Kötü amaçlı bir QR kodundan kendinizi nasıl koruyabilirsiniz?
Muhtemelen bir restoranda veya kamusal alanda, genellikle siyah beyaz olan iki zıt renkten oluşan bir labirent veya mozaik gibi, birçok küçük kareden oluşan bir karenin görüntüsünü görmüşsünüzdür. Bunlar, belirli bilgilere hızlı ve doğrudan erişim sağlayan bir teknoloji olan QR kodlarıdır.
Kullanımı basittir; mobil cihazınızın kamerasıyla kodu taramanız yeterlidir ve saniyeler içinde çeşitli verilere göz atma olanağı sunarlar. Bu kodlar popülerlik kazanmıştır, ancak erişilebilirlik açısından avantajlarının yanı sıra yaygın kullanımları da bazı riskleri beraberinde getirmiştir.
Onlar neler? QR kodu veya Hızlı Yanıt kodu, özünde dijital cihazlarda okunması kolay bir barkod türüdür ve bilgileri bir ızgaradaki bir dizi pikselde depolar. Basit görünseler de QR kodları büyük miktarda veri depolayabilir, ancak içerikleri ne olursa olsun, siber güvenlik firması Kaspersky'nin web sitesine göre, tarandıklarında kullanıcı bilgilere anında erişebilir.
Kullanıcı, QR kodunu tarayarak anında bilgiye erişebiliyor. Fotoğraf: iStock
Bunlar genellikle bir URL'ye yönlendirmek, telefon numaralarına veya e-postalara erişmek, menüler veya dijital ürün portföyleri için, belgeleri indirmek , ayrıca bir uygulamayı indirmek için doğrudan bağlantı olarak, çevrimiçi hesapları doğrulamak ve oturum açma verilerini doğrulamak, bir Wi-Fi ağına erişmek (şifreleme ve parola bilgilerini depoladıkları için) ve ödeme bilgilerini gönderip almak gibi diğer kullanımlar için kullanılır.
Ancak, internetteki herhangi bir bağlantıya veya dosyaya tıklamak güvenli olmadığı gibi, herhangi bir QR kodunu taramak da güvenli değildir. İnsan gözü bu kodları çözemediğinden, saldırganların bunları değiştirerek, kişinin kötü amaçlı bir eylem olduğunu fark etmeden başka bir kaynağa yönlendirmesi kolaydır.
Tehlikeler 
Saldırganlar, QR kodunu taradıklarında kullanıcıları kandırmak için çeşitli stratejiler kullanır. Fotoğraf: iStock
Kötü amaçlı QR kodlarının taranması birden fazla risk taşır; örneğin teknoloji firması Microsoft, QR kodlarının bağlantıları hemen açması nedeniyle saldırganların meşru kodları sahte olanlarla değiştirebileceğini ve bunu kimlik avı yapmak için kullanabileceğini belirtiyor. Kimlik avı, sahte web sayfalarının meşru kuruluşların (bankalar, sosyal ağlar veya şirketler gibi) sayfaları gibi gizlenerek insanların şifreler veya bankacılık bilgileri gibi hassas bilgileri elde etmeleri için kandırıldığı bir taktiktir.
Benzer şekilde, Kanada Siber Güvenlik Merkezi'nin bir yayınına göre, kullanıcıları farklı web sitelerine yönlendirerek suçlular çevrimiçi faaliyetlerini izleyebiliyor ; bu da verilerinin izinleri olmadan ticari amaçlarla toplanabileceği ve kullanılabileceği anlamına geliyor; ya da kodun tarandığı cihaz türü, IP adresi ve konum gibi meta verileri toplayabiliyorlar.
