QR Kodu Dolandırıcılıkları (Quishing): Göz Önünde Saklanan Tehdit

QR kodu dolandırıcılıkları, quishing olarak adlandırılır, 2026'da hızla artıyor. Sahte QR kodlarının paranızı ve verilerinizi nasıl çaldığını, dolandırıcıların bunları nereye yerleştirdiğini ve dokunmadan önce güvenle nasıl tarama yapacağınızı öğrenin.

· Truvizy Research Team · 8 min read

TL;DR

Quishing, QR kodu kimlik avıdır: dolandırıcılar, restoran menüleri, park sayaçları, kargo etiketleri ve kamuya açık posteri üzerindeki meşru QR kodlarını, kimlik bilgileri çalan web sitelerine yönlendiren kodlarla değiştirir. Telefon kameranız yalnızca küçük bir URL önizlemesi gösterdiğinden çoğu kişi değişikliği fark etmez. Herhangi bir QR kodu bağlantısını açmadan önce her zaman hedef URL'yi kontrol edin, yerleşik güvenlik denetimli QR tarayıcı kullanın ve şüphelendiğinizde resmi web adresini elle yazın.

Bir otoparka giriyorsunuz, ödeme kioskündeki QR kodunu tarayıp yerini ödemek için kredi kartınızı giriyorsunuz. İşlem gerçekleşmiş gibi görünüyor. O akşam bankanız yurt dışından üç sahte ödeme olduğunu bildiriyor. Kartınızı kimseye vermediniz. Şüpheli bir e-postaya tıklamadınız. Tek yaptığınız QR kodu taramaktı, ve bu yeterliydi. Çoğu insanın hiç duymadığı en hızlı büyüyen dolandırıcılık quishing'e hoş geldiniz.

QR kodları kolaylık için tasarlandı, tarayın ve gidin. Ancak aynı sürtünmesiz deneyim işletmeler için cazip hâle getiren şey, dolandırıcıların elinde onu tehlikeli yapar. Üzerine gelerek önizleyebileceğiniz şüpheli bir e-posta bağlantısından farklı olarak, QR kodu kameranızı ona yöneltene kadar hiçbir şey ifşa etmez. Hedef URL'yi gördüğünüzde, çoğu kurban 'aç'a çoktan dokunmuş olur. İşte bu milisaniye boşluğu quishing'in tam olarak sömürdüğü şeydir.

Quishing Nedir?

Quishing, 'QR' ve 'phishing' kelimelerinin birleşimi, kurbanları sahte web sitelerine yönlendirmek için QR kodlarına kötü amaçlı URL'ler yerleştirme pratiğidir. Dolandırıcılık birçok biçim alabilir: kamuya açık alanlarda meşru bir kodun üzerine sahte etiket fiziksel olarak yapıştırmak, standart spam filtrelerini atlayan e-posta veya metin yoluyla QR kodları göndermek ya da belirgin biçimde sahte kodlar içeren sahte belgeler (faturalar, park cezaları, kargo bildirimleri) oluşturmak.

FBI'ın İnternet Suç Şikâyet Merkezi, quishing'i 2024'te yükselen bir öncelikli tehdit olarak işaretledi ve rakamlar o günden beri yalnızca kötüleşti. Siber güvenlik firmaları, 2024 ile 2025 arasında QR kodu tabanlı kimlik avı saldırılarında %587 artış belgeledi. Bu teknik, organize dolandırıcılık grupları arasında popüler hâle geldi çünkü uygulaması ucuz, büyük ölçekte tespit edilmesi zor ve resimlere gömülü URL'leri okuyamayan e-posta güvenlik araçlarını atlatmak için özel olarak tasarlandı.

Quishing, dolandırıcılık taktiklerindeki mobil öncelikli saldırılara doğru geniş bir geçişin parçası. Yapay zekanın dolandırıcılık karmaşıklığını nasıl hızlandırdığına ilişkin analizimizde belgelediğimiz gibi, dolandırıcılar akıllı telefon çağında insanların benimsediği araç ve alışkanlıkları özellikle hedef alıyor, QR kodları son beş yılın en yaygın benimsenen mobil alışkanlıklarından biri.

