QR Kod Oltalaması (Quishing) Nedir, KOBİ‘ler Nasıl Korunur? 2026 Rehberi
22.05.2026
13:12
Xen Bilişim
Geçen ay bir müşterimizin muhasebe sorumlusu paniğe kapılmış halde aradı: e-posta kutusuna "bekleyen e-fatura" başlıklı, kurumsal görünümlü bir mesaj gelmiş, içinde de "belgeyi görüntülemek için telefonunuzla QR kodu okutun" yazıyormuş. Neyse ki okutmadan önce bizi aradı. Çünkü o QR kodun arkasında, Microsoft 365 giriş ekranının birebir kopyası olan sahte bir oltalama sayfası vardı. Bu saldırı türünün adı quishing ve 2026'da Türkiye'deki KOBİ'lerin en hızlı büyüyen siber tehdidi haline geldi. 20 yıllık saha tecrübemizde bu kadar hızlı yayılan bir saldırı tekniği az gördük.
Quishing (QR Kod Oltalaması) Nedir?
Quishing, "QR" ve "phishing" kelimelerinin birleşiminden gelir. Klasik oltalamada kötü niyetli bir bağlantı (link) e-postanın içine metin olarak gömülür. Quishing'de ise bu bağlantı, bir QR kod görseline dönüştürülür. Kurban e-postayı bilgisayarında açar, ama QR kodu okutmak için elindeki telefona uzanır. İşte tam bu noktada saldırı, şirketin tüm güvenlik kalkanlarını atlar: telefon çoğu zaman kurumsal güvenlik politikalarının dışındadır, küçük ekranda sahte URL'yi fark etmek zordur ve dikkat dağınıktır.
Quishing 2026'da Neden Bu Kadar Patladı?
Rakamlar tek başına hikayeyi anlatıyor. Microsoft'un 2026 ilk çeyrek tehdit raporuna göre, şirket bu dönemde 8,3 milyar e-posta tabanlı oltalama tehdidi analiz etti ve QR kodlu oltalama saldırıları yalnızca üç ayda %146 arttı. 2025 boyunca tüm oltalama saldırılarının yaklaşık %12'si bir QR kod içeriyordu. Palo Alto Unit 42 ekibi günde ortalama 11.000'den fazla zararlı QR kod tespit ediyor.
Saldırganların QR koda yönelmesinin nedeni basit: işe yarıyor. Üst düzey yöneticilerin (C-level) 2025'te QR kod oltalamasına kanma ihtimali, sıradan çalışanlara göre 40 kat daha yüksek çıktı. İngiltere'de Nisan 2024–Nisan 2025 arasında 784 quishing vakası bildirildi ve kayıplar yaklaşık 3,5 milyon sterline ulaştı.
Saldırı Adım Adım Nasıl İşliyor?
Tuzak: Çalışana "e-fatura bekliyor", "kargo teslimat onayı", "İK belgeniz hazır" ya da "Microsoft 365 parolanızın süresi doluyor" gibi aciliyet hissi yaratan bir e-posta gelir.
QR kod: E-postanın içinde, belgeye/sayfaya ulaşmak için okutulması istenen bir QR kod bulunur. Bağlantı metin değil, görsel olduğu için filtrelere takılmaz.
Geçiş: Çalışan telefonuyla kodu okutur. Telefon, kurumsal güvenlik katmanlarının (filtreleme, DNS koruması) dışındadır.
Hasat: Açılan sahte Microsoft 365 sayfasına kullanıcı adı ve parola girilir. Saldırgan artık şirket hesabının içindedir.
Neden Geleneksel E-posta Filtreleri Bunu Yakalayamıyor?
Çünkü çoğu e-posta güvenlik filtresi metni tarar, görseli değil. Aynı zararlı bağlantı normal bir metin linki olarak gelseydi yakalanırdı; ama bir QR kod görselinin içine gömülünce filtre onu "zararsız bir resim" olarak görür. Saldırının dehası tam olarak bu kör noktada gizli. Bu yüzden quishing'e karşı sadece tek bir katman yeterli değil; teknoloji ve insan farkındalığını birlikte konumlandırmak gerekiyor.
Klasik Oltalama ile Quishing Arasındaki Fark
Özellik
Klasik Oltalama
Quishing (QR)
Zararlı bağlantı biçimi
Metin/link
QR kod görseli
E-posta filtresi yakalar mı?
