GİRİŞ
Dijitalleşmenin hız kazanmasıyla birlikte teknolojik araçların gündelik yaşamın her alanında kullanılmaya başlanması beraberinde yeni hukuki sorunları da gündeme getirmiştir. Bu teknolojik araçların başında, son yıllarda kullanımı hızla yaygınlaşan QR (Quick Response) kodlar gelmektedir. QR kodlar, restoran menülerinin incelenmesinden çevrim içi ve çevrim dışı ürün veya hizmetlere ilişkin ödeme işlemlerinin gerçekleştirilmesine, internet sitelerine hızlı erişim sağlanmasından bilgi paylaşımına kadar gündelik yaşamın birçok alanında yaygın şekilde kullanılmaktadır. QR kod kullanımının ağırlıklı olarak mobil cihazlar aracılığıyla gerçekleştirilmesi ve bu cihazların bireylerin gündelik yaşamlarının ayrılmaz bir parçası hâline gelmesi, QR kod teknolojisinin erişilebilirliğini ve kullanım sıklığını artırmıştır.
Ne var ki bu kolaylık, ciddi güvenlik risklerini de beraberinde getirmektedir. Zira, QR kodlar aracılığıyla yönlendirilen içeriklere kullanıcılar tarafından çoğu zaman sorgulanmaksızın erişilmesi, kişisel verilerin güvenliği bakımından ciddi tehditler doğurabilmektedir. Bu kapsamda, kullanıcıların fiziksel veya dijital ortamlarda karşılaştıkları QR kodları taramaları sonucunda, farkında olmaksızın oltalama saldırısı olan “quishing” saldırıları hedefi hâline gelmeleri mümkün olabilmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), bireylerin kişisel verilerinin işlenmesinde temel hak ve özgürlüklerini korumayı amaçlamakta ve veri sorumlularına çeşitli yükümlülükler getirmektedir. Bu bağlamda, QR kodlar aracılığıyla gerçekleştirilen “quishing” saldırıları, yalnızca bir siber güvenlik meselesi olarak kalmayıp aynı zamanda doğrudan bir kişisel veri ihlali boyutu da taşımaktadır. Kişisel Verileri Koruma Kurumu (“Kurum”) da “QR Kodlarla Gelen Risk: ‘Quishing’” Başlıklı duyuru yayımlayarak işbu konu veri sahiplerini bilgilendirmiştir.
İşbu makalede, quishing saldırısının tanımı, işleyiş biçimi ve tespit yöntemleri ele alınacak olup ardından bu saldırı türünün KVKK kapsamındaki hukuki yansımaları ve veri sorumlularının yükümlülükleri değerlendirilecektir.
QUISHING KAVRAMI
A. Quishing Kavramı ve Teknik Altyapısı
QR kodlar; farklı türde veri türlerini barındırabilen ve mobil cihazlar ya da barkod okuyucular aracılığıyla hızlı şekilde taranabilen iki boyutlu barkodlardır. Günümüzde bu kodlar afiş ve broşür gibi fiziksel materyallerin yanı sıra, kısa mesajlar, sosyal medya içerikleri ve e-postalar gibi dijital ortamlarda da sıkça kullanılmaktadır.
Oltalama (phishing) ise, saldırganların e-posta, SMS veya sahte web siteleri aracılığıyla kullanıcıları kandırarak parola, kredi kartı ve kimlik bilgileri gibi kişisel verilerini çalmayı hedefleyen bir sosyal mühendislik türüdür.
“quishing” (QR phishing), “QR” (Quick Response) ve “oltalama” (phishing) kelimelerinin birleşiminden oluşan bir terimdir. Bu oltalama yöntemi, siber saldırganların sahte veya sonradan değiştirilmiş QR kodları aracılığıyla kullanıcıları kötü amaçlı internet sitelerine yönlendirmesi, onları kişisel verilerini paylaşmaya ikna etmesi veya cihazlarına zararlı yazılımlar yüklemelerine neden olması şeklinde ortaya çıkmaktadır. Bu kapsamda quishing saldırıları, QR kod teknolojisi ile oltalama tekniklerinin birlikte kullanıldığı bir siber saldırı türü olarak değerlendirilmektedir.