QR Kodu Dolandırıcılıkları Nasıl Çalışır

Bir quishing saldırısının mekaniği aldatıcı biçimde basittir. Saldırgan kötü amaçlı bir URL kodlayan QR kodu oluşturur, genellikle bir banka giriş sayfasının, ödeme portalının veya devlet hizmetinin kopyalanmış sürümü. Sahte sayfa gerçeğiyle özdeş görünecek şekilde tasarlanmış olup kurbanın girdiği kimlik bilgilerini veya ödeme bilgilerini yakalar.

Fiziksel saldırılarda dolandırıcı sahte kodu bir etikete yazdırıp park sayacı, restoran masa çadırı veya kamuya açık pano üzerindeki meşru kodun üzerine yerleştirir. Değişim saniyeler alır. Saldırgan ardından alanı terk edip çalınan verileri uzaktan toplayabilir. Yoğun bir park sayacına iyi yerleştirilmiş tek bir etiket günde onlarca kurbanı yakalayabilir.

Bir dolandırıcının park sayacındaki meşru QR kodu etiketini sahte biriyle değiştirdiğini gösteren diyagram
Bir dolandırıcının park sayacındaki meşru QR kodu etiketini sahte biriyle değiştirdiğini gösteren diyagram

E-posta tabanlı quishing farklı bir oyun kitabı izler. Saldırganlar bankaları, İK departmanlarını veya kargo şirketlerini taklit eden mesajlar göndererek alıcının hesabını doğrulaması veya teslim takibi yapması gerektiğini iddia eder, ve 'ek güvenlik için telefonunuzla tarayın' QR kodu ekler. Bu talimat kasıtlıdır: etkileşimi mobil cihaza taşımak kurbanı güvenlik araçlarıyla donanmış kurumsal bilgisayardan daha az koruyucuya sahip kişisel telefona götürür.

Sahte sayfada kurban, cilalı bir kimlik bilgisi toplama formuyla karşılaşır. Daha gelişmiş saldırılar gerçek zamanlı aktarım tekniklerini kullanır: kurban kullanıcı adı ve şifresini girerken saldırgan bu kimlik bilgilerini aynı anda gerçek web sitesine iletir, ardından iki faktörlü kimlik doğrulama istemini kurban yansıtır, 2FA korumalarını tamamen atlatır.

QR kodundan gelen bir bağlantıdan emin değil misiniz? Herhangi bir bilgi girmeden önce kimlik avı göstergelerini kontrol etmek için URL'yi Truvizy'ye yapıştırın.

Sahte QR Kodları Nerede Görünür

Park sayaçları ve ödeme kioskları ABD'de en çok hedef alınan yerler arasındadır. Teksas Ulaştırma Departmanı 2024'te büyük şehirlerdeki park sayaçlarında düzinelerce sahte QR kodu etiketi belgeledi. Kurbanlar park ücretini ödemeyi bekleyerek tam kredi kartı bilgilerini girerdi; bunun yerine doğrudan dolandırıcılara finansal verilerini teslim ettiler. Dolandırıcılık özellikle iyi işler çünkü park ücreti ödemesi streslidir, sürücüler genellikle acele eder ve ödeme arayüzünü yakından incelemez.

Restoran masası çadırları ve menüleri, salgın sonrası temassız yemek yaygınlaştıkça önemli bir vektör hâline geldi. Meşru bir kodun üzerine veya yanına yerleştirilmiş sahte QR kodlu bir etiket, lokantacıları sahte bir menü veya ödeme sayfasına yönlendirebilir. Bazı durumlarda sahte sayfa, restoranın çevrimiçi siparişe geçtiğini iddia eden bir kimlik bilgisi toplama formuna yönlendirmeden önce ikna edici bir menü bile gösterir.

