Quishing: QR Kod Dolandırıcılığı Türkiye’de Yayılıyor — Otopark, Restoran ve Sokak Tuzakları (2026)

yazar

İçindekiler:

  1. Quishing Nedir? Phishing’in QR Versiyonu
  2. Sahte QR Kod Dolandırıcılığı Nasıl Çalışır?
  3. Türkiye’de Yaşanan Vakalar
  4. Otopark QR Tuzağı: En Yaygın Saldırı
  5. Restoran Menülerindeki QR Riskleri
  6. Sahte QR Kodu Tespit Etme
  7. Korunma Rehberi: 7 Altın Kural
  8. Sahte QR’ı Taradım, Ne Yapmalıyım?
  9. Sık Sorulan Sorular

Quishing Nedir? Phishing’in QR Versiyonu

Quishing kelimesi “QR” ve “phishing”in birleşimidir. QR kod aracılığıyla gerçekleştirilen phishing saldırılarını tanımlar.

Geleneksel phishing‘de saldırgan sahte bir e-posta veya SMS gönderir, kullanıcıyı sahte bir siteye yönlendirir. Quishing’de ise dijital değil, fiziksel bir saldırı yöntemi kullanılır: Saldırgan, sahte bir QR kodu gerçek bir QR kodun üzerine yapıştırır veya kamuya açık bir yere kendi sahte QR kodunu asar. Tarayan herkes, sahte bir siteye yönlendirilir.

Quishing’in tehlikeli yanları şunlardır:

QR kodlar görsel olarak birbirine çok benzer — gerçek ve sahte arasındaki farkı çıplak gözle anlamak imkânsızdır. Kullanıcı QR’ı tararken telefonun küçük ekranında URL’yi tam göremez. QR kodlar genellikle güvenli kabul edilir — kullanıcı şüphelenmez. Tarama anında kullanıcı acelededir (otoparkta, restoranda, bir etkinlikte) ve dikkatli kontrol yapmaz.

Sahte QR Kod Dolandırıcılığı Nasıl Çalışır?

Quishing saldırıları genellikle üç aşamada gerçekleşir:

Aşama 1 — Sahte QR kod yerleştirme: Saldırgan, gerçek bir hizmet noktasında (otopark, restoran, bilet otomatı, ödeme noktası) gerçek QR kodun üzerine kendi sahte QR kodunu yapıştırır. Yapıştırılan kod, gerçek olanla aynı renkte ve boyutta basılır — fark edilemez. Bazı vakalarda saldırgan, hiç var olmayan bir hizmet için (örneğin sahte bir “ücretsiz Wi-Fi” afişi) kendi QR’ını asar.

Aşama 2 — Kullanıcı yönlendirme: Kurban QR’ı tarar. Telefonu sahte bir web sitesini açar. Bu site, gerçek hizmet sağlayıcının sitesinin birebir kopyasıdır — aynı logo, aynı renkler, aynı düzen. Kullanıcı farkı anlayamaz.

Aşama 3 — Veri çalma: Sahte site, kullanıcıdan ödeme bilgilerini ister. Kart numarası, son kullanma tarihi, CVV ve 3D Secure SMS kodu girilir. Bu bilgiler doğrudan saldırgana ulaşır. Bazı vakalarda kullanıcı ödeme bile yapar — para gerçek otoparka değil, dolandırıcıya gider.

Saldırgan elde ettiği bilgilerle kartı online alışverişlerde kullanır veya bilgileri karaborsada satar.

Türkiye’de Yaşanan Vakalar

Quishing Türkiye’de özellikle büyük şehirlerde artan bir tehdittir. Sık karşılaşılan vaka türleri şunlardır:

Otopark QR tuzağı: En yaygın türdür. Otoparkın gerçek ödeme QR’ının üzerine sahte QR yapıştırılır. Kullanıcı ödeme yaptığını sanır ama hem para hem kart bilgisi gider.

Restoran menü sahteciliği: Restoran masalarındaki dijital menü QR kodları manipüle edilir. Kullanıcı menüyü açtığını sanır, sahte bir siteye gider — bazen sahte sipariş ödemesi alınır.

