QR kodlar hayatı hızlandırdı. 2026’da ise saldırganlar aynı hızı tersine çevirdi: Quishing (QR phishing). Yani QR kodla sizi sahte bir sayfaya yönlendirip; şifre, kart bilgisi, banka onayı veya uygulama yükletme gibi adımlarla dolandırma.
Quishing’in gücü şurada: Link görünmez. İnsan beyni QR’ı “teknik ve güvenli” sanıyor. Oysa QR, sadece bir yönlendirmedir; güvenli olan QR değil, gittiğin adrestir.
Bu yazıda, en sık görülen 3 quishing versiyonunu ve her biri için pratik korunma rutinini netleştiriyoruz.
Quishing Nedir? (Tek Cümle)
Quishing, QR kod üzerinden sahte site/uygulamaya yönlendirme yaparak kullanıcıdan bilgi/para/erişim almaya çalışan phishing türüdür.
1) Menü QR: “Restoranda Başlar, Bankada Biter”
Nasıl Kurulur?
- Masadaki menü QR’ının üstüne sahte bir QR etiketi yapıştırılır.
- Sen tararsın, sayfa açılır.
- Sayfa “Wi-Fi”, “kampanya”, “ödeme”, “sipariş doğrulama” gibi adımlar ister.
2026 Varyasyonu
- Sahte menü sayfası gerçek restoran sitesine benzer.
- “Puan kazanın” diyerek telefon numarası/e-posta ister.
- Ardından SMS ile “onay” linki gelir → zincir büyür.
3 Pratik Kontrol
- QR tarayınca açılan sayfada alan adına bak (markaya benziyor mu?)
- Tarayıcı “bildirim izni” isterse çık
- “Uygulama indir” diyorsa çık
2) Kargo QR: “Paket Üzerinden Tıklatır”
Nasıl Kurulur?
- Kapıya gelen kargonun üstünde QR etiketi olur:
- “Adres doğrula”
- “Teslimat planla”
- “Gümrük ücreti”
- QR, sahte ödeme sayfasına götürür.
2026 Varyasyonu
- Sayfa, gerçek kargo firmasının tasarımını taklit eder.
- Küçük tutarlarla başlar (39 TL gibi).
- Kart bilgisi girildiğinde; arka planda daha büyük çekim veya abonelik tetiklenebilir.
3 Pratik Kontrol
- Kargo için QR yerine resmî uygulama veya takip numarası kullan
- Ödeme isteniyorsa, firmayı kendin arayıp doğrula (QR’dan değil)
- “Acele” dili varsa (30 dk içinde) alarm
3) Fatura QR: “Kurumsal Görünür, Hesabını Boşaltır”
Nasıl Kurulur?
- E-posta ile fatura gelir (PDF).
- PDF içinde QR vardır: “Öde”, “İndir”, “Doğrula”
- QR, sahte bankacılık sayfasına veya zararlı indirmeye götürür.
2026 Varyasyonu
- “İcra/uyarı/son ödeme” diliyle baskı kurulabilir.
- Kurumsal logolar ve gerçek şirket isimleri kullanılır.
- QR, “giriş yap” ekranına çıkar ve bilgileri toplar.
3 Pratik Kontrol
- Faturayı QR ile değil, şirketin resmî kanalıyla doğrula
- PDF içinde “macrolu/indirilebilir dosya” varsa açma
- Ödeme sayfasında banka adı/logosu görünse bile URL kontrolü yap
Quishing’i 10 Saniyede Anlamanın 4 Alarmı
Aşağıdakilerden biri varsa dur:
1) Sayfa bildirim izni istiyor
2) “Uygulama indir” diyor
3) “Giriş yap / şifre gir / SMS kodu gir” diyor
4) Çok kısa sürede işlem yapmanı istiyor (“hemen”, “son 15 dk”)
QR güvenli değil; alan adı ve davranış güvenli.
“Taradın mı?” 20 Saniyelik Güvenli Rutini
1) Taradın → açılan sayfada domaine bak
2) Bildirim/izin istemişse çık
3) Ödeme/giriş istiyorsa çık
4) İşlem gerekiyorsa QR’dan değil, resmî uygulama/siteden yap
İşletmeler İçin Mini Not (Kuyumcu, Kafe, Ofis)
- Menü/ödeme QR’larını düzenli kontrol et (üstüne etiket yapıştırılabiliyor)
- QR’ın yanında kısa bir cümle bulunsun:
“Taradıktan sonra adres çubuğunda yalnızca [resmî alan adınız] görünmelidir.” - Müşteri şüphe duyduğunda alternatif sun: yazılı menü / kasada ödeme / link mesajla değil kurumsal sayfadan
Quishing’in üç versiyonu da aynı şeyi kullanır:
Hız + görünmez link + acele baskısı.
2026’da korunma kuralı basit:
- QR’ı değil, gittiğin adresi doğrula.
- “İzin/indir/şifre” istiyorsa çık.
- İşlemi QR’dan değil, resmî kanaldan yap.
Sessiz güç burada başlar:
refleksle taramak değil, 10 saniye kontrol etmek.