Kargo iade etiketleri hızla büyüyen bir saldırı kategorisini temsil eder. Kurbanlar, bazen istemeden, bazen sahte bir ödül kampanyasının parçası olarak, içinde QR kodlu iade etiketleri bulunan kargolar alır. Kodu taramak iddia edilen bir iade başlatır ancak bunun yerine 'iade işleme' için kredi kartı bilgisi talep eden sahte bir perakende portalına yönlendirir.

Toplu taşıma ve otobüs durakları, tabelaların sınırlı izleme kapasiteli belediyeler tarafından yönetilmesi nedeniyle önemli risk taşır. Ulaşım haritalarındaki, bilet kiosklerindeki veya ücret ödeme ekranlarındaki sahte kodlar kaldırılmadan önce günlerce fark edilmeyebilir. İngiltere'de Transport for London, 2025'te istasyonlardan yüzlerce sahte QR kodunu kaldırdı.

E-posta ve belge tabanlı saldırılar işletmeleri tüketiciler kadar hedef alır. 'Güvenli ödeme' için QR kodlu sahte faturalar, çalışanların bordro bilgilerini güncellemek için kodu taramasını gerektiren sahte İK bildirimleri ve sahte kargo teslim bildirimleri yaygın kurumsal saldırı vektörleridir. Kimlik avı e-postası tespitine ilişkin kılavuzumuzda tartıştığımız gibi, e-posta tabanlı saldırılar otomatik filtrelemeyi atlatmak için görsel ögeleri kullanmada giderek daha sofistike hâle geliyor.

Sahte hayır ve bağış kampanyası el ilanları cömertliği istismar eder. Doğal afetler veya büyük haber olaylarından sonra, bağış QR kodlu sahte el ilanları topluluk panolarında, süpermarketlerde ve sosyal medyada görünür. Kodlar, gerçek bağış yapmadan bağışları ve kart bilgilerini toplayan ikna edici sahte hayır ödeme sayfalarına bağlanır.

QR Dolandırıcılıkları Neden Bu Kadar Etkili

Quishing'in etkinliği temel bir güven uyumsuzluğundan kaynaklanır. QR kodları kolaylık ve modernlikle ilişkilendirilir, meşru işletmeler tarafından resmi materyaller üzerine yerleştirilir. İnsanlar yıllar süren kullanım boyunca rastgele bir e-posta bağlantısından çok bir QR kodunun fiziksel bağlamına güvenmeye şartlandırılmıştır. Bir restoran masasındaki veya park sayacındaki kod, konumun kendisinden dolaylı bir onay taşır.

Kamera uygulamaları minimum sürtünme sunar. Akıllı telefonların çoğu QR kodlarını otomatik olarak tanır ve kullanıcıların doğal olarak okumadan göz ardı ettiği küçük bir URL önizlemesi görüntüler. Önizleme penceresi küçük, URL genellikle uzun veya kısaltılmış ve beynin doğal örüntü eşleştirme eğilimi, kullanıcıların gerçekte ne olduğundan çok ne beklediklerini görmelerine yol açar. 'secure-payment-parkingzone.com' gibi bir URL, dikkatli bir kullanıcıya tehlike işareti verirken dalgın bir kullanıcıya 'park' olarak okunur.

Bir park sayacına gelip QR kodunu tarıyorsunuz. Telefonunuzun kamerası bir önizleme URL'si gösteriyor: 'parking-pay-secure-city.com/pay'. Sayaç büyük bir ABD şehrinde. Ne yaparsınız?

  1. Bağlantıyı hemen aç, şehri belirtiyor dolayısıyla meşru olmalı
  2. URL'yi dikkatlice kontrol et: şehrinin resmi park etki alanıyla eşleşiyor mu?
  3. Devlet park sayaçlarında QR kodu taramak her zaman güvenlidir
  4. Ödemeden önce doğrulama için şehir ofisini ara

Answer: 'parking-pay-secure-city.com' gibi genel kulağa gelen etki alanları önemli bir kırmızı bayraktır. Şehrinizin resmi park sistemi belirli, iyi bilinen bir etki alanına sahip olacaktır (ör. paybyphone.com veya şehrinizin resmi.gov sitesi). Herhangi bir ödeme bilgisi girmeden önce hedef URL'nin beklenen resmi etki alanıyla eşleşip eşleşmediğini her zaman doğrulayın, veya varsa fiziksel kart yuvasını kullanın.