Şarj istasyonu dolandırıcılığı: Elektrikli araç şarj noktalarındaki ödeme QR’ları hedef alınır. Sahte QR, sahte ödeme sayfasına yönlendirir.

Sahte bağış afişleri: Kamuya açık yerlere “depremzedelere yardım”, “çocuklara destek” gibi başlıklarla sahte bağış afişleri asılır. QR taranınca dolandırıcının hesabına para gönderilir.

Kargo bildirimi sticker’ları: Apartman girişlerine veya posta kutularına “kargonuz var, QR ile takip edin” yazılı sahte sticker’lar yapıştırılır. QR sahte bir kargo sitesine yönlendirir.

Etkinlik bilet doğrulama: Konser, maç gibi etkinliklerde sahte “bilet doğrulama” QR kodları kullanılır.

Bu vakaların ortak özelliği: Hepsi kullanıcının QR’ı doğal olarak güvenli kabul ettiği bir bağlamda gerçekleşir.

Otopark QR Tuzağı: En Yaygın Saldırı

Otopark QR tuzağı Türkiye’de en sık görülen quishing biçimidir; her ay birçok yeni vaka basına yansımaktadır. Detayları anlamak korunma için kritiktir.

Neden otoparklar hedef: Otopark ödemesi yaparken insanlar genellikle acelededir — başka yere gitmek ister. QR taramak hızlı bir çözüm gibi gelir. Otopark personeli her zaman QR kodun yanında durmaz, sahte sticker fark edilmez. Ödenen tutar genellikle küçüktür (50-100 TL), bu yüzden kullanıcı sıkı bir doğrulama yapmaz.

Sahte sitenin özellikleri: Gerçek otopark sitesinin tasarımı kopyalanır. URL’de küçük farklılıklar vardır ama kullanıcı dikkat etmez. Site, kart bilgilerini ve 3D Secure SMS kodunu ister. Ödeme onaylanır gibi görünür — kullanıcı çıkar.

Sonradan ne olur: Birkaç gün veya hafta sonra kartta yetkisiz işlemler görülür. Saldırgan, elde ettiği bilgilerle online alışverişlerde işlem yapar veya bilgileri satar. Otoparka yapılan ödeme aslında gerçekleşmemiştir — kullanıcı bunu çıkarken fark etmez çünkü bariyer açılır (saldırgan bazen gerçek otoparkın ödemesini de yapar, izini kaybettirmek için).

Restoran Menülerindeki QR Riskleri

Pandemi sonrası dijital menüler yaygınlaştı. Bu kolaylık, beraberinde yeni bir saldırı vektörü getirdi.

Restoranlardaki dijital menü QR kodları, saldırganlar için kolay bir hedeftir. Saldırgan müşteri olarak gelir, masaya oturur ve gerçek QR’ın üzerine kendi sahte QR’ını yapıştırır. Sonraki müşteriler bu sahte QR’ı tarar.

Sahte restoran QR’ları genellikle şu yönlere yönlendirir: Menü yerine sahte bir “ödeme” sayfası açılır — kullanıcıdan masa numarası ve kart bilgisi istenir. Sahte bir “promosyon kazandınız” sayfası açılır — kişisel bilgi toplanır. Telefonun ayarlarına müdahale eden zararlı bir bağlantıya yönlendirir.

Korunma yöntemi: Restoran menüsünü QR ile açtığınızda yalnızca menü içeriği görmelisiniz. Ödeme bilgisi veya kart bilgisi isteniyorsa kapatın — gerçek restoranlar QR ile ödeme almaz, ödeme adisyonla yapılır.

Sahte QR Kodu Tespit Etme

Sahte QR’ı çıplak gözle ayırt etmek zordur ama bazı ipuçları yardımcı olabilir:

Fiziksel inceleme: QR kodun üzerine yapıştırılmış bir sticker olup olmadığını kontrol edin. Tırnağınızla hafifçe kazıyın — sahte QR genellikle gerçeğinin üzerine yapıştırılmıştır ve gevşek durabilir. Renk tutarsızlıkları, kenardaki kabarmalar şüphe işaretidir.

