Merhabalar. Bildiğiniz üzere E-posta güvenlik sistemleri artık çok güçlü bir hale geldi. Şu andaki taramalarda önce kötü amaçlı bağlantılar taranır, şüpheli ekler sandbox'a alınır, bilinen phishing domainleri anında engellenir. Saldırganlar ise bu olayı aşmak için farklı bir yol bulmuştur, bağlantıyı e-postaya koymak yerine bir QR koda gömmek. Çünkü güvenlik sistemi QR kodu tarar, içinde zararlı bir şey görmez, e-posta geçer. Kurban telefonu ile kodu tarar, sahte siteye yönlendirilir. Buna Quishing yani QR kod oltalama denir ve bu yöntemle 2023'ten itibaren kurumsal hedeflere yönelik saldırılarda ciddi bir artış gözlemlenmektedir. Bu yazımda Quishing'in nasıl çalıştığını, neden bu kadar etkili olduğunu, bıraktığı izleri ve savunma yöntemlerini anlatacağım. İyi okumalar.
Klasik Phishing'in Duvarı ve Quishing'in Çözümü
Klasik e-posta oltalamada saldırgan bir bağlantı gönderir. Modern güvenlik sistemleri bu bağlantıyı otomatik olarak analiz eder. URL rewriting ile bağlantı güvenlik sisteminin proxy'si üzerinden yeniden yazılır, her tıklamada gerçek zamanlı kontrol yapılır. Sandbox ortamında bağlantı açılır ve davranışı incelenir. Bilinen phishing domain'leri kara listeye alınır ve anında engellenir.
Bu zincir çok güçlüdür. Saldırganın doğrudan bir URL göndermesi artık çok zordur çünkü e-posta sistemleri içindeki tüm URL'leri yakalar.
QR kod bu zinciri zarif biçimde kırar. E-postada URL yoktur, yalnızca bir görsel vardır. Güvenlik sistemleri görüntü içindeki QR kodu ayrıştırmak için OCR ve görüntü analizi yapmak zorundadır. Bunu yapan sistem sayısı çok çok azdır ve yapanlar bile her zaman başarılı değildir. Kötü amaçlı URL görsel içine gizlenmiş olduğundan standart URL tarama mekanizmaları devreye girmez.
Bunun ötesinde QR kodu tayan cihaz genellikle kurumsal güvenlik yazılımı olmayan bir akıllı telefondur. Kurumsal dizüstü bilgisayarda engellenen bir site, çalışanın kişisel telefonunda tamamen açık kalır. Bu da Quishing'in ikinci büyük avantajıdır.
Quishing Nasıl Kurgulanır?
Bir Quishing saldırısının anatomisini adım adım inceleyelim.
İlk adım legal bir kurumun markasını taklit etmektir. Microsoft, kullanıcıları çok faktörlü doğrulama uygulamasını güncellemeleri için QR kod içeren e-postalar gönderir. DocuSign belge imzalama için QR kod kullanır. Şirket intranet sistemleri, park sistemleri, restoran menüleri, anket linkleri... QR koda alışmış bir toplumda bu formatın e-postada görünmesi artık şüphe uyandırmaz.
İkinci adım kötü amaçlı URL'yi QR koda gömmektir. Saldırgan bir QR kod üreteci kullanarak zararlı siteye yönlendiren bir kod üretir. Bu URL genellikle şu yollardan gizlenir, URL kısaltma servisleri (bit.ly, t.ly gibi) gerçek hedefi gizler. Meşru bulut servisleri üzerinden yönlendirme yapılır, OneDrive, SharePoint, Google Drive gibi platformlarda barındırılan sahte sayfalar meşru domain üzerinden geldiğinden engellenemez. Yeni tescil edilmiş domain'ler kara listede olmadığından geçer.
Üçüncü adım QR kodu e-postaya gömmektir. Yalnızca görsel içeren, sade tasarımlı ama kurumsal logoyu taşıyan bir e-posta hazırlanır. Metin kısmında aciliyet yaratılır: "Hesabınızı doğrulamak için QR kodu tarayın", "Çok faktörlü doğrulama zorunlu hale getirildi, lütfen güncelleyin."
