“QR Kodlarla Gelen Risk: ‘Quishing’” Başlıklı Kişisel Verileri Koruma Kurumu Duyurusu Yayımlandı

Kişisel Verileri Koruma Kurumu (Kurum) tarafından 26.02.2026 tarihinde “QR Kodlarla Gelen Risk: Quishing” başlıklı bir bilgilendirme yayımlandı. Duyuruda, QR kodlar aracılığıyla gerçekleştirilen oltalama saldırılarının (quishing) işleyişi, bu saldırıların nasıl tespit edilebileceği ve bireylerin alması gereken önlemler kapsamlı şekilde ele alınmaktadır. Günlük hayatta yaygın olarak kullanılan QR kodların, kötüye kullanılması halinde kişisel verilerin güvenliği bakımından ciddi riskler doğurabileceğine dikkat çekilmektedir.

Aşağıda öne çıkan hususlar özetlenmiştir:

• Quishing; sahte veya sonradan değiştirilmiş QR kodlar aracılığıyla bireylerin kötü amaçlı internet sitelerine yönlendirilmesi, kişisel verileri paylaşmaya ikna edilmesi veya cihazlarına zararlı yazılım yüklenmesine neden olunması şeklinde gerçekleştirilen bir oltalama yöntemidir.
• Özellikle dinamik QR kodlar, görsel yapısı değiştirilmeden yönlendirdiği içeriğin sonradan farklı bir adrese çevrilebilmesi, bu yöntemi saldırganlar bakımından elverişli hale getirmektedir.
• Quishing saldırıları; fiziksel ortamlarda (afiş, broşür, restoran masası vb.) yer alan QR kodlar veya e-posta ve kısa mesaj gibi dijital iletişim kanalları aracılığıyla iletilen QR görselleri üzerinden gerçekleştirilebilmektedir.
• Bilinmeyen göndericilerden gelen, aciliyet veya panik duygusu yaratan mesajlar içeren QR kod paylaşımları; hesap güvenliği, teslimat sorunu veya kampanya gerekçesiyle yönlendirme yapılması gibi durumlar risk göstergesi olabilmektedir.
• QR kodun taranmasının ardından, kimlik doğrulama bilgileri ya da kredi kartı verilerinin talep edilmesi, alan adının ilgili kurumla uyumsuz olması veya beklenmeyen dosya indirme işlemlerinin başlaması, saldırı şüphesini artıran unsurlar arasında yer almaktadır.
• Fiziksel ortamlarda sonradan yapıştırılmış gibi görünen QR kodlara ve dijital kanallarda bilinmeyen göndericilerden gelen kodlara karşı dikkatli olunması gerektir.
• Bireylerin; QR kodun fiziksel bütünlüğünü kontrol etmeleri, yalnızca güvenilir kaynaklardan gelen kodları taramaları, yönlendirilen bağlantının doğruluğunu incelemeleri ve cihaz güvenliğini güncel tutmaları; çok faktörlü kimlik doğrulama gibi güvenlik önlemlerinin kullanılması önerilmektedir.