QR kodlar, “statik” ve “dinamik” olmak üzere iki kategoriye ayrılmaktadır. Statik QR kodlarda, kod oluşturulduktan sonra içerdiği bilginin değiştirilmesi söz konusu olmazken dinamik QR kodlar, görsel yapıları sabit kalmak kaydıyla yönlendirdikleri hedef içeriğin güncellenmesine imkân tanımaktadır. Dinamik QR kodların sağladığı bu esneklik, içeriklerin sık güncellenmesini gerektiren durumlar bakımından avantaj sağlamakla birlikte, bazı hallerde quishing saldırıları açısından önemli bir risk faktörü de teşkil edebilmektedir.
B. Quishing ile Geleneksel Oltalama Arasındaki İlişki
Genel olarak oltalama; saldırganların, güvenilir bir kişi ya da kurumdan geldiği izlenimi yaratan iletişimler aracılığıyla bireyleri yanıltmayı ve bu suretle onları kötü amaçlı internet sitelerine yönlendiren bağlantılara tıklamaya, kişisel verilerini paylaşmaya veya zararlı yazılım içeren eklenti ya da dosyaları indirmeye yönlendirmeyi hedefledikleri bir saldırı yöntemidir.
Bu tür saldırılar, uzun süre boyunca ağırlıklı olarak e-posta üzerinden gerçekleştirilmiş; bu süreçte bireylerin dikkatini çekmek ve güvenlerini kazanmak amacıyla ikna edici ve gerçekçi mesaj içeriklerinden faydalanılmıştır. Bununla birlikte, saldırganların daha yüksek başarı oranı elde etme yönündeki çabaları, oltalama yöntemlerinin zamanla çeşitlenmesine yol açmış ve farklı iletişim kanallarının devreye girmesiyle yeni oltalama türlerinin ortaya çıkmasına neden olmuştur. Bu çerçevede, sesli aramalar yoluyla gerçekleştirilen “vishing” (voice phishing), kısa mesajlar aracılığıyla yürütülen “smishing” (SMS phishing) ve QR kodlar üzerinden gerçekleştirilen “quishing”, oltalama saldırıları kapsamında kullanılan başlıca yöntemler arasında yer almaktadır.
C. QR Kodun Taranması Sonrasında Quishing Saldırısı
QR kodun taranmasının akabinde, kullanıcının kimlik doğrulama bilgileri veya kredi kartı verileri gibi hassas bilgilerini girmesinin talep edildiği bir sayfaya yönlendirilmesi, quishing saldırılarının en belirgin emarelerinden birini oluşturmaktadır. Bununla birlikte; açılan internet sayfasının, temsil ettiği ileri sürülen kurum veya hizmet ile uyumlu olmayan bir alan adına yönlendirme yapması, hizmet alınan ortamlarda, yetkili kurum ya da işletmeyle bağlantısı doğrulanamayan ödeme sayfalarına yönlendirilmesi, QR kodun taranmasını müteakip beklenmeyen dosya indirme işlemlerinin başlaması, ilave yönlendirmelerin gerçekleşmesi veya olağan dışı kullanıcı etkileşimlerinin ortaya çıkması gibi hususlar da quishing saldırısının belirgin göstergelerindendir.
QUISHING SALDIRILARININ KVKK KAPSAMINDA DEĞERLENDİRİLMESİ
A. Quishing Saldırısının Kişisel Veri İhlali Niteliği
KVKK’nın 12. maddesi uyarınca veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı erişimi engellemek ve kişisel verilerin güvenli bir şekilde muhafaza edilmesini sağlamak amacıyla gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Quishing saldırısı sürecinde kişiden sahte bir oturum açma arayüzü üzerinden kimlik doğrulama ya da ödeme bilgilerini girmesi istenebilmekte ve bu durum, finansal veriler dâhil olmak üzere kişisel verilerin yetkisiz kişilerce ele geçirilmesine yol açabilmektedir.
Bu çerçevede söz konusu saldırılar sonucunda kişisel verilerin hukuka aykırı şekilde ele geçirilmesi, somut olayın özelliklerine bağlı olarak ve özellikle veri sorumlusunun gerekli teknik ve idari tedbirleri almamış olması halinde, KVKK’nın 12. maddesi kapsamında bir kişisel veri güvenliği ihlali olarak değerlendirilebilecektir. Şöyle ki; yetkisiz üçüncü kişilerin, ilgili kişinin rızası olmaksızın ve hukuka aykırı biçimde kişisel verilerine erişim sağlaması, KVKK’nın öngördüğü kişisel veri güvenliği ilkesine ilişkin yükümlülüklerin ihlal edildiğine işaret edebilecektir.