Genellikle evet
Çoğu zaman hayır
Açılan cihaz
Bilgisayar (korumalı)
Telefon (korumasız)
Kurban için fark etme zorluğu
Orta
Yüksek (küçük ekran)
KOBİ'ler İçin Quishing'e Karşı Eylem Planı
İyi haber şu: doğru katmanlarla quishing büyük ölçüde durdurulabilir. Müşterilerimizde uyguladığımız korunma planı şöyle:
Gelişmiş e-posta koruması: Microsoft Defender for Office 365 ve Safe Links ile her bağlantı tıklama anında gerçek zamanlı kontrol edilir. Microsoft, Mayıs 2026'da Safe Links korumasını Business Premium'un ötesine taşıdı — yani daha küçük planlardaki işletmeler için de erişilebilir hale geliyor.
Çok faktörlü kimlik doğrulama (MFA) ve passkey: Parola çalınsa bile, ikinci doğrulama katmanı saldırganı durdurur. Mümkünse parolasız passkey geçişini hızlandırın.
Çalışan farkındalık eğitimi: En güçlü kalkan, "e-postadaki QR kodu doğrulamadan okutmam" refleksini kazanmış bir ekiptir. Düzenli simülasyon tatbikatları kanma oranını ciddi düşürür.
Mobil cihaz yönetimi (Intune): Telefonlar şirket verisine eriştiği için bu cihazları Microsoft Intune ile politika kapsamına alın; korumasız cihazları denklemden çıkarın.
Doğrulama refleksi: Beklenmeyen bir QR kodla karşılaşan çalışan, gönderene başka bir kanaldan (telefonla aramak gibi) ulaşıp teyit etmeli. Şüphe varsa okutma.
Maliyet: Korumak mı Pahalı, İhlal mi?
Bir veri ihlalinin KOBİ'ye maliyeti — itibar kaybı, KVKK cezaları ve operasyonel durma dahil — çoğu zaman aylık koruma yatırımının onlarca katıdır. Tipik bir katmanlı koruma yaklaşımı:
Koruma Katmanı
Ne Sağlar
Yaklaşık Konum
Microsoft Defender for Office 365
Safe Links + zararlı ek/QR taraması
Kullanıcı başına aylık birkaç dolar
MFA / Passkey
Çalınan parolayı işe yaramaz kılar
Çoğu M365 planında dahil
Farkındalık eğitimi
İnsan katmanını güçlendirir
Periyodik, düşük maliyet
Sıkça Sorulan Sorular
Telefonumla her QR kodu okutmak tehlikeli mi?
Restoran menüsü gibi fiziksel ortamda gördüğünüz QR kodlar genelde güvenlidir, ama e-posta yoluyla gelen QR kodlara her zaman şüpheyle yaklaşın. Saldırıların büyük kısmı e-posta üzerinden geliyor.
Antivirüsüm varsa quishing'den korunur muyum?
Tek başına yeterli değil. Klasik antivirüs, QR kodun içindeki gizli bağlantıyı çoğu zaman görmez. E-posta katmanında Safe Links ve hesap katmanında MFA gibi tamamlayıcı korumalar şart.
Sahte bir QR kodu okuttuğumu fark edersem ne yapmalıyım?
Hiçbir şey girmediyseniz endişelenmeyin. Eğer parolanızı girdiyseniz hemen parolanızı değiştirin, oturumları sonlandırın ve BT ekibinizi bilgilendirin. Hız burada kritik.
KOBİ'm küçük, neden hedef olayım ki?
Saldırganlar otomatik araçlarla kitlesel hedefliyor; küçük olmanız sizi görünmez yapmaz, aksine korumasız olma ihtimaliniz yüksek olduğu için cazip kılar.
Sonuç
Quishing, eski bir hilenin (oltalama) yeni ve sinsi bir kılıfı. Tek bir sihirli çözüm yok; ama gelişmiş e-posta koruması, MFA, mobil cihaz yönetimi ve eğitilmiş bir ekip bir araya geldiğinde bu tehdidi büyük ölçüde etkisiz hale getirebilirsiniz. Şirketinizin Microsoft 365 ve e-posta güvenlik yapısının quishing'e ne kadar dayanıklı olduğunu birlikte değerlendirmek isterseniz bizimle iletişime geçin — 20 yıllık saha tecrübemizle BT altyapınızı baştan sona gözden geçirelim.