Neden Bu Kadar Etkili?
Quishing'in bu kadar hızlı yayılmasının ardında birkaç birbirini güçlendiren neden vardır.
QR koda duyulan güven birincil nedenidir. COVID-19 sonrasında QR kodlar günlük hayatın ayrılmaz parçası haline gelmiştir. Restoran menüsü, park ücreti ödeme, etkinlik bileti, uçuş kartı, banka bildirimleri... İnsanlar QR kodu taramayı artık otomatik bir refleks olarak gerçekleştirir. Analitik düşünce devreye girmez.
URL görünmezliği ikinci önemli faktördür. Normal bir phishing bağlantısında URL görülür, uzun ve karmaşık bir adres dikkat çeker. QR kodda URL hiç görünmez. Kurban taradıktan sonra tarayıcısında bir URL görür ama bu noktada sayfa zaten yüklenmiş olabilir.
Cihaz değişimi savunma katmanlarını devre dışı bırakır. Kurumsal e-posta korumalı bir bilgisayarda açılır ama QR kod kişisel telefonla taranır. Kurumsal MDM, proxy ve güvenlik yazılımı o telefonda yoktur. Telefon doğrudan kötü amaçlı siteye bağlanır.
Bağlam uyumu da güçlü bir etkendir. Microsoft, Google, Apple ve kurumsal IT departmanları gerçekten QR kod içeren e-postalar gönderir. Bu format artık normaldir ve şüphe uyandırmaz. Saldırgan bu normalliğin içine girer.
Gerçek Saldırı Örnekleri
Quishing teorik bir tehdit değildir. Son iki yılda belgelenen gerçek saldırılar bu tekniğin ne kadar hızlı olgunlaştığını göstermektedir.
Microsoft MFA Quishing kampanyaları en yaygın örüntüdür. Saldırganlar Microsoft'un kurumsal MFA güncelleme e-postalarını taklit eder. "Yeni Microsoft Authenticator politikası devreye girdi, hesabınızı bağlamak için QR kodu tarayın" mesajıyla kullanıcılar sahte Microsoft giriş sayfasına yönlendirilir. Kurumsal Azure AD kimlik bilgileri çalınır.
DocuSign taklidi sözleşme imzalama süreçlerini hedef alır. Finans departmanı çalışanlarına "acil imzalanması gereken sözleşme" temasıyla QR kodlu e-posta gönderilir. Kod tarandığında sahte DocuSign sayfası açılır ve oturum açmaları istenir.
Fiziksel Quishing ise dijitalin ötesine geçer. Park otomatları, restoran masaları, konferans salonları gibi fiziksel mekânlardaki gerçek QR kodların üzerine sahte etiket yapıştırılır. Kullanıcı ödeme yapmak veya menüyü görmek için tarar, sahte ödeme sayfasına düşer.
2023'te bir enerji şirketinin üst düzey yöneticilerine yönelik yürütülen bir kampanyada yaklaşık bin Quishing e-postası gönderilmiş ve kurumsal güvenlik sistemleri bu e-postaların büyük çoğunluğunu geçirmiştir. Bu olay Quishing'in kurumsal savunmaların ne kadar gerisinde kaldığını net biçimde ortaya koymuştur.
Tespit — E-posta Güvenlik Sistemleri Nasıl Yakalar?
Quishing tespiti standart URL taramasının ötesine geçmeyi gerektirir. Birkaç farklı yaklaşım vardır ve bunların birlikte kullanılması gerekir.
Görüntü içi QR kod tarama ilk katmandır. E-posta güvenlik sistemleri gelen e-postalardaki tüm görselleri analiz eder, içlerindeki QR kodları decode eder ve ortaya çıkan URL'leri diğer bağlantılarla aynı kontrolden geçirir. Microsoft Defender for Office 365 ve Proofpoint bu özelliği 2023'te eklemiştir. Ama saldırganlar buna karşı da yöntemler geliştirmiştir: QR kodu kasıtlı olarak bozuk veya kısmen görünür üretmek, görüntü analizi araçlarını yanıltır.