Mobil bağlam aynı zamanda insanların masaüstü bilgisayarlarda sahip olduğu güvenlik araçlarını da ortadan kaldırır. Kurumsal uç nokta koruması, kimlik avı sitelerini işaretleyen tarayıcı uzantıları ve önizlemek için bağlantıların üzerine gelme alışkanlığı mobile aktarılmaz. Bir telefonda, kullanıcı büyük ölçüde kendi başınadır.

Sahte QR Kodunu Nasıl Fark Edersiniz

Kodu fiziksel olarak inceleyin. Basılı materyallerin üzerine yapıştırılmış etiketleri arayın. Sahte etiketler genellikle biraz farklı kağıt türü, çevreleyen tasarım ögeleriyle küçük hizalama bozuklukları veya etiketin basılı metnin üstüne bindiği görünür kenarlara sahiptir. Tırnaklarınızı yüzeyde gezdirin, katmanlı bir etiket genellikle ince belirgin bir kenar taşır.

Dokunmadan önce tam URL'yi okuyun. Kameranız bir kodu taradıktan sonra önizleme bildirimi veya banner görünür. Dokunmadan önce durun ve tam URL'yi okuyun. Şunlara bakın: etki alanında beklenen işletme adı (ek veya önek değil), meşru üst düzey etki alanı (.com,.gov,.org,.xyz veya.top gibi olağandışı uzantılar değil) ve bir marka adı gibi görünen şeyin yanına eklenmiş 'secure,' 'login,' 'verify' veya 'payment' gibi fazladan kelimeler olmaması.

Aciliyetten şüphelenin. 'Hemen tarayın,' 'Sınırlı süre teklif' veya 'Erişim için gerekli' gibi dili içeren kodlar, sizi düşünmeden önce harekete geçirecek şekilde tasarlanmıştır. Meşru işletmeler genellikle QR ödeme kodlarının çevresinde acil, yüksek baskılı dil kullanmaz.

Resmi kanallarla çapraz kontrol yapın. Bankanızdan, İK departmanınızdan veya bir nakliyeciden geldiğini iddia eden e-posta veya belgedeki QR kodunu taramadan önce, ilgili kuruluşun gerçekten iletişim gönderip göndermediğini resmi web siteleri veya uygulamaları aracılığıyla doğrudan onlara ulaşarak kontrol edin. QR kodunu içeren mesajda sağlanan iletişim bilgilerini asla kullanmayın. Bilinmeyen kaynaklardan gelen şüpheli bağlantılar ve içerikler için Truvizy'nin tarama aracı, herhangi bir işlem yapmadan önce riski değerlendirmenize yardımcı olabilir.

Mümkün olduğunda alternatifi kullanın. Bir park sayacında veya kioskta QR kodu tek ödeme seçeneğiyse, fiziksel kart yuvasını kullanmayı, onaylı bir uygulama mağazasından indirdiğiniz özel bir resmi uygulama aracılığıyla ödeme yapmayı veya başka bir yöntem bulmayı düşünün. Kolaylık, ödeme veya kişisel bilgiler söz konusu olduğunda asla güvenliğin önüne geçmemelidir.

QR kodlarını güvenle taramak için kontrol listesi, URL doğrulama, fiziksel kod incelemesi, resmi uygulama kullanımı
QR kodlarını güvenle taramak için kontrol listesi, URL doğrulama, fiziksel kod incelemesi, resmi uygulama kullanımı

Dolandırıldıysanız Ne Yapmalısınız

Bir kodu taradıysanız, bağlantıyı açtıysanız ve bilgi girdiyseniz, hızlı hareket edin. Her dakika gecikme, saldırgana verilerinizi kullanmak için daha fazla zaman tanır.

