info@srp-legal.com
Şakayıklı Sokak No:10 | Levent 34330 | İstanbul | Türkiye
 

Güncel BilgilerBir Kare Kod, Çoklu Risk: Kişisel Verileri Koruma Kurumundan “Quishing Tehdidi” Uyarısı

27 Şubat 2026

QR kodlar; restoran menülerinden ödeme sistemlerine, kampanya katılımlarından internet sitelerine yönlendirmelere kadar gündelik hayatın birçok alanında yaygın olarak kullanılmaktadır. Özellikle mobil cihazlar aracılığıyla hızlı erişim sağlaması, QR kod teknolojisinin kullanım sıklığını artırmıştır.

Ancak bu pratik kullanım, siber güvenlik ve kişisel verilerin korunması açısından yeni riskleri de beraberinde getirmektedir. Son dönemde artış gösteren “quishing” saldırıları, QR kodlar aracılığıyla gerçekleştirilen oltalama (phishing) faaliyetlerinin özel bir türü olarak dikkat çekmektedir.

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 26.02.2026 tarihinde yayınlanan kamuoyu duyurusu ile son dönemde artış gösteren “quishing” saldırılarına karşı uyarıda bulunulmaktadır.

  1. Quishing Nedir?

Quishing (QR + phishing), kullanıcıların fiziksel veya dijital ortamlarda karşılaştıkları sahte QR kodları taramaları suretiyle zararlı internet sitelerine yönlendirilmesi ve bu yolla kişisel verilerinin, finansal bilgilerinin veya kimlik doğrulama bilgilerinin ele geçirilmesini amaçlayan bir siber saldırı yöntemidir.

Bu saldırılar genellikle:

  • Sahte ödeme sayfaları,
  • Banka veya e-devlet benzeri arayüzler,
  • Kampanya/ödül vaadi içeren internet siteleri,
  • Zararlı yazılım indirme bağlantıları

üzerinden gerçekleştirilmektedir.

  1. Quishing Saldırıları Nasıl Gerçekleştirilir?

Quishing saldırıları hem fiziksel hem de dijital ortamlarda kurgulanabilmektedir:

Fiziksel Ortamda:

  • Restoran, kafe veya kamuya açık alanlardaki gerçek QR kodların üzerine sahte QR etiketleri yapıştırılması,
  • Kargo, fatura veya resmi belge görünümündeki materyaller üzerinde yer alan sahte QR kodlar,
  • Otopark ödeme alanları veya toplu taşıma duraklarındaki yönlendirme kodları.

Dijital Ortamda:

  • E-posta veya SMS yoluyla gönderilen QR kod görselleri,
  • Sosyal medya veya mesajlaşma uygulamaları üzerinden paylaşılan kampanya kodları,
  • Kurumsal iletişim izlenimi veren sahte duyurular.

QR kodlar tarandığında kullanıcı doğrudan bağlantıya yönlendirildiğinden, klasik phishing saldırılarında görülebilen şüpheli bağlantı (URL) kontrolü çoğu zaman atlanabilmektedir.

  1. Hukuki ve Veri Koruma Boyutu

Quishing saldırıları;

  • Kişisel verilerin hukuka aykırı olarak elde edilmesine,
  • Bankacılık ve ödeme sistemleri bakımından dolandırıcılık fiillerine,
  • Kimlik hırsızlığına,
  • Kurumların veri güvenliği yükümlülüklerinin ihlaline

sebebiyet verebilmektedir.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri sorumluları, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür. Kurumların QR kod tabanlı sistemler kullanması hâlinde, bu altyapının güvenliğini sağlamak ve kullanıcıları bilgilendirmek önem arz etmektedir.

  1. Quishing Saldırıları Nasıl Tespit Edilebilir?

Aşağıdaki hususlar şüphe göstergesi olabilir:

  • QR kodun yapıştırma veya sonradan eklenmiş izlenimi vermesi,
  • Yönlendirilen internet sitesinin alan adının (domain) resmi kurum/şirket adıyla birebir örtüşmemesi,
  • HTTPS sertifikasının bulunmaması,
  • Aşırı aciliyet içeren mesajlar (“Hemen ödeme yapın”, “Hesabınız askıya alınacak” vb.),
  • Gereksiz veya olağandışı kişisel veri talebi.
  1. Bireyler İçin Koruyucu Önlemler
  • Kaynağı belirsiz QR kodları taramaktan kaçınılmalıdır.
  • Fiziksel ortamlarda QR kodun sonradan yapıştırılmış olup olmadığı kontrol edilmelidir.
  • QR tarama sonrasında açılan bağlantının alan adı dikkatle incelenmelidir.
  • Mobil cihazlarda güncel güvenlik yazılımları kullanılmalıdır.
  • Bankacılık ve kritik işlemler mümkün olduğunca doğrudan resmi uygulamalar üzerinden gerçekleştirilmelidir.
  • Şüpheli durumlarda ilgili kurum ile doğrudan iletişime geçilmelidir.

Sonuç

QR kod teknolojisi kullanım kolaylığı ve hız avantajı sağlamakla birlikte, quishing saldırıları bireyler ve kurumlar açısından ciddi siber güvenlik ve veri koruma riskleri doğurmaktadır. Bu nedenle hem kullanıcıların bilinçlendirilmesi hem de kurumların teknik ve idari güvenlik önlemlerini güçlendirmesi büyük önem taşımaktadır.

Kişisel Verileri Koruma Kurumu tarafından yayınlanan kamuoyu duyurusu ve “QR kodlarla gelen risk:Quishing” rehberine aşağıdaki linkten ulaşabilirsiniz.

QR Kodlarla Gelen Risk: Quishing | Kişisel Verileri Koruma Kurumu

Konuyla ilgili detaylı bilgi edinmek ve uyum sürecinde profesyonel destek almak için bizimle her zaman iletişime geçebilirsiniz.

İşbu hukuki duyuru güncel hukuki konular hakkında sadece genel bilgilendirme amacı ile hazırlanmış olup, Hukuki Duyuru içerisinde yer alan değerlendirmeler hukuki tavsiye ya da hukuki görüş niteliği teşkil etmemektedir. İşbu Hukuki Duyuru içeriğinden dolayı herhangi bir şekilde SRP-Legal Hukuk Ofisine sorumluluk tahmili mümkün değildir. Bu Hukuki Duyuru kapsamındaki soru ve sorunlarınız bakımından hukuki danışman görüşü alınması tavsiye edilir.

<<<
Kişisel Verileri Koruma Kurulu Tarafından Yapay Zekâ Asistanlarına İnceleme Başlatıldı.
>>>
Sadakat Kartlarında Yeni Dönem: Kişisel Verileri Koruma Kurumundan Sadakat Kart Uygulamalarında Doğrulama Zorunluluğu