Görsel içerik analizi QR kodun varlığını bile tespit edebilir. E-postada yalnızca bir görsel var, metin az, aciliyet ifadesi var ve kurumsal logo taşıyor ise bu kombinasyon şüpheli bir pattern oluşturur.
Gönderen kimlik doğrulaması temel bir kontrol katmanı sunar. SPF, DKIM ve DMARC kontrolleri Quishing e-postalarının önemli bir bölümünü yakalar çünkü saldırganlar meşru domainlerden gönderim yapamaz.
Kullanıcı davranışı de bir sinyal üretir. Kurumsal cihazda e-posta açıldı, kısa süre sonra kişisel ağdan aynı kullanıcının kimlik bilgileriyle oturum açma denemesi geldi. Bu anomali modern SIEM sistemlerinde tespit edilebilir.
Fiziksel Quishing — Gerçek Dünya Saldırıları
Quishing dijital alanla sınırlı kalmaz. Fiziksel ortamlardaki QR kodlar da saldırı yüzeyi oluşturur ve bu alan çoğu kurumun güvenlik modelinin tamamen dışındadır.
En yaygın yöntem etiket yapıştırmadır. Saldırgan meşru bir QR kodun üzerine kendi sahte QR kodunu taşıyan bir etiket yapıştırır. Park sayacı, restoran masası, konferans standı, ofis binasının giriş kapısındaki "misafir Wi-Fi" QR kodu bunların hepsi hedef olabilir. Kullanıcı gerçek kodu tararım diye sahteyi tarar.
Vishing kombinasyonu da karşılaşılan bir senaryo haline gelmiştir. Saldırgan telefon eder, kurumsal IT departmanından olduğunu söyler ve "size bir doğrulama kodu gönderdim, QR kodu tarayın" der. Telefondaki ses otorite yaratır, QR kod sosyal mühendislik zincirinin son halkasıdır.
Konferans ve etkinlik ortamları özellikle risklidir. Katılımcıların sürekli QR kod taradığı ortamlarda sahte bir QR kod standına yerleştirilen kötü amaçlı kod fark edilmez. Saldırgan etkinlik öncesinde bina içine fiziksel erişim sağlar ve QR kodları değiştirir.
Savunma — Teknik ve İnsan Katmanı
Quishing savunması hem teknik önlemleri hem de kullanıcı farkındalığını gerektirir. Yalnızca birine güvenmek yeterli değildir.
E-posta güvenlik sistemi yapılandırması ilk katmandır. Microsoft Defender for Office 365 veya benzeri bir sistemde QR kod tarama özelliği aktif edilmelidir. Görüntü içi QR decode ve URL analizi açık olmalıdır. Yalnızca görsel içeren e-postalar ek incelemeye alınmalıdır.
Mobil cihaz yönetimi (MDM) cihaz değişimi sorununu çözer. Kurumsal e-postaları alan mobil cihazlar MDM kapsamına alınmalı ve kurumsal proxy üzerinden geçmesi sağlanmalıdır. Bu sayede telefondan yapılan taramalarda da URL analizi gerçekleşir.
Kullanıcı eğitimi QR koda özel içerik gerektirmektedir. "QR kodu taramadan önce URL önizlemesini kontrol et" pratik ve uygulanabilir bir kuraldır. Modern telefonlar QR kodu tam olarak açmadan önce URL'yi gösterir. Bu adımda durmak ve URL'yi incelemek olası bir saldırıyı erken keser.
Fiziksel güvenlik politikaları da güncellenmesi gereken bir alandır. Kurumsal mekânlardaki tüm QR kodlar kayıt altında tutulmalı ve periyodik olarak kontrol edilmelidir. Bilinmeyen veya beklenmedik QR kodlar güvenlik birimine bildirilmelidir.