Ödeme kartı bilgisi girdiyseniz: Bankanızın dolandırıcılık hattını hemen arayın (kartınızın arkasındaki numarayı kullanın, şüpheli siteden gelen herhangi bir numarayı değil). Kart dondurma veya değiştirme isteyin. Bankadan bilgileri girdiğiniz andan itibaren tüm ödemeleri işaretlemesini isteyin.

Giriş kimlik bilgileri girdiyseniz: Ayrı, güvenilir bir cihazdan o şifreyi hemen değiştirin. Henüz etkin değilse iki faktörlü kimlik doğrulamayı etkinleştirin. Hesapta oturum açmış tanımadık cihazları veya oturumları kontrol edip kaldırın. Aynı şifreyi başka yerde de kullanıyorsanız, onları da değiştirin.

Kredi dosyanıza üç büyük büronun birinde (Equifax, Experian, TransUnion) dolandırıcılık uyarısı ekletin, bu diğer ikisini otomatik olarak bildirir. Kimliğinizin ele geçirildiğine inanıyorsanız, ücretsiz olan ve adınıza yeni hesap açılmasını önleyen kredi dondurma seçeneğini düşünün. Kimlik hırsızlığı önlemeye ilişkin kapsamlı kılavuzumuz tam kurtarma sürecini ayrıntılı biçimde kapsar.

Yapay zeka destekli dolandırıcılık tespiti ile QR kodu dolandırıcılıklarından ve diğer mobil tehditlerden kendinizi koruyun.

Kendinizi İleride Korumak

En önemli tek alışkanlık dokunmadan önce durmaktır. Quishing'in tüm tasarımı, QR taramanın otomatik ve anlık hissettirdiği gerçeğine dayanır. Bu otomatik yanıtı kırmak, URL'yi okumak için yalnızca iki saniye bile, saldırıyı bozar. Bunu bir kural hâline getirin: önce URL önizlemesi, ikinci olarak açma.

Çözülmüş URL üzerinde dokunmadan önce gerçek zamanlı güvenlik denetimleri yapan özel bir QR tarayıcı uygulaması kullanın. Büyük güvenlik satıcılarından ücretsiz sunulan bu uygulamalar, tarama iş akışınıza yerleştirilmiş bir URL denetleyicisi gibi işlev görür. Tıklamadan önce bir bağlantının üzerine gelmenin mobil eşdeğerleridir.

Telefonunuzun işletim sistemi ve tarayıcısını güncel tutun. Güvenlik yamaları sıklıkla kötü amaçlı bir site ziyaret edildiğinde sürücülü indirme saldırılarının istismar ettiği güvenlik açıklarını kapatır. Yamasız telefon, kimlik bilgileriniz güvende kalsa bile quishing saldırısının ikinci aşamasına karşı önemli ölçüde daha savunmasızdır.

Kimlik doğrulayıcı uygulama kullanarak iki faktörlü kimlik doğrulamayı etkinleştirin, SMS değil. Smishing ve metin dolandırıcılıklarına ilişkin kılavuzumuzda belirttiğimiz gibi, SMS tabanlı 2FA ele geçirilebilir. Kimlik doğrulayıcı uygulama, kodları cihazınızda yerel olarak oluşturur ve gerçek zamanlı aktarım saldırılarını önemli ölçüde zorlaştırır.

Nerede görürseniz görün şüpheli kodları bildirin. Kamuya açık bir QR kodunda şüpheli görünen bir etiket fark ederseniz, konumu fotoğraflayın ve işletmeye veya yerel yetkililerine bildirin. Kötü amaçlı bir etiketi saatler içinde kaldırmak düzinelerce potansiyel kurbanı koruyabilir.

Key Takeaways

QR kodları ortadan kalkmayacak, onları istismar eden dolandırıcılar da. Temassız ödemeler, dijital menüler ve mobil öncelikli hizmetler günlük hayata daha derin işledikçe quishing daha sofistike ve yaygın hâle gelecek. Panzehir farkındalıktır: herhangi bir fiziksel QR kodunun değiştirilebileceğini, bir e-postadaki herhangi bir kodun herhangi bir yere bağlanabileceğini ve dokunmadan önce URL okumak için gereken iki saniyenin sizi çok pahalı bir dersten kurtaran iki saniye olabileceğini bilmek.