Bu Yazıyı Paylaş
Bu yazıyı paylaşın
Başlık, özet ve hashtagler panoya kopyalanır, paylaş penceresi açılır — yapıştırın (Cmd/Ctrl+V) ve gönderin.
Geçen ay bir müşterimizin muhasebe sorumlusu paniğe kapılmış halde aradı: e-posta kutusuna "bekleyen e-fatura" başlıklı, kurumsal görünümlü bir mesaj gelmiş, içinde de "belgeyi görüntülemek için telefonunuzla QR kodu okutun" yazıyormuş. Neyse ki okutmadan önce bizi aradı. Çünkü o QR kodun arkasında, Microsoft 365 giriş ekranının birebir kopyası olan sahte bir oltalama sayfası vardı. Bu saldırı türünün adı quishing ve 2026'da Türkiye'deki KOBİ'lerin en hızlı büyüyen siber tehdidi haline geldi. 20 yıllık saha tecrübemizde bu kadar hızlı yayılan bir saldırı tekniği az gördük.
Quishing (QR Kod Oltalaması) Nedir?
Quishing, "QR" ve "phishing" kelimelerinin birleşiminden gelir. Klasik oltalamada kötü niyetli bir bağlantı (link) e-postanın içine metin olarak gömülür. Quishing'de ise bu bağlantı, bir QR kod görseline dönüştürülür. Kurban e-postayı bilgisayarında açar, ama QR kodu okutmak için elindeki telefona uzanır. İşte tam bu noktada saldırı, şirketin tüm güvenlik kalkanlarını atlar: telefon çoğu zaman kurumsal güvenlik politikalarının dışındadır, küçük ekranda sahte URL'yi fark etmek zordur ve dikkat dağınıktır.
Quishing 2026'da Neden Bu Kadar Patladı?
Rakamlar tek başına hikayeyi anlatıyor. Microsoft'un 2026 ilk çeyrek tehdit raporuna göre, şirket bu dönemde 8,3 milyar e-posta tabanlı oltalama tehdidi analiz etti ve QR kodlu oltalama saldırıları yalnızca üç ayda %146 arttı. 2025 boyunca tüm oltalama saldırılarının yaklaşık %12'si bir QR kod içeriyordu. Palo Alto Unit 42 ekibi günde ortalama 11.000'den fazla zararlı QR kod tespit ediyor.
Saldırganların QR koda yönelmesinin nedeni basit: işe yarıyor. Üst düzey yöneticilerin (C-level) 2025'te QR kod oltalamasına kanma ihtimali, sıradan çalışanlara göre 40 kat daha yüksek çıktı. İngiltere'de Nisan 2024–Nisan 2025 arasında 784 quishing vakası bildirildi ve kayıplar yaklaşık 3,5 milyon sterline ulaştı.
Saldırı Adım Adım Nasıl İşliyor?
Tuzak: Çalışana "e-fatura bekliyor", "kargo teslimat onayı", "İK belgeniz hazır" ya da "Microsoft 365 parolanızın süresi doluyor" gibi aciliyet hissi yaratan bir e-posta gelir.
QR kod: E-postanın içinde, belgeye/sayfaya ulaşmak için okutulması istenen bir QR kod bulunur. Bağlantı metin değil, görsel olduğu için filtrelere takılmaz.
Geçiş: Çalışan telefonuyla kodu okutur. Telefon, kurumsal güvenlik katmanlarının (filtreleme, DNS koruması) dışındadır.
Hasat: Açılan sahte Microsoft 365 sayfasına kullanıcı adı ve parola girilir. Saldırgan artık şirket hesabının içindedir.
Neden Geleneksel E-posta Filtreleri Bunu Yakalayamıyor?
Çünkü çoğu e-posta güvenlik filtresi metni tarar, görseli değil. Aynı zararlı bağlantı normal bir metin linki olarak gelseydi yakalanırdı; ama bir QR kod görselinin içine gömülünce filtre onu "zararsız bir resim" olarak görür. Saldırının dehası tam olarak bu kör noktada gizli. Bu yüzden quishing'e karşı sadece tek bir katman yeterli değil; teknoloji ve insan farkındalığını birlikte