Quishing, QR kodun içine gömülü kötü amaçlı URL'yi standart e-posta güvenlik sistemlerinin gözünden kaçıran akıllıca bir tekniktir. Klasik URL taramasını atlatır çünkü e-postada görsel vardır, URL yoktur. Cihaz değişimi savunma katmanlarını devre dışı bırakır çünkü kurumsal güvenlik yazılımı kişisel telefonda bulunmaz. QR koda duyulan alışılmış güven kullanıcının analitik düşüncesini kapatır. 2023'ten itibaren Microsoft, DocuSign ve kurumsal IT departmanı taklitiyle gerçek kampanyalarda yaygın biçimde kullanılmaktadır. Fiziksel ortamlarda etiket yapıştırma yöntemiyle de gerçekleşir. Savunmada e-posta sistemlerinde QR kod taramasını aktif etmek, MDM ile mobil cihazları kurumsal proxy'ye dahil etmek, kullanıcılara URL önizleme alışkanlığı kazandırmak ve fiziksel QR kodları periyodik kontrol etmek bu tehdide karşı katmanlı bir koruma sağlar.
Önemli Hatırlatma: Bu yazıdaki teknikler güvenlik farkındalığı eğitimi ve savunma amaçlı araştırma kapsamında paylaşılmıştır. Quishing saldırısı düzenlemek TCK Madde 157 ve Madde 243 kapsamında suçtur. Lütfen denemeyiniz.
Klasik Phishing'in Duvarı ve Quishing'in Çözümü
Klasik e-posta oltalamada saldırgan bir bağlantı gönderir. Modern güvenlik sistemleri bu bağlantıyı otomatik olarak analiz eder. URL rewriting ile bağlantı güvenlik sisteminin proxy'si üzerinden yeniden yazılır, her tıklamada gerçek zamanlı kontrol yapılır. Sandbox ortamında bağlantı açılır ve davranışı incelenir. Bilinen phishing domain'leri kara listeye alınır ve anında engellenir.
Bu zincir çok güçlüdür. Saldırganın doğrudan bir URL göndermesi artık çok zordur çünkü e-posta sistemleri içindeki tüm URL'leri yakalar.
QR kod bu zinciri zarif biçimde kırar. E-postada URL yoktur, yalnızca bir görsel vardır. Güvenlik sistemleri görüntü içindeki QR kodu ayrıştırmak için OCR ve görüntü analizi yapmak zorundadır. Bunu yapan sistem sayısı çok çok azdır ve yapanlar bile her zaman başarılı değildir. Kötü amaçlı URL görsel içine gizlenmiş olduğundan standart URL tarama mekanizmaları devreye girmez.
Bunun ötesinde QR kodu tayan cihaz genellikle kurumsal güvenlik yazılımı olmayan bir akıllı telefondur. Kurumsal dizüstü bilgisayarda engellenen bir site, çalışanın kişisel telefonunda tamamen açık kalır. Bu da Quishing'in ikinci büyük avantajıdır.
Quishing Nasıl Kurgulanır?
Bir Quishing saldırısının anatomisini adım adım inceleyelim.
İlk adım legal bir kurumun markasını taklit etmektir. Microsoft, kullanıcıları çok faktörlü doğrulama uygulamasını güncellemeleri için QR kod içeren e-postalar gönderir. DocuSign belge imzalama için QR kod kullanır. Şirket intranet sistemleri, park sistemleri, restoran menüleri, anket linkleri... QR koda alışmış bir toplumda bu formatın e-postada görünmesi artık şüphe uyandırmaz.
İkinci adım kötü amaçlı URL'yi QR koda gömmektir. Saldırgan bir QR kod üreteci kullanarak zararlı siteye yönlendiren bir kod üretir. Bu URL genellikle şu yollardan gizlenir, URL kısaltma servisleri (bit.ly, t.ly gibi) gerçek hedefi gizler. Meşru bulut servisleri üzerinden yönlendirme yapılır, OneDrive, SharePoint, Google Drive gibi platformlarda barındırılan sahte sayfalar meşru domain üzerinden geldiğinden engellenemez. Yeni tescil edilmiş domain'ler kara listede olmadığından geçer.