Öte yandan bu süreç sonunda kötü niyetli kişiler, kimlik veya ödeme bilgileri gibi kişisel verileri ele geçirebilmektedir. Ele geçirilen bu verilerin arasında ad-soyad, iletişim bilgileri, finansal bilgiler ve kimlik doğrulamaya ilişkin bilgiler bulunmaktadır; bu tür bilgiler KVKK’nın 3. maddesi kapsamında “kişisel veri” sayıldığından, bunların hukuka aykırı biçimde elde edilmesi KVKK kapsamında değerlendirilmeyi zorunlu kılmaktadır.
B. Veri Sorumlularının Quishing Karşısındaki Yükümlülükleri
1. Teknik ve İdari Tedbir Alma Yükümlülüğü
Quishing saldırılarının kişisel veri ihlali boyutu taşıması, veri sorumlularının veri güvenliğine ilişkin yükümlülüklerini gündeme getirmektedir. Bu çerçevede veri sorumlularının faaliyet alanı ve veri işleme süreçleri dikkate alınarak, quishing riskine karşı gerekli güvenlik önlemlerini tesis edip etmedikleri somut olay bazında değerlendirilecektir. Özellikle bir işletmenin veya kurumun fiziksel mekânında yer alan QR kodların değiştirilmesi ya da dijital iletişim kanalları üzerinden sahte QR kodların müşterilere/kullanıcılara iletilmesi hâlinde, söz konusu işletme veya kurumun veri sorumlusu sıfatıyla yeterli güvenlik tedbirini alıp almadığı sorgulanabilecek olup bu durumda veri sorumlusunun gerekli gözetim ve güvenlik mekanizmalarını kurup kurmadığı önem arz etmektedir.
Bununla birlikte, veri sorumlusunun sorumluluğunun öngörülebilir risklere karşı makul güvenlik önlemlerini alıp almadığı çerçevesinde değerlendirilmesi gerekmekte olup tamamen üçüncü kişilerin müdahalesiyle ve öngörülemez şekilde gerçekleşen saldırılar bakımından sorumluluğun ayrıca değerlendirilmesi gerekecektir.
Ayrıca, QR kod altyapısının üçüncü taraf hizmet sağlayıcılar aracılığıyla yürütülmesi halinde, veri sorumlusunun bu hizmet sağlayıcıların veri güvenliğine ilişkin yükümlülüklerini de gözetmesi ve gerekli sözleşmesel ve teknik güvenceleri tesis etmesi gerekmektedir.
2. Veri İhlali Bildirimi Yükümlülüğü
KVKK’nın 12. maddesinin 5. fıkrası uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmek zorundadır. Kurul, uygun gördüğü durumlarda bu ihlali kamuoyuna duyurabilir.
Bu kapsamda quishing saldırısı sonucunda kullanıcıların kişisel verilerinin yetkisiz üçüncü kişilerin eline geçtiğinin tespit edilmesi durumunda, veri sorumlusunun veri ihlali bildirim yükümlülüğü gündeme gelebilecektir. Kurul’un yerleşik uygulamaları çerçevesinde, veri sorumlusunun ihlali öğrenmesinden itibaren gecikmeksizin harekete geçmesi ve mümkün olan en kısa sürede bildirimde bulunması beklenmektedir. Ancak Kurul tarafından yapılan yönlendirilmeler uyarınca bildirimin 72 saat içerisinde gerçekleştirilmesi gerektiği belirtilmektedir.
3. Aydınlatma Yükümlülüğü
KVKK’nın 10. maddesi uyarınca veri sorumluları, kişisel verilerin elde edilmesi sırasında ilgili kişileri bilgilendirmekle yükümlüdür. Bu kapsamda; QR kod aracılığıyla toplanan veriler de dahil olmak üzere, veri sorumlusunun dijital araçlar üzerinden gerçekleştirdiği her türlü veri toplama faaliyetinde aydınlatma yükümlülüğü geçerliliğini korumaktadır.
Bu çerçevede, veri sorumlusu tarafından sunulan QR kodların kullanılması suretiyle kişisel veri elde edilmesi halinde, ilgili kişilere söz konusu veri işleme faaliyetine ilişkin gerekli aydınlatmanın, verilerin elde edilmesi anında veya en geç bu anla eşzamanlı olarak yapılması gerekmektedir. Bu doğrultuda, veri sorumlusu tarafından yapılacak aydınlatmanın, ilgili kişilerin olası quishing saldırılarına karşı dikkatli olmalarını sağlayacak nitelikte olması, ilgili kişilerin kendi veri güvenliklerini korumaya yönelik tedbirler alabilmeleri bakımından önem arz etmektedir.
