04 March 2026
Quishing Nedir? QR Kodlar Üzerinden Oltalama ve Veri Koruma Hukuku Açısından Değerlendirme
QR kod teknolojisi, günümüzde dijital ekonominin temel araçlarından biri hâline gelmiştir. Restoran menülerinden kamu hizmetlerine, e-ticaretten finansal işlemlere kadar geniş bir kullanım alanına sahip olan QR kodlar, sağladıkları hız ve pratiklik nedeniyle kullanıcı davranışının doğal bir parçası olmuştur. Ancak bu yaygınlık, dijital saldırganlar açısından da düşük şüphe düzeyine sahip bir istismar zemini yaratmaktadır.
Kişisel Verileri Koruma Kurumu (“KVKK”), 26 Şubat 2026 tarihli “QR Kodlarla Gelen Risk: Quishing” başlıklı bilgilendirme yazısında, QR kodlar aracılığıyla gerçekleştirilen oltalama saldırılarını ayrıntılı biçimde ele almış ve bu tehdidi kişisel veri güvenliği perspektifinden değerlendirmiştir. Bilgilendirme yazısı, konunun yalnızca teknik bir siber güvenlik riski değil, doğrudan veri koruma hukuku kapsamında ele alınması gereken bir alan olduğunu açıkça ortaya koymaktadır.
Quishing Nedir?
Quishing (QR phishing), kötü niyetli URL’lerin QR kod içine gömülmesi suretiyle kullanıcıların yanıltıcı internet sitelerine yönlendirilmesi ve burada kişisel verilerinin ele geçirilmesi şeklinde gerçekleştirilen bir oltalama yöntemidir.
Bilgilendirme yazısında quishing, sahte veya sonradan değiştirilmiş QR kodlar kullanılarak bireylerin kötü amaçlı internet sitelerine yönlendirilmesi, kişisel verilerini paylaşmaya ikna edilmesi ya da cihazlarına zararlı yazılım yüklenmesine neden olunması şeklinde tanımlanmaktadır.
Bilgilendirme yazısı ayrıca QR kodların statik ve dinamik olarak ikiye ayrıldığını; özellikle dinamik QR kodlarda yönlendirme adresinin arka planda değiştirilebilmesinin önemli bir risk oluşturduğunu vurgulamaktadır.
Quishing ve QRLjacking Ayrımı
QR temelli tehditler yalnızca quishing ile sınırlı değildir. “QRLjacking” olarak adlandırılan yöntem, QR ile giriş (QR login) akışlarını hedef alan bir oturum kaçırma tekniğidir. Bu yöntemde kullanıcı sahte bir siteye yönlendirilmez ve meşru platformun QR login akışı kötüye kullanılarak saldırgan kendi cihazında oturumu başlatabilir. Bu nedenle QR temelli risk değerlendirmelerinde, sahte yönlendirme ile oturum ele geçirme senaryolarının ayrıştırılması önem taşımaktadır.
Küresel Eğilim ve Tehdidin Ölçeği
2023–2026 dönemine ilişkin uluslararası siber güvenlik raporlarında QR kod temelli oltalama saldırılarında belirgin bir artış eğilimi olduğu görülmektedir. Phishing saldırılarının yaklaşık %10 – 12’sinin QR kod içerdiği, QR tabanlı oltalama e-postalarının kısa süre içerisinde katlanarak arttığı ve saldırıların büyük bölümünün kimlik bilgisi hırsızlığına odaklandığı raporlanmaktadır.
Özellikle mobil cihaz kullanımının artması ve QR kodlu ödeme sistemlerinin küresel hacminin trilyon dolar seviyelerine ulaşması, bu alanı finansal dolandırıcılık bakımından daha cazip hâle getirmiştir. Bu veriler, quishing’in geçici bir trend değil, phishing ekosisteminin kalıcı bir bileşeni hâline geldiğini göstermektedir.
Quishing Tespitinin Zorlaşmasının Nedenleri
Quishing saldırılarını klasik oltalama yöntemlerinden ayıran en önemli unsur, zararlı bağlantının metin olarak görünmemesidir. QR kod, bağlantıyı görsel bir format içerisinde sakladığından kullanıcı bağlantıyı tarama öncesinde değerlendiremez.
