Kategoriler
Popüler KonularYaşam RehberiAstrolojiKariyer TavsiyeleriKişisel GelişimZenginler ve FakirlerSite TanıtımlarıKaranlık İnternet GerçekleriNe? Nedir? Nasıl?Kadim Gizli BilgilerMeditasyon ve OlumlamalarDualarSpiritüalizmSpiritüel Rüya TabirleriYurt Dışında EğitimYZ ile Para Kazanma RehberiBilgisayar ve Güvenlik
Bilgisayar ve Güvenlik

QR Kodlarla Phishing Yapmayı Anlarken İnsanlara Gerçek Kod Yollamaman Gerektiğini Bil

IYIGOOGLE IYIGOOGLE
Yayınlama Tarihi: 22 Eylül 2024 | Güncelleme Tarihi: 30 Nisan 2025

Phishing yani oltalama saldırıları, artık yalnızca e-postayla yapılmıyor. QR kodlar, görünüşte sade, sessiz, şüphe uyandırmayan küçük kutular gibi duruyor. Ama içlerinde ne olduğunu kimse görmüyor. İşte bu görünmezlik, kötü niyetli ellerde zarafetten sızıntıya dönüşebiliyor.

Sen öğrenmek istiyor olabilirsin: “Bir QR kod nasıl yönlendirme yapar?” “QR phishing nasıl yakalanır?” Ama öğrenmenin yolu… göndererek değil, çözümleyerek olur. Ve gönderdiğin her QR, artık sadece bilgi değil, davranış haline gelir.

QR Phishing Nasıl Çalışır?

Bir saldırgan QR kodu üretir. Bu kod genellikle:

  • Fake bir giriş sayfasına
  • Sahte bir ödeme ekranına
  • Klonlanmış sosyal medya oturumuna
  • Form görünümlü bilgi toplama sayfasına

yönlendirme içerir. Kurban bu QR’ı taradığında, çoğu zaman neye girdiğini fark etmeden bilgilerini girer. Ve o bilgiler, saldırganın sunucusuna düşer.

“Ben Gerçek Link Koymadım Ki” Demek Yeterli Olur mu?

Hayır. Çünkü bağlantı gerçek olmasa da yönlendirme varsa, tehlike vardır. Yani QR bir phishing örneği içeriyorsa ve bu kod birine gönderildiyse, senin niyetin ne olursa olsun, sonucu tehlikelidir. Kimi ülkelerde bu doğrudan “oltalama teşebbüsü” kapsamına girer.

Senin gönderdiğin QR:

  • Gerçek kişilere ulaştığında
  • İçinde bir yönlendirme barındırıyorsa
  • Kullanıcıdan bilgi almayı amaçlıyorsa

artık eğitim değil, deney haline gelir. Ve insanlar senin deneklerin değildir.

Phishing Eğitimi Verirken Nasıl Davranmalısın?

  1. Kodları sadece kendi test ortamında üret QR'ı tarattığında sayfa sadece “eğitim amaçlıdır” gibi bir uyarı içersin.
  2. Gerçek kullanıcı bilgisi isteyen hiçbir alan bulunmasın Form, giriş kutusu, parola alanı gibi bileşenler kullanma.
  3. Asla başkalarına haber vermeden QR gönderme Yani sosyal deney yapar gibi “bakalım kim tıklayacak” tarzı bir yaklaşım etik değildir.
  4. Link kısaltma hizmetlerinden kaçın tinyurl, bit.ly gibi araçlar, yönlendirme niyetini maskelediği için daha da tehlikelidir.
  5. İzinli bir ortam kur Eğer eğitim amacıyla çalışıyorsan, hedef kişilerden yazılı onay al. Ya da bunu yalnızca kendi cihazlarında çalıştır.

Gerçek Hikâye: “QR Kodla Sadece Denemek İstedim” Diyen Birinin Yargı Dosyası

Bir geliştirici, sahte bir bankacılık sayfası hazırladı. Alan adını bankaa-login.com gibi bir şeyle kopyaladı. QR kod oluşturdu. Birkaç kişiye gönderdi. Gelen trafikleri logladı. Kimse giriş yapmadı. Ama loglarda IP adresleri, tarayıcı bilgileri, ekran çözünürlüğü gibi bilgiler vardı. Bu bilgi bile fazlaydı. Şikayet üzerine sorgulandı. Cevabı: “Sadece test ediyordum.” Ama sistem cevabı değil; veriyi kaydeder. O yüzden etik dışı bir test, yasal bir ihlale dönüştü.

Simülasyon Yapmak İstiyorsan Nasıl Olmalı?

  • QR kod içeriği localhost üzerinde çalışan sahte bir sayfa olsun
  • Gelen bilgiler hiçbir log’a düşmesin
  • Tarayıcı otomatik uyarı vermeyecek alan adları kullanma
  • Sayfa açılır açılmaz “Bu bir simülasyondur” yazsın
  • İlgili kişi onay verdiyse çalıştır, vermediyse sadece ekran görüntüsü sun

QR Kod Basit Görünür, Ama Baktığın Yön Yanlışsa Derinleşir

QR kodlar küçük ama etkili araçlardır. Ama insanlara gönderdiğin her kod… bir eylemdir. Ve eylemin masumiyeti, sonucuna bağlıdır.

Phishing eğitimi yapıyorsan, kurban yaratma. Simülasyon yapıyorsan, sistemi değil, sadece kendini etkile. Çünkü QR kodun yönü başkasına dönükse… artık sadece kodu değil, çizgiyi aşmışsındır.