QR Kodlarla Gelen Risk: Quishing Nedir? Quishing Saldırıları Nasıl Gerçekleştirilir? 2026 Güncel

Yazan /

QR Kodlarla Gelen Risk: Quishing Nedir? Quishing Saldırıları Nasıl Gerçekleştirilir? (2026 Güncel Rehber)


Quishing nedir? QR kod üzerinden yapılan dolandırıcılık yöntemleri nasıl çalışır? Quishing saldırıları, hukuki sorumluluk ve korunma yolları hakkında 2026 güncel ve detaylı rehber.

Makale İçeriği

Quishing Nedir?

Quishing, “QR” ve “phishing” kelimelerinin birleşiminden oluşan bir siber dolandırıcılık yöntemidir. Klasik oltalama (phishing) saldırılarında e-posta veya SMS üzerinden zararlı bağlantılar gönderilirken; quishing saldırılarında bu bağlantılar QR kodlar aracılığıyla gizlenir.

Kullanıcı QR kodu taradığında, farkında olmadan:

  • Sahte bir internet sitesine yönlendirilebilir,
  • Zararlı bir dosya indirebilir,
  • Kimlik veya ödeme bilgilerini sahte bir arayüz üzerinden paylaşabilir.

QR kodların günlük hayatta yaygın kullanımı (menüler, ödeme sistemleri, kamu duyuruları, kargo işlemleri vb.) quishing saldırılarını daha tehlikeli hale getirmektedir.

Quishing Saldırıları Nasıl Gerçekleştirilir?

Quishing saldırıları, siber tehdit aktörlerinin QR kodlar aracılığıyla bireyleri kötü amaçlı internet sitelerine veya zararlı içeriklere yönlendirmesi mekanizmasına dayanır.

1️⃣ Sahte QR Kod Oluşturma

Saldırganlar:

  • Bilinen bir banka,
  • E-ticaret sitesi,
  • Kargo firması,
  • Kamu kurumu

taklit edilerek hazırlanmış sahte giriş sayfalarına yönlendiren bağlantılar oluşturur.

Bu bağlantılar QR koda dönüştürülür ve hedef kitleye ulaştırılır.

2️⃣ QR Kodun Yayılması

Oluşturulan zararlı QR kodlar:

  • Afiş, broşür, billboard gibi fiziksel alanlara yapıştırılabilir,
  • Gerçek QR kodların üzerine sahte etiket olarak yerleştirilebilir,
  • E-posta yoluyla görsel formatta gönderilebilir,
  • Sosyal medya paylaşımlarına eklenebilir.

Özellikle QR kodun e-posta içinde görsel olarak gönderilmesi, bağlantının doğrudan tespit edilmesini zorlaştırır. Çünkü bazı e-posta güvenlik sistemleri görsel içerik içindeki bağlantıyı analiz edemeyebilir.

3️⃣ Kullanıcının Yönlendirilmesi

Kişi QR kodu taradığında:

  • Sahte bir oturum açma sayfasına yönlendirilebilir,
  • “Hesabınız askıya alındı” uyarısıyla karşılaşabilir,
  • “Ödemeniz başarısız oldu” mesajı görebilir,
  • Güncelleme veya doğrulama yapması istenebilir.

Bu aşamada kullanıcıdan:

  • T.C. kimlik numarası,
  • Banka kartı bilgileri,
  • Şifreler,
  • SMS doğrulama kodları

istenebilir.

Girilen bilgiler doğrudan saldırganların kontrolüne geçer.

4️⃣ Zararlı Yazılım İndirme Senaryosu

Bazı quishing saldırılarında kullanıcı:

  • “Belgeyi görüntülemek için indir”,
  • “Faturayı PDF olarak aç”,
  • “Uygulamayı güncelle”

gibi yönlendirmelerle zararlı yazılım indirmeye teşvik edilir.

Bu yazılım sayesinde:

  • Telefona casus yazılım yüklenebilir,
  • SMS’ler okunabilir,
  • Bankacılık uygulamalarına erişim sağlanabilir.

En Sık Kullanılan Quishing Yöntemleri

  • 📌 Sahte kargo teslim bildirimi
  • 📌 Restoran menüsü kopyası
  • 📌 Otopark ödeme QR kodu
  • 📌 Sahte vergi/harç ödeme ekranı
  • 📌 Banka güvenlik doğrulama sayfası

Quishing ile Ele Geçirilen Veriler Nelerdir?