Üçüncü adım QR kodu e-postaya gömmektir. Yalnızca görsel içeren, sade tasarımlı ama kurumsal logoyu taşıyan bir e-posta hazırlanır. Metin kısmında aciliyet yaratılır: "Hesabınızı doğrulamak için QR kodu tarayın", "Çok faktörlü doğrulama zorunlu hale getirildi, lütfen güncelleyin."
Neden Bu Kadar Etkili?
Quishing'in bu kadar hızlı yayılmasının ardında birkaç birbirini güçlendiren neden vardır.
QR koda duyulan güven birincil nedenidir. COVID-19 sonrasında QR kodlar günlük hayatın ayrılmaz parçası haline gelmiştir. Restoran menüsü, park ücreti ödeme, etkinlik bileti, uçuş kartı, banka bildirimleri... İnsanlar QR kodu taramayı artık otomatik bir refleks olarak gerçekleştirir. Analitik düşünce devreye girmez.
URL görünmezliği ikinci önemli faktördür. Normal bir phishing bağlantısında URL görülür, uzun ve karmaşık bir adres dikkat çeker. QR kodda URL hiç görünmez. Kurban taradıktan sonra tarayıcısında bir URL görür ama bu noktada sayfa zaten yüklenmiş olabilir.
Cihaz değişimi savunma katmanlarını devre dışı bırakır. Kurumsal e-posta korumalı bir bilgisayarda açılır ama QR kod kişisel telefonla taranır. Kurumsal MDM, proxy ve güvenlik yazılımı o telefonda yoktur. Telefon doğrudan kötü amaçlı siteye bağlanır.
Bağlam uyumu da güçlü bir etkendir. Microsoft, Google, Apple ve kurumsal IT departmanları gerçekten QR kod içeren e-postalar gönderir. Bu format artık normaldir ve şüphe uyandırmaz. Saldırgan bu normalliğin içine girer.
Gerçek Saldırı Örnekleri
Quishing teorik bir tehdit değildir. Son iki yılda belgelenen gerçek saldırılar bu tekniğin ne kadar hızlı olgunlaştığını göstermektedir.
Microsoft MFA Quishing kampanyaları en yaygın örüntüdür. Saldırganlar Microsoft'un kurumsal MFA güncelleme e-postalarını taklit eder. "Yeni Microsoft Authenticator politikası devreye girdi, hesabınızı bağlamak için QR kodu tarayın" mesajıyla kullanıcılar sahte Microsoft giriş sayfasına yönlendirilir. Kurumsal Azure AD kimlik bilgileri çalınır.
DocuSign taklidi sözleşme imzalama süreçlerini hedef alır. Finans departmanı çalışanlarına "acil imzalanması gereken sözleşme" temasıyla QR kodlu e-posta gönderilir. Kod tarandığında sahte DocuSign sayfası açılır ve oturum açmaları istenir.
Fiziksel Quishing ise dijitalin ötesine geçer. Park otomatları, restoran masaları, konferans salonları gibi fiziksel mekânlardaki gerçek QR kodların üzerine sahte etiket yapıştırılır. Kullanıcı ödeme yapmak veya menüyü görmek için tarar, sahte ödeme sayfasına düşer.
2023'te bir enerji şirketinin üst düzey yöneticilerine yönelik yürütülen bir kampanyada yaklaşık bin Quishing e-postası gönderilmiş ve kurumsal güvenlik sistemleri bu e-postaların büyük çoğunluğunu geçirmiştir. Bu olay Quishing'in kurumsal savunmaların ne kadar gerisinde kaldığını net biçimde ortaya koymuştur.
Tespit — E-posta Güvenlik Sistemleri Nasıl Yakalar?
Quishing tespiti standart URL taramasının ötesine geçmeyi gerektirir. Birkaç farklı yaklaşım vardır ve bunların birlikte kullanılması gerekir.