Truvizy'nin koruma planları, şüpheli URL ve bağlantıları analiz etmek için araçlar içerir, herhangi bir QR kodundan çözülmüş URL'yi açmadan önce Truvizy'ye yapıştırın ve meşruiyetinin anında yapay zeka destekli değerlendirmesini alın. Dolandırıcıların kötü amaçlı bağlantıları resimlerin içine gizlediği bir tehdit ortamında, gerçek hedefi kontrol eden bir araca sahip olmak artık isteğe bağlı değil, zorunlu.

Smishing: Bankanızdan Gelen SMS Neden Muhtemelen Dolandırıcılık — Quishing ile aynı psikolojik oyun kitabını paylaşan metin tabanlı kimlik avı.

Kimlik Avı E-postası Tespiti — Filtreleri atlamak için QR kodu kullananlar dahil e-posta tabanlı saldırıları nasıl tespit edeceğiniz.

Sosyal Mühendislik Saldırıları — Quishing ve tüm modern dolandırıcılıkların arkasındaki psikolojik manipülasyon teknikleri.

FAQ

Quishing nedir?

Quishing, QR kodu kimlik avıdır, saldırganların, giriş kimlik bilgilerini, ödeme bilgilerini çalmak veya cihazlarına kötü amaçlı yazılım yüklemek için tasarlanmış kötü amaçlı web sitelerine kurbanları yönlendiren sahte QR kodlarını değiştirdiği veya oluşturduğu bir dolandırıcılıktır.

Taramadan önce QR kodunun sahte olup olmadığını nasıl anlayabilirim?

Kodu fiziksel olarak inceleyin: özgün kodun üzerine yerleştirilmiş etiketleri, çevreleyen materyaldeki hasarı veya yakınındakilerle karşılaştırıldığında biraz farklı görünen kodları arayın. Taradıktan sonra, 'aç'a dokunmadan önce kamera uygulaması önizlemesindeki tam hedef URL'yi her zaman kontrol edin. URL beklenen işletme etki alanıyla tam olarak eşleşmiyorsa devam etmeyin.

QR kodu taramak telefonuma kötü amaçlı yazılım yükleyebilir mi?

Kameranızla yalnızca QR kodu taramak kötü amaçlı yazılım yüklemez, ancak sonuçtaki bağlantıyı açmak yükleyebilir. Kötü amaçlı siteler, sürücülü indirmelere girişebilir, kimlik bilgisi kimlik avı yapabilir veya sahte uygulama yüklemenizi isteyebilir. Telefon işletim sisteminizi güncel tutun, bilinmeyen kaynaklardan uygulama yüklemesine izin vermekten kaçının ve yerleşik URL güvenlik denetimiyle QR tarayıcı kullanın.

Sahte QR kodu riski en yüksek olan yerler hangileridir?

Yüksek riskli yerler arasında park sayaçları, restoran masaları ve menüleri, toplu taşıma durakları, kargo iade etiketleri, otel lobiler ve kamuya açık yerlerde asılan el ilanları bulunur. Birinin geceleri tespitsiz bir şekilde kodu değiştirebileceği denetimsiz herhangi bir fiziksel alan potansiyel bir hedef.

Zaten tarayıp şüpheli bir sitede bilgi girdiysem ne yapmalıyım?

Hemen harekete geçin: girdiğiniz şifreleri değiştirin, ödeme bilgileri verdiyseniz bankanızla iletişime geçin, etkilenen hesaplarda iki faktörlü kimlik doğrulamayı etkinleştirin ve kredi raporunuzu izleyin. Olayı reportfraud.ftc.gov'daki FTC'ye bildirin ve işletmenin mülkündeyse, tehlikeye giren kodu değiştirebilmeleri için işletmeyi uyarın.