Ayrıca QR etkileşimlerinin büyük bölümü mobil cihazlar üzerinden gerçekleşmekte ve çoğu zaman kişisel telefonlar (BYOD) kullanılmaktadır. Bu durum, kurumsal ağ ve e-posta güvenlik sistemlerinin dışında kalan bir etkileşim alanı yaratmaktadır. QR kodların e-posta içerisinde görsel veya PDF formatında iletilmesi de geleneksel URL filtreleme mekanizmalarının etkisini azaltabilmektedir.
Quishing Saldırıları Nasıl Gerçekleştirilir?
Bilgilendirme yazısı, quishing saldırılarının QR kod teknolojisi ile oltalama yönteminin birleşimine dayandığını belirtmektedir. Saldırı mekanizması genel olarak şu aşamalarla ilerler:
- Kötü Amaçlı QR Kodun Oluşturulması
- Banka giriş ekranını,
- E-ticaret hesabı oturum açma sayfasını,
- Kurumsal e-posta giriş panelini,
- Ödeme veya kampanya doğrulama ekranını
- QR Kodun Güvenilir Bir Bağlama Yerleştirilmesi
- Restoran Menüsü Senaryosu:
- Otopark / Kiosk Ödeme Senaryosu:
- Kampanya / Afiş Senaryosu:
- Kurumsal E-posta Senaryosu:
- Kullanıcının QR Kodunu Taraması
- Sahte Arayüz Üzerinden Veri Talebi
- Kullanıcı adı ve parola,
- Çok faktörlü doğrulama kodu,
- Kredi kartı bilgisi,
- Kimlik bilgileri
- Verinin Ele Geçirilmesi ve İstismarı
- Hesap devralma,
- Finansal dolandırıcılık,
- Kurumsal sistemlere yetkisiz erişim,
- Zararlı yazılım yayılımı
Saldırgan, sahte bir internet sitesine yönlendiren QR kod üretir. Bu site çoğu zaman:
taklit edecek şekilde tasarlanır.
Saldırının en kritik aşaması, QR kodun “meşru” görünen bir ortama yerleştirilmesidir. Bu noktada bilgilendirme yazısında belirtilen fiziksel ve dijital senaryolar, uygulamada şu örneklerle somutlaşmaktadır:
Masada yer alan QR menü kodunun üzerine, görsel olarak benzer bir sahte etiket yapıştırılır. Müşteri menüye eriştiğini düşünürken, aslında “indirim kazanmak için ödeme bilgisi doğrulayın” şeklinde tasarlanmış sahte bir sayfaya yönlendirilir. KVKK Bilgilendirme Yazısında sonradan yapıştırılmış veya tasarımla uyumsuz QR kodların risk göstergesi olduğuna özellikle dikkat çekilmektedir.
Otopark ödeme noktasındaki QR kod değiştirilerek kullanıcı, doğrudan saldırganın kontrolündeki ödeme sayfasına yönlendirilir. Kullanıcı plaka ve kart bilgilerini girdiğinde veriler ele geçirilir.
“%50 indirim” veya “çekilişe katıl” içerikli bir afişe yerleştirilen QR kod, kullanıcıyı kimlik ve iletişim bilgisi talep eden sahte bir forma yönlendirir.
“Hesap güvenliği doğrulaması”, “şüpheli işlem bildirimi” veya “MFA sıfırlama” başlıklı bir e-posta içerisinde QR kod görseli yer alır. Bilgilendirme yazısında, QR kodların e-posta içinde görsel unsur olarak iletilmesinin bağlantı analizini zorlaştırabileceğini belirtmektedir.
QR kod tarandığında mobil cihaz, kod içindeki URL’yi otomatik olarak açar. Kullanıcı çoğu zaman bağlantıyı detaylı incelemeden işlem yapar.
Kullanıcıdan:
talep edilir.
Elde edilen bilgiler:
amacıyla kullanılabilir.
Quishing Saldırıları Nasıl Tespit Edilebilir?
Bilgilendirme yazısı hem fiziksel hem dijital ortamlarda risk göstergelerini açıkça sıralamaktadır.