URL kontrolü: QR’ı taradığınızda telefon URL’yi önizleme olarak gösterir. Hemen açmadan URL’yi inceleyin. Resmi otopark, restoran veya hizmet sağlayıcının domaini olmalı. Tuhaf alt alan adları, yazım hataları veya bilinmeyen siteler sahtelik işaretidir.

Aciliyet baskısı: Sahte siteler genellikle “hemen ödeyin, bariyer kapanacak”, “30 saniye içinde tamamlayın” gibi aciliyet baskısı yapar. Gerçek hizmet sağlayıcılar bu baskıyı kurmaz.

Tanıdık olmayan ödeme alanları: Site, normalde gerekmeyecek bilgiler istiyorsa şüphelenin. Otopark için T.C. kimlik numarası, restoran ödemesi için ev adresi gibi istekler kırmızı bayraktır.

HTTPS ve sertifika kontrolü: Adres çubuğundaki kilit simgesini kontrol edin. Sertifika doğrulanmamışsa veya kuruma değil bir bireye aitse şüphelenin.

Korunma Rehberi: 7 Altın Kural

1. Acele etmeyin: Quishing’in en büyük müttefiği zamansızlıktır. Otoparkta, restoranda, etkinlikte — QR taramadan önce birkaç saniye ayırın ve durup düşünün.

2. QR’ı taramadan fiziksel olarak inceleyin: Üzerine yapıştırılmış sticker var mı? Kenar kabarmaları, renk farkları, hizalama bozuklukları var mı?

3. URL’yi tarama sonrası kontrol edin: Telefon URL’yi önizler. Açmadan önce okuyun. Tuhaf bir şey varsa açmayın.

4. Bilinmeyen kaynaklardan QR taramayın: Sokağa asılmış afişlerden, kapı arkalarına yapıştırılmış sticker’lardan, anonim broşürlerden QR taramaktan kaçının.

5. Ödeme için sanal kart kullanın: QR ile ödeme yapacaksanız, ana kart yerine düşük limitli sanal kart kullanın. Sahte siteye düşseniz bile zarar sanal kartın limitiyle sınırlı kalır.

6. Personelden teyit isteyin: Otoparkta, restoranda QR ödemesi yapıyorsanız, personele sorun: “Bu QR kod sizin mi? Doğru yer mi?” Sahte QR çoğunlukla bu basit kontrolle elenir.

7. Alternatif ödeme yöntemini tercih edin: Şüpheniz varsa, nakit, doğrudan POS, veya işletmenin resmi uygulaması üzerinden ödeme yapın. QR’ın tek seçenek olduğu durumlar nadirdir.

Sahte QR’ı Taradım, Ne Yapmalıyım?

Eğer sahte bir QR taradığınızı ve bilgi girdiğinizi fark ederseniz, hızlı hareket etmeniz gerekir.

Adım 1 — Kartı hemen kilitleyin: Banka uygulamanızdan veya müşteri hizmetlerinden kartınızı anında kilitleyin. Kart bilgileri çalınmış olabilir.

Adım 2 — Bankayı arayın: Durumu detaylıca anlatın. “Sahte QR kod aracılığıyla kart bilgilerimi sahte siteye girdim” deyin. Banka şüpheli işlemleri izlemeye alabilir.

Adım 3 — Yetkisiz işlem fark ederseniz chargeback: Hesabınızdan yetkisiz çekim yapılırsa, bankaya chargeback başvurusu yapın. Sahte QR aracılığıyla yapılan dolandırıcılığı belgeleyin. Visa Reason Code 10.4 (yetkisiz işlem) veya phishing kapsamında değerlendirilir.

Adım 4 — Suç duyurusu yapın: Emniyet Siber Suçlar Birimi’ne (cybercrime.pol.tr) veya Cumhuriyet Savcılığı’na suç duyurusunda bulunun. Sahte QR’ın bulunduğu yeri, tarama zamanı ve sahte sitenin URL’sini bildirin.

