QR kodlarının benimsenmesi, pandemi ve sağlık geçişinin uygulanmasıyla büyük ölçüde artırıldı. Bu yaygınlık, siber suçluların kimlik avı da dahil olmak üzere kötü amaçlı kampanyalar yürütmek için bu teknolojiyi kullanma ilgisini ateşledi. Şu anda QR kodları aracılığıyla siber saldırıları tespit edecek bir siber koruma sistemi bulunmadığından risk daha da büyüktür.
Barlarda ve restoranlarda, reklam afişlerinde ve hatta spor ve kültürel etkinlikler için biletlerde bulunan QR kodları, son tüketicilerle sınırlı bir kullanışlılığa sahip gibi görünüyor. Ancak, profesyonel ve kişisel alanlar arasındaki çizgi çok bulanık hale geldi. Örneğin, işte çalışanlar kişisel cihazları profesyonel amaçlar için kullanmaktan çekinmezler ve bunun tersi de geçerlidir.
Profesyonel bağlamda QR kodları, yeni bir standart
Son yıllarda siber tehditlerin daha fazla farkına varan kuruluşlar, özellikle çalışanların akıllı telefonları aracılığıyla SMS veya push mesajı ile kimlik doğrulaması yoluyla çok faktörlü kimlik doğrulama (MFA) uygulamıştır. Bazen şirket otoparklarına erişmek veya ortak çalışma alanlarında bir toplantı odası rezervasyonu yapmak için QR kodlarının taranması da gerekir. Kişisel cihazlar bu nedenle kurumsal BT ortamına giriş noktası haline geldi.
Siber suçlular daha sonra kurumsal altyapıya müdahale etmek için bu kişisel akıllı telefonları tehlikeye atmaya çalışır. Meşru bir siteye benzeyen bir web sayfası oluşturmak, örneğin bir etikete basılmış bir QR kodunu ilişkilendirmek ve ikincisini örneğin gerçek QR kodunun üzerine yapıştırmak gerçekten de nispeten basittir.
Bu tekniği kullanarak, sisteme erişime izin veren Office 365 oturum açma penceresini ele geçirmek ve kullanıcı kimlik bilgilerini çalmak mümkündür. Bu tanımlayıcı hırsızlığı, böylece her türlü veriye erişmeyi mümkün kılar.
Sahte QR kodlarına karşı temel araçlar olan eğitim ve uyanıklık
Gerçekte, kullanıcıların bir Microsoft 365 Kimliği ile oturum açmasına izin veren herhangi bir site güvenlik açığına sahiptir ve sahte bir QR kodu aracılığıyla sahte olabilir. Şu anda, bu tür dolandırıcılığı tespit etmek için hiçbir teknolojik çözüm bulunmamaktadır. Bu eksikliklerin üstesinden gelmek için bu nedenle insanlara yönelmek gerekiyor: Kullanıcıların siber eğitimi artık QR kodlarına ve ilgili iyi uygulamalara ayrılmış bir bölüm içermelidir.
Güvenlik ekipleri bu kötü niyetli teknikleri engelleyemez, bu nedenle çalışanlar tehdide karşı tek kalkandır.
Gerçekten de, kötü niyetli QR kodları, sunabilecekleri tüm risklerle birlikte, tıpkı bir e-postadaki hiper metin bağlantısı gibi, yeni bir kimlik avı modudur. Bu nedenle bilinmeyen veya şüpheli bir kaynaktan tarama yapılmamalı; tıpkı bir tarayıcı araması yoluyla doğrudan ilgili web sitesine gitmenin tercih edilmesi gibi. Güvenli ve orijinal olduğundan emin olmak için taranan QR kodunun bağlantı adresini kontrol etmek de iyi bir ipucudur. İyi bir siber hijyeni benimseyen çalışanlar, cihazlarının ve nihayetinde şirketlerinin verilerinin tehlikeye atılmamasını sağlar.
Artık çalışanların kişisel cihazları, akıllı telefonlar gibi kurumsal BT ortamına entegre edildiğinde, BT ekiplerinin ilgili risklere dikkat etmesi gerekiyor. Çalışanları, siber güvenlik eğitimi yoluyla, mesai saatleri dışında da uyanık olmaları gerektiği konusunda bilinçlendirmek çok önemlidir. Ortalama bir kişinin bir siber suçlunun hedefi olamayacağı fikri tehlikeli bir önyargıdır. Gerçekten de herkes daha büyük bir bilgi işlem ortamına açılan bir kapı olabilir, bu da her akıllı telefonun saldırıya uğrayabileceği anlamına gelir.
