E-postalara gömülen QR kodlar, oltalama (phishing) ve dolandırıcılık faaliyetlerinde uzun süredir kullanılan bir yöntem. Nitekim 2025 yılının ikinci yarısında, Kaspersky tarafından tespit edilen QR kod tabanlı oltalama saldırılarında beş katlık bir artış kaydedilmişti. Kaspersky araştırmacıları şimdi de saldırganların, QR kodlarını geleneksel görseller yerine metin karakterleri kullanarak oluşturduğu yeni bir oltalama yöntemi keşfetti. Bu yöntem, zararlı QR kodlarının; görsel tarama veya bağlantı (link) tespitine dayanan birçok e-posta güvenlik çözümünü atlatmasına olanak tanıyor.
Metin karakter dizileriyle oluşturulmuş zararlı bir QR kod örneği
İlk bilgisayarlar gerçek grafikleri işleme yeteneğine sahip değildi ve bu cihazlardaki görseller tamamen metin karakterlerinden meydana geliyordu. Tarihsel olarak bu işlem, 1963 yılında kullanıma sunulan ASCII (Amerikan Standart Kod Değişim Modu) karakter setindeki sembollerle yapılıyordu. Bu teknikle oluşturulan görsellere “ASCII grafikleri” (ASCII art) adı verildi. Daha sonraki dönemlerde görseller oluşturmak için Unicode gibi farklı karakter setlerinden de yararlanılsa da “ASCII grafikleri” terimi kalıcı oldu.
ASCII grafiğine bir örnek
2000’li yıllarda spam göndericileri, metin sembollerinden inşa edilen bu tarz görselleri zaten kullanıyordu. Saldırganlar, gömülü görseller yerine metin tabanlı grafikleri tercih ederek, resimlerin içindeki gizli URL’leri analiz eden tespit mekanizmalarına yakalanmamayı amaçlıyordu.
QR kod oluşturmak için ASCII grafiklerinin kullanıldığı bu yeni oltalama şeması, Kaspersky’nin daha önce dikkat çektiği görsele gömülü QR kod saldırılarıyla benzer bir işleyişe sahip. Kurbanlar, iş ortaklarından gelmiş gibi görünen ve DocuSign üzerinden imzalanması gereken “gizli bir belge” içerdiğini iddia eden bir e-posta alıyor. İletide alıcıya, belgeye erişmek için bir QR kodunu taratması talimatı veriliyor. Kod taratıldığında ise kullanıcı, kurumsal kimlik bilgilerinin talep edildiği sahte bir web sitesine yönlendiriliyor. QR kodun metin karakterleriyle yapılandırılmış olması sebebiyle, birçok güvenlik çözümü herhangi bir şüpheli bağlantıyı tespit edemiyor.
Kaspersky Anti-Spam Uzmanı Roman Dedenok konuya ilişkin şu değerlendirmede bulunuyor: “Daha önce phisher’ların (oltalama saldırganlarının), URL’leri görsellerin içine gizleyerek bağlantı taramalarından kaçmaya çalıştıklarını görüyorduk. Bu kez bir QR kodu oluşturmak için yeniden metne dönerek görsel tabanlı taramaları atlatmaya çalışıyorlar. Bir QR kodunun, bir kullanıcıyı mobil cihazı üzerinden kurumsal kimlik bilgilerini girmeye zorladığı her durum anında şüphe uyandırmalıdır. QR kod metinsel bir ASCII sanatıyla oluşturulmuşsa, bu neredeyse kesinlikle bir oltalama girişimi veya zararlı bir URL tuzağıdır. Bu hilenin tek bir amacı var: Güvenlik teknolojilerini devre dışı bırakmak.”
Kaspersky, bu tehdide karşı korunmak için; spam, e-posta kaynaklı enfeksiyonlar, oltalama saldırılarının tüm formları, iş e-postalarının ele geçirilmesi (BEC), QR kod saldırıları ve diğer tehditleri engelleyerek güvenli bir kurumsal e-posta alışverişi sağlayan Kaspersky Security for Mail Server gibi kendini kanıtlamış bir posta sunucusu güvenlik çözümünün devreye alınmasını öneriyor.