Adım 5 — Fiziksel QR’ı bildirin: Sahte QR’ı bulduğunuz yerin yönetimine (otopark işletmesi, restoran sahibi) bildirin. Onlar QR’ı kaldırarak sonraki kurbanları engeller.

Sık Sorulan Sorular

QR kod taramak güvenli mi?

QR kodun kendisi güvensiz değildir — sadece bir URL veya bilgiyi dijital biçime dönüştürür. Asıl risk, QR’ın yönlendirdiği siteyle ilgilidir. Güvenli bir QR’ı (örneğin tanınmış bir marka tarafından kontrollü ortamda yerleştirilmiş) taramak güvenlidir. Bilinmeyen ortamlardaki QR’lar risklidir.

QR’ı tarayıp URL’yi gördüm ama açmadım, risk var mı?

Genelde hayır. Yalnızca URL’yi görmek zararlı değildir. Risk, o URL’yi açıp bilgi girdiğinizde başlar. URL şüpheliyse kapatın ve siteyi açmayın.

Otoparkta QR yerine başka ödeme yöntemi yoksa ne yapmalıyım?

Personelden teyit alın — “Bu QR otoparkın resmi QR’ı mı?” Mümkünse otoparkın resmi uygulamasını telefonunuza indirin ve oradan ödeyin. Sanal kart kullanarak QR ödemesi yapın. Şüpheniz devam ediyorsa, başka bir otopark tercih edin.

Sahte QR ile ödediğim para geri gelir mi?

Bankaya hızlı bildirim yaparsanız chargeback ile iade mümkün olabilir. Sahte QR aracılığıyla yapılan ödemeler phishing kapsamında değerlendirilir; banka iç politikalarına ve sunulan belgelere göre değişen oranlarda iade kararları çıkmaktadır. Erken bildirim başarı şansını artırır. Banka ret kararı verirse Tüketici Hakem Heyeti’ne başvuru yolu açıktır.

QR tarayıcı uygulaması fark eder mi?

Modern akıllı telefonların yerleşik kamera uygulaması QR tarama yapar ve URL önizlemesi gösterir. Üçüncü taraf QR tarayıcı uygulamaları gerekmez ve hatta bazıları zararlı olabilir. Yerleşik kamera uygulamasını kullanın.

Yaşlı aile üyelerimi nasıl koruyabilirim?

Quishing özellikle yaşlı kullanıcıları hedef alır. Yaşlı aile üyelerinize: bilinmeyen QR’ları taramamalarını, ödeme yaparken mutlaka personelden teyit almalarını ve kart bilgisi girilen herhangi bir adımda telefonu kapatıp sizi aramalarını öğretin. Onların kartlarına düşük limit tanımlayarak olası zararları sınırlayın.

Bu içerik yalnızca bilgilendirme amaçlıdır ve hukuki/finansal danışmanlık niteliği taşımaz. Quishing vakalarındaki banka değerlendirmeleri vakaya, sunulan belgelere ve banka politikalarına göre değişir; karşılaşılan bir durumda kendi bankanız, Emniyet Siber Suçlar Birimi ve gerekirse bir avukatla iletişime geçin.

Yorum yapın

Gizlilik PolitikasiHakkimizdaIletisimKullanim Sartlari
Yasal Uyarı ve Sorumluluk Reddi: FinansalCozum.com'da yer alan tüm içerikler, makaleler ve rehberler tamamen bilgi paylaşımı ve eğitim amaçlıdır. Sitemiz hiçbir şekilde resmi bir yatırım, kredi, hukuk veya finansal danışmanlık hizmeti sunmamaktadır. Burada yer alan bilgiler bir yatırım tavsiyesi (YTD) niteliği taşımaz. İşlem yapmadan önce mutlaka kendi bankanızla veya resmi kurumlarla teyit etmeniz önerilir. © 2026 FinansalCozum.com - Tüm Hakları Saklıdır.