Ek olarak , bazı web siteleri yetkilendirme olmadan bile doğrudan indirmeler gerçekleştiriyor, bu nedenle bir web sayfasını bir kodu tarayarak açmak bile kötü amaçlı yazılımın indirilmesini başlatabilir . Kaspersky, "Mobil cihazlar genellikle bilgisayar veya dizüstü bilgisayarlara göre daha az güvenli olma eğilimindedir ve QR kodları mobil cihazlar aracılığıyla okunduğu için bu durum potansiyel riskleri artırır" dedi.
Microsoft, bilgisayar korsanlarının halka açık bir alanda QR kodunu fiziksel olarak değiştirebileceğini, ancak aynı zamanda "Kredi kartı bilgileriniz güncel değil, sorunu çözmek için QR kodunu tarayın" gibi sahte mesajlar içeren e-postalar da gönderebileceğini ekledi.
Bilgisayar korsanları bir QR kodunu fiziksel olarak değiştirebilir, ancak aynı zamanda kötü amaçlı QR kodları içeren e-postalar da gönderebilir. Fotoğraf: iStock
Duke Üniversitesi Teknoloji Güvenliği Ofisi'nden gelen bir gönderiye göre, kullanıcıların kendilerini korumalarına yardımcı olabilecek çeşitli önlemler mevcut. Örneğin, kodu şüpheli öğeler açısından incelemek: Çevredeki metin veya mesaj uygun görünüyor mu? Kodun ortasındaki logo meşru görünüyor mu? Kodun tasarımı markanın renkleri ve teknik özellikleriyle uyumlu mu? Ve daha fazlası, en küçük ayrıntısına kadar.
Açmadan önce URL'yi kontrol etmek de önemlidir . Çoğu mobil QR okuyucu, kodu taradığınızda bir önizleme sunar. Bağlantıyı açmadan önce, URL'nin aradığınızla eşleşip eşleşmediğini görmek için bunu görebilirsiniz. Tıklamadan önce, URL'de garip bir ad gibi kötü amaçlı işaretler olup olmadığını kontrol edin.
Web sayfasını açtığınızda adresin https:// ile başladığından ve URL'nin tarayıcınız tarafından asma kilit işaretine sahip olduğundan veya güvenli olarak işaretlendiğinden emin olun.
Ayrıca siber güvenlik şirketleri, kaynağa tam olarak güvenmediğiniz sürece kişisel bilgilerinizi bu web sitelerinde paylaşmamanızı tavsiye ediyor.
Kaçınılması gereken bir diğer eylem de, modern akıllı telefonların kamera uygulamasında kod tarama özelliği bulunduğundan, QR kodlarını tarayan üçüncü taraf uygulamaları indirmektir . Kodları okumak için bir diğer seçenek de Google Lens özelliğidir; kullanmak için mobil cihazınızda Google uygulamasını açmanız gerekir ; arama çubuğunun sonunda sağ alt köşede bir nokta bulunan bir kamera simgesi göreceksiniz.
Toplu taşıma istasyonları gibi halka açık yerlerde görüntülenen kodların taranması önerilmez. Fotoğraf: iStock
Ayrıca, toplu taşıma istasyonları veya sokak tabelaları gibi halka açık yerlere asılan QR kodlarını veya şüpheli kaynaklardan gelen e-posta veya kısa mesajlarda alınan QR kodlarını taramanız önerilmez . Kodları oluşturan göndereni (marka, şirket, kuruluş vb.) doğrulayamıyorsanız, okumamanız en iyisidir.
Son olarak, QR kod eylemi gerçekleştirmeden önce cihazınızı izin ve doğrulama isteyecek şekilde ayarlamanız, cihazınızı güncel tutmanız ve kendinizi bu ve diğer dijital risklerden korumak için bir antivirüs kullanmayı düşünmeniz iyi bir fikirdir , ancak bunun güvenilir şirketlerden olduğundan emin olun.
FERNANDA ORTIZ HERNÁNDEZ (*)
El Universal (Meksika) - GDA
(*) EL TIEMPO'dan alınan bilgilerle
eltiempo
