Sızma testleri ya da Güvenlik Açığı Analizi denince çoğu kişinin ve kurumun aklına klasik ağ ve sistem testleri gelir. Ancak günümüzde sosyal mühendislik, özellikle de QR kod (quishing) saldırıları, siber güvenlik testlerinin vazgeçilmez bir parçası haline gelmiş durumdadır. Dışarıdan geçilemeyen güvenlik duvarlarının, ofis bekleme salonundaki bir afişteki QR kodla aşıldığı senaryolar sıkça karşılaşılmaya başlamıştır. Bu nedenle, sızma testi hizmetleri QR kod vektörünü mutlaka kapsamına almalıdır.
Peki bu saldırılar nasıl işliyor? Saldırgan, sahte bir “Wi-Fi şifresi” ya da “etkinlik kaydı” etiketi hazırlar. Kurban, telefonuyla bu kodu okuttuğunda zararlı bir siteye yönlendirilir. Bu site, kullanıcı bilgilerini çalan formlar, sahte MFA ekranları ya da cihazdan veri çeken kodlar içerebilir. Mobil tarayıcılar üzerinden gerçekleştiği için mobil güvenlik açıkları da devreye girer. Gerçek sızma testi senaryolarında, bu yöntemle elde edilen geçici erişim bilgileriyle sistemlerde yetki yükseltmek mümkün olabiliyor.
Profesyonel sızma testi ekipleri, bu tür saldırıları simüle ederek kurumun savunma reflekslerini ölçer. Hazırlanan raporlarda saldırı zinciri detaylı şekilde anlatılır ve kurumlar bu bulgulara göre risk değerlendirmesi yapar. QR kod içeren testler maliyeti artırsa da, olası bir veri sızıntısının yaratacağı zararın yanında bu maliyet oldukça düşüktür.
Savunma için öneriler net: Mobil cihazlarda zararlı bağlantıları tespit eden tarayıcılar kullanılmalı, ziyaretçi ağları izole edilmeli ve çalışanlara her QR kodun doğrulanması gerektiği öğretilmeli. Ayrıca yılda en az bir kez QR odaklı sızma testi yapılmalı. Kullanıcılara düzenli olarak farkındalık eğitimleri verilmelidir.
Basit bir kare gibi görünen QR kod, kurumun en zayıf noktasına açılan kapı olabilir.