Görüntü içi QR kod tarama ilk katmandır. E-posta güvenlik sistemleri gelen e-postalardaki tüm görselleri analiz eder, içlerindeki QR kodları decode eder ve ortaya çıkan URL'leri diğer bağlantılarla aynı kontrolden geçirir. Microsoft Defender for Office 365 ve Proofpoint bu özelliği 2023'te eklemiştir. Ama saldırganlar buna karşı da yöntemler geliştirmiştir: QR kodu kasıtlı olarak bozuk veya kısmen görünür üretmek, görüntü analizi araçlarını yanıltır.
Görsel içerik analizi QR kodun varlığını bile tespit edebilir. E-postada yalnızca bir görsel var, metin az, aciliyet ifadesi var ve kurumsal logo taşıyor ise bu kombinasyon şüpheli bir pattern oluşturur.
Gönderen kimlik doğrulaması temel bir kontrol katmanı sunar. SPF, DKIM ve DMARC kontrolleri Quishing e-postalarının önemli bir bölümünü yakalar çünkü saldırganlar meşru domainlerden gönderim yapamaz.
Kullanıcı davranışı de bir sinyal üretir. Kurumsal cihazda e-posta açıldı, kısa süre sonra kişisel ağdan aynı kullanıcının kimlik bilgileriyle oturum açma denemesi geldi. Bu anomali modern SIEM sistemlerinde tespit edilebilir.
Kod:
#!/usr/bin/env python3
"""
E-posta Quishing Tespit Aracı
Gelen e-postaları QR kod ve şüpheli URL açısından analiz eder.
"""
import email
import io
import re
import base64
import requests
from PIL import Image
from pyzbar import pyzbar
from urllib.parse import urlparse
# Şüpheli URL göstergeleri
URL_KISALTICI_SERVISLER = [
'bit.ly', 't.ly', 'tinyurl.com', 'ow.ly', 'short.io',
'rebrand.ly', 'bl.ink', 'cutt.ly', 'rb.gy'
]
MEŞRU_GORUNEN_ALDATICI = [
'sites.google.com', 'pages.dev', 'netlify.app',
'vercel.app', 'github.io', 'glitch.me'
]
def url_risk_analiz(url: str) -> dict:
try:
parsed = urlparse(url)
domain = parsed.netloc.lower()
risk_puan = 0
gostergeler = []
# URL kısaltıcı kullanımı
if any(k in domain for k in URL_KISALTICI_SERVISLER):
risk_puan += 3
gostergeler.append("URL kısaltıcı — gerçek hedef gizli")
# Meşru görünen ama aldatıcı servisler
if any(s in domain for s in MEŞRU_GORUNEN_ALDATICI):
risk_puan += 2
gostergeler.append("Meşru servis kötüye kullanımı")
# Yeni tescil edilmiş domain şüphesi
if len(domain.split('.')) > 3:
risk_puan += 1
gostergeler.append("Çok bölümlü subdomain yapısı")
# HTTP (şifresiz) kullanımı
if parsed.scheme == 'http':
risk_puan += 2
gostergeler.append("Şifresiz HTTP bağlantısı")
# IP adresi kullanımı
ip_pattern = re.compile(r'^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}$')
if ip_pattern.match(domain):
risk_puan += 4
gostergeler.append("Domain yerine IP adresi")
return {
'url': url,
'domain': domain,
'risk_puan': risk_puan,
'risk': 'KRİTİK' if risk_puan >= 6 else
'YÜKSEK' if risk_puan >= 3 else 'DÜŞÜK',
'gostergeler': gostergeler
}
except Exception as e:
return {'url': url, 'hata': str(e)}
def eml_quishing_tara(eml_dosya: str) -> dict:
with open(eml_dosya, 'rb') as f:
msg = email.message_from_bytes(f.read())
sonuclar = {
'gonderici': msg.get('From', ''),
'konu': msg.get('Subject', ''),
'qr_kodlar': [],
