzantılar bulunup bulunmadığına dikkat edilmesi gerektiği belirtilmiştir. Kişisel bilgi taleplerine karşı dikkatli olunması: İlgili kodun taranmasının ardından kişisel bilgi talep eden bir bağlantıya yönlendirilme durumunda, bilgilerin paylaşılmadan önce internet sitesinin doğruluğundan emin olunması gerektiği ve mümkünse ilgili adresin tarayıcıya manuel olarak girilmesi gerektiği açıklanmıştır.

İlgili kodun taranmasının ardından kişisel bilgi talep eden bir bağlantıya yönlendirilme durumunda, bilgilerin paylaşılmadan önce internet sitesinin doğruluğundan emin olunması gerektiği ve mümkünse ilgili adresin tarayıcıya manuel olarak girilmesi gerektiği açıklanmıştır. Cihaz ve hesap güvenliğinin güçlendirilmesi: İşletim sisteminin güncel tutulmasına, güçlü parolalar belirlenmesine ve mümkünse çok faktörlü kimlik doğrulama yapılması için özen gösterilmesi gerektiği vurgulanmıştır.

Doküman'a buradan ulaşabilirsiniz.