1. Fiziksel Ortamlarda
- Sonradan yapıştırılmış izlenimi,
- Üst üste yapıştırılmış QR etiketi,
- Bulunduğu yüzeyle tasarım uyumsuzluğu,
- Olağan dışı kampanya veya avantaj vaadi.
2. Dijital Ortamlarda
- Beklenmeyen göndericiden QR içeren mesaj,
- Aciliyet veya panik duygusu oluşturma,
- Göndereni açık biçimde tanımlamayan içerik.
3. Tarama Sonrası
- Alan adının beklenen kurumla uyuşmaması,
- Hemen kimlik veya ödeme bilgisi talep edilmesi,
- Beklenmeyen dosya indirme işlemleri,
- Ek yönlendirme veya olağan dışı etkileşim.
İlgili Kişi Açısından Risk
Quishing saldırıları, ilgili kişiler bakımından:
- Kimlik hırsızlığı,
- Finansal kayıp,
- Hesap devralma,
- Zararlı yazılım bulaşması,
- Uzun vadeli veri istismarı
gibi ciddi sonuçlar doğurabilir.
Bilgilendirme yazısında QR kod taraması sonrasında açılan bağlantının HTTPS ile güvenli olup olmadığının kontrol edilmesi, alan adının yazım farklılıklarına karşı dikkatli olunması ve mümkünse ilgili kuruma doğrudan tarayıcı üzerinden erişilmesi önerilmektedir. Ayrıca güçlü parola politikaları ve çok faktörlü kimlik doğrulama kullanımı, kimlik bilgilerinin ele geçirilmesi hâlinde zararın sınırlandırılmasına katkı sağlayacağı belirtilmiştir.
Veri Sorumlusu Açısından Hukuki Değerlendirme
Quishing, veri sorumluları açısından doğrudan KVKK’nın 12’nci maddesi kapsamındaki veri güvenliği yükümlülüğü ile ilişkilidir.
- Hukuka aykırı erişimi önlemek,
- Uygun teknik ve idari tedbirleri almak,
- İhlal hâlinde gerekli bildirimleri yapmak
zorundadır.
Sosyal mühendislik saldırıları artık öngörülebilir risk kategorisindedir. Bu nedenle:
- MFA uygulanmaması,
- Çalışanlara düzenli farkındalık eğitimi verilmemesi,
- QR tabanlı ödeme sistemlerinde yeterli kontrol mekanizmasının bulunmaması
uyum riski doğurabilir.
GDPR bakımından da benzer şekilde risk temelli güvenlik yaklaşımı ve ihlal bildirim yükümlülükleri söz konusudur.
Kurumsal ölçekte quishing riskinin yönetimi; QR kod envanterinin çıkarılması, fiziksel alan denetimlerinin yapılması, dinamik QR yönlendirme kontrollerinin uygulanması, QR içeren e-postalarda görsel analiz yeteneklerinin geliştirilmesi ve düzenli quishing simülasyonları ile çalışan farkındalığının artırılması gibi tedbirleri gerektirir.
Özellikle finansal kuruluşlar bakımından; QR ile başlatılan işlemlerde anomali tespiti, dolandırıcılık izleme sistemleri ve kimlik doğrulama katmanlarının güçlendirilmesi, makul güvenlik standardının bir parçası olarak değerlendirilmelidir.
Sonuç
QR kodlar günlük hayatın ayrılmaz bir parçasıdır ancak kötüye kullanıldıklarında kişisel veriler açısından ciddi risk oluşturabilir.
Restoran menüsünden kurumsal e-postaya kadar uzanan geniş kullanım alanı, quishing’i düşük şüphe eşiğine sahip bir saldırı yöntemi hâline getirmektedir. Bu nedenle hem bireylerin bilinçli hareket etmesi hem de veri sorumlularının risk temelli güvenlik yaklaşımını güçlendirmesi gerekmektedir.
Quishing, artık yalnızca teknik bir siber tehdit değil; veri koruma uyumu, kurumsal sorumluluk ve risk yönetimi perspektifinden ele alınması gereken yapısal bir tehdit alanıdır.
Bilgilendirme Metni!