'genel_risk': 'DÜŞÜK'
}
for parca in msg.walk():
tur = parca.get_content_type()
# Görsel içindeki QR kodları tara
if tur.startswith('image/'):
try:
gorsel_data = parca.get_payload(decode=True)
gorsel = Image.open(io.BytesIO(gorsel_data))
kodlar = pyzbar.decode(gorsel)
for kod in kodlar:
if kod.type == 'QRCODE':
url = kod.data.decode('utf-8')
analiz = url_risk_analiz(url)
sonuclar['qr_kodlar'].append(analiz)
if analiz.get('risk') in ('KRİTİK', 'YÜKSEK'):
sonuclar['genel_risk'] = analiz['risk']
except Exception:
continue
return sonuclar
# Örnek kullanım
if __name__ == "__main__":
import sys
if len(sys.argv) > 1:
sonuc = eml_quishing_tara(sys.argv[1])
print(f"Gönderici : {sonuc['gonderici']}")
print(f"Konu : {sonuc['konu']}")
print(f"Genel Risk : {sonuc['genel_risk']}")
for qr in sonuc['qr_kodlar']:
print(f"\nQR URL : {qr['url']}")
print(f"Risk : {qr.get('risk', 'N/A')}")
for g in qr.get('gostergeler', []):
print(f" → {g}")Fiziksel Quishing — Gerçek Dünya Saldırıları
Quishing dijital alanla sınırlı kalmaz. Fiziksel ortamlardaki QR kodlar da saldırı yüzeyi oluşturur ve bu alan çoğu kurumun güvenlik modelinin tamamen dışındadır.
En yaygın yöntem etiket yapıştırmadır. Saldırgan meşru bir QR kodun üzerine kendi sahte QR kodunu taşıyan bir etiket yapıştırır. Park sayacı, restoran masası, konferans standı, ofis binasının giriş kapısındaki "misafir Wi-Fi" QR kodu bunların hepsi hedef olabilir. Kullanıcı gerçek kodu tararım diye sahteyi tarar.
Vishing kombinasyonu da karşılaşılan bir senaryo haline gelmiştir. Saldırgan telefon eder, kurumsal IT departmanından olduğunu söyler ve "size bir doğrulama kodu gönderdim, QR kodu tarayın" der. Telefondaki ses otorite yaratır, QR kod sosyal mühendislik zincirinin son halkasıdır.
Konferans ve etkinlik ortamları özellikle risklidir. Katılımcıların sürekli QR kod taradığı ortamlarda sahte bir QR kod standına yerleştirilen kötü amaçlı kod fark edilmez. Saldırgan etkinlik öncesinde bina içine fiziksel erişim sağlar ve QR kodları değiştirir.
Savunma — Teknik ve İnsan Katmanı
Quishing savunması hem teknik önlemleri hem de kullanıcı farkındalığını gerektirir. Yalnızca birine güvenmek yeterli değildir.
E-posta güvenlik sistemi yapılandırması ilk katmandır. Microsoft Defender for Office 365 veya benzeri bir sistemde QR kod tarama özelliği aktif edilmelidir. Görüntü içi QR decode ve URL analizi açık olmalıdır. Yalnızca görsel içeren e-postalar ek incelemeye alınmalıdır.
Mobil cihaz yönetimi (MDM) cihaz değişimi sorununu çözer. Kurumsal e-postaları alan mobil cihazlar MDM kapsamına alınmalı ve kurumsal proxy üzerinden geçmesi sağlanmalıdır. Bu sayede telefondan yapılan taramalarda da URL analizi gerçekleşir.
Kullanıcı eğitimi QR koda özel içerik gerektirmektedir. "QR kodu taramadan önce URL önizlemesini kontrol et" pratik ve uygulanabilir bir kuraldır. Modern telefonlar QR kodu tam olarak açmadan önce URL'yi gösterir. Bu adımda durmak ve URL'yi incelemek olası bir saldırıyı erken keser.