Quishing saldırıları sonucunda şu veriler risk altındadır:

  • Kimlik bilgileri
  • Banka ve kredi kartı bilgileri
  • İnternet bankacılığı şifreleri
  • SMS doğrulama kodları
  • E-posta hesapları
  • Kripto cüzdan bilgileri

Bu veriler:

  • Finansal dolandırıcılık,
  • Kimlik hırsızlığı,
  • Hesap boşaltma,
  • Sosyal medya ele geçirme

gibi ciddi sonuçlara yol açabilir.

Quishing ve Hukuki Sorumluluk

Quishing saldırıları Türk hukukunda çeşitli suç tipleri kapsamında değerlendirilir:

🔹 Türk Ceza Kanunu Kapsamında

  • Bilişim sistemine girme
  • Sistemi engelleme, bozma, verileri yok etme
  • Banka veya kredi kartlarının kötüye kullanılması
  • Nitelikli dolandırıcılık

Suçun niteliğine göre ağır hapis cezaları gündeme gelebilir.

🔹 Kişisel Verilerin Korunması Boyutu

Ele geçirilen kişisel veriler bakımından 6698 sayılı KVKK kapsamında:

  • Veri ihlali,
  • Veri güvenliği yükümlülüğünün ihlali

söz konusu olabilir.

Özellikle şirketlerin sahte QR kodla taklit edilmesi durumunda marka itibarı ve veri güvenliği sorumluluğu ayrı değerlendirilmelidir.

Quishing Mağdurları Ne Yapmalı?

Quishing mağduru olduysanız:

1️⃣ Bankanızı derhal arayın ve kartları kapattırın.
2️⃣ Şifrelerinizi değiştirin.
3️⃣ Savcılığa suç duyurusunda bulunun.
4️⃣ Banka itiraz sürecini başlatın.
5️⃣ KVKK kapsamında veri ihlali bildirimi yapılıp yapılmadığını kontrol edin.

Deliller (ekran görüntüsü, QR kod görseli, yönlendirme linki) mutlaka saklanmalıdır.

Quishing’den Nasıl Korunulur?

  • QR kodu taramadan önce kaynağını kontrol edin.
  • Fiziksel QR etiketlerinin sonradan yapıştırılmış olup olmadığını inceleyin.
  • Tarama sonrası açılan URL adresini mutlaka kontrol edin.
  • Bilinmeyen QR koddan ödeme yapmayın.
  • Mobil cihazlarda güvenlik yazılımı kullanın.

Sıkça Sorulan Sorular

Quishing ile phishing arasındaki fark nedir?

Phishing doğrudan bağlantı gönderir; quishing ise bağlantıyı QR kod içinde gizler.

QR kod taramak tek başına zararlı mı?

Hayır. Ancak yönlendirilen siteye bilgi girilmesi veya dosya indirilmesi risk oluşturur.

Banka paramı geri verir mi?

Somut olaya göre değişir. Bankanın güvenlik yükümlülüğü, kullanıcı kusuru ve işlem doğrulama süreçleri birlikte değerlendirilir.

Sonuç

QR kodlar hayatı kolaylaştırırken, siber suçlular için yeni bir dolandırıcılık alanı oluşturmuştur. Quishing saldırıları özellikle mobil kullanıcıları hedef almakta ve klasik oltalama yöntemlerinden daha zor tespit edilebilmektedir.

Dijital güvenlik bilinci ve hukuki farkındalık, bu risk karşısında en güçlü savunma aracıdır.

Resmî Kaynak

Quishing saldırılarına ilişkin teknik ve hukuki değerlendirmeler, Kişisel Verileri Koruma Kurumu tarafından yayımlanan rehberde ayrıntılı olarak ele alınmıştır.

KVKK’nın yayımladığı “QR Kodlarla Gelen Risk: QUISHING” başlıklı resmi dokümana aşağıdaki bağlantıdan ulaşabilirsiniz:

🔗 https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5OWVmNzMzOWE4YWM.pdf

Rehberde özellikle:

  • QR kod teknolojisinin kötüye kullanım yöntemleri
  • Sahte giriş ve ödeme ekranları
  • Görsel içerik içine gizlenen zararlı bağlantılar
  • Kişisel veri güvenliği açısından alınması gereken teknik ve idari tedbirler

detaylı biçimde açıklanmaktadır.

Bu rehber, 6698 sayılı KVKK kapsamında veri güvenliği yükümlülüklerinin yorumlanması bakımından yol gösterici niteliktedir.

Bu içerik sanalhukuk.org tarafından hazırlanmıştır.
Daha fazla güncel hukuk analizi ve siber suç rehberi için bizi takip edin.

SANAL HUKUK sitesinden daha fazla şey keşfedin

Subscribe to get the latest posts sent to your email.

Bunlar da İlginizi Çekebilir

Scroll to Top