QUISHING SALDIRILARINA KARŞI ALINABİLECEK ÖNLEMLER
Quishing saldırıları, geleneksel oltalama yöntemlerinin temel özelliklerini büyük ölçüde barındırmakla birlikte, QR kodlar aracılığıyla gerçekleştirilmeleri nedeniyle uygulamada farklı görünümler altında ortaya çıkabilmektedir. Bu durum, söz konusu saldırıların değerlendirilmesi ve bunlara karşı farkındalığın artırılması bakımından, QR kod kullanımına bağlı olarak ortaya çıkabilecek risklerin ayrıca dikkate alınmasını zorunlu kılmaktadır.
Bu bağlamda bireylerin dikkat etmesi gereken başlıca hususlar Kuru’un “QR Kodlarla Gelen Risk: ‘Quishing’” başlıklı duyurusundan hareketle şöyle özetlenebilir:
- Kamuya açık alanlardaki QR kodlara karşı dikkatli olunmalı; sonradan yapıştırılma, hizasızlık veya pikselleşme gibi fiziksel değişiklikler olup olmadığı kontrol edilmeli ve şüpheli görünen kodlar taranmamalıdır.
- QR kodun kaynağı doğrulanmalı; kodlar yalnızca güvenilir kaynaklardan taranmalı, tanınmayan kişilerden veya beklenmedik e-posta/mesajlardan gelen QR kodları taramaktan kaçınılmalı ve özellikle aciliyet, panik veya merak duygusu uyandıracak şekilde kurgulanmış mesajlara karşı temkinli olunmalıdır.
- Güvenilir QR kod okuyucuları tercih edilmeli; üçüncü taraf bir uygulama kullanılması gerekmesi durumunda bu uygulamanın güvenilir olduğundan emin olunmalıdır.
- Yönlendirilen bağlantı incelenmeli; tarama sonrası ulaşılan bağlantının gerçekten doğru siteye veya mobil uygulamaya ait olup olmadığı kontrol edilmeli, yazım hataları, farklı karakterler veya alışılmadık uzantılar bulunup bulunmadığına dikkat edilmelidir.
- İlgili kodu taramanın ardından kişisel bilgileri talep eden bir bağlantıya yönlendirilmesi durumunda, bilgiler paylaşılmadan önce internet sitesinin doğruluğundan emin olunmalı, mümkünse ilgili adres tarayıcıya manuel olarak girilmelidir.
- Cihaz ve hesap güvenliği güçlendirilmeli; işletim sistemi güncel tutulmalı, güçlü parolalar belirlenmeli ve mümkünse çok faktörlü kimlik doğrulama kullanılmalıdır.
SONUÇ
Quishing saldırıları, QR kod teknolojisinin sunduğu kolaylıkların kötüye kullanılmasının bir sonucu olarak ortaya çıkmakta ve klasik oltalama yöntemlerinin gelişmiş bir görünümünü teşkil etmektedir. Bu saldırılar, kullanıcıların çoğu zaman farkında olmaksızın kişisel verilerini paylaşmalarına yol açmakta olup bu yönüyle yalnızca bir siber güvenlik meselesi olarak değil, aynı zamanda kişisel verilerin korunmasına ilişkin hukuki bir sorun olarak da değerlendirilmelidir.
Bu bağlamda quishing saldırıları sonucunda kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesi, somut olayın özelliklerine bağlı olarak KVKK kapsamında veri güvenliği ihlali niteliği taşıyabilecektir. Bu durum veri sorumlularının KVKK kapsamında özen yükümlülüğünü artırmaktadır. Dolayısıyla veri sorumlularının, QR kod kullanımının yaygınlaştığı faaliyet alanlarında quishing riskini göz önünde bulundurarak gerekli güvenlik önlemlerini tesis etmesi, üçüncü taraf hizmet sağlayıcılarını denetlemesi ve kullanıcıları bilinçlendirmeye yönelik adımlar atması önem arz etmektedir. Bununla birlikte, bireylerin de karşılaştıkları QR kodlara karşı temkinli yaklaşmaları ve temel dijital güvenlik farkındalığına sahip olmaları, bu tür saldırıların etkilerinin azaltılması bakımından kritik rol oynamaktadır.