Fiziksel güvenlik politikaları da güncellenmesi gereken bir alandır. Kurumsal mekânlardaki tüm QR kodlar kayıt altında tutulmalı ve periyodik olarak kontrol edilmelidir. Bilinmeyen veya beklenmedik QR kodlar güvenlik birimine bildirilmelidir.
Kod:
### Quishing Savunma Kontrol Listesi
# 1. Microsoft Defender for Office 365 — QR tarama
# https://security.microsoft.com
# Email & Collaboration → Policies → Safe Links
# "Enable Safe Links for QR codes" = Açık
# Tüm görsel ekleri tarama: Açık
# 2. Proofpoint — QR kod tespit kuralı
# TAP (Targeted Attack Protection) içinde:
# İmza-tabanlı QR tespit + URL sandbox
# 3. Kullanıcı eğitimi için pratik kural
QUISHING_KURALLARI = [
"E-postadaki QR kodu taramadan önce göndereni doğrulayın",
"QR taramadan önce telefonunuzun URL önizlemesini okuyun",
"Beklenmediğiniz bir QR kod isteği gelirse IT'ye bildirin",
"Aciliyet içeren QR kod mesajlarında ekstra dikkatli olun",
"Fiziksel ortamdaki QR kodlar üzerinde etiket katmanı var mı kontrol edin",
]
# 4. E-posta politikası — QR içeren dış e-postalar için uyarı banner
# Microsoft 365 Exchange kuralı:
"""
New-TransportRule "QR Code Warning" `
-FromScope NotInOrganization `
-AttachmentHasAnyFileType "png","jpg","jpeg","gif","bmp" `
-PrependSubject "[QR KOD İÇEREBİLİR - DİKKAT] " `
-SetHeaderName "X-QR-Warning" `
-SetHeaderValue "This email may contain QR codes. Verify before scanning."
"""
# Bu kural mükemmel değil ama farkındalık yaratır
# 5. Mobil cihaz URL analizi
# iOS: Settings → Safari → Fraudulent Website Warning → Açık
# Android: Chrome → Güvenli Tarama → Gelişmiş koruma
# Kurumsal: Cisco Umbrella veya Zscaler mobil agent
# 6. Anomali tespiti — SIEM kuralı
# Kurumsal cihazda e-posta açıldı + kısa süre sonra
# farklı bir ağdan aynı kullanıcıyla giriş denemesi
"""
index=auth_logs
| join type=inner user [search index=email_logs action=open]
| where src_ip != corporate_network
| where _time - email_open_time < 300
| stats count by user, src_ip
| where count >= 1
"""Quishing, QR kodun içine gömülü kötü amaçlı URL'yi standart e-posta güvenlik sistemlerinin gözünden kaçıran akıllıca bir tekniktir. Klasik URL taramasını atlatır çünkü e-postada görsel vardır, URL yoktur. Cihaz değişimi savunma katmanlarını devre dışı bırakır çünkü kurumsal güvenlik yazılımı kişisel telefonda bulunmaz. QR koda duyulan alışılmış güven kullanıcının analitik düşüncesini kapatır. 2023'ten itibaren Microsoft, DocuSign ve kurumsal IT departmanı taklitiyle gerçek kampanyalarda yaygın biçimde kullanılmaktadır. Fiziksel ortamlarda etiket yapıştırma yöntemiyle de gerçekleşir. Savunmada e-posta sistemlerinde QR kod taramasını aktif etmek, MDM ile mobil cihazları kurumsal proxy'ye dahil etmek, kullanıcılara URL önizleme alışkanlığı kazandırmak ve fiziksel QR kodları periyodik kontrol etmek bu tehdide karşı katmanlı bir koruma sağlar.
Önemli Hatırlatma: Bu yazıdaki teknikler güvenlik farkındalığı eğitimi ve savunma amaçlı araştırma kapsamında paylaşılmıştır. Quishing saldırısı düzenlemek TCK Madde 157 ve Madde 243 kapsamında suçtur. Lütfen denemeyiniz.
Son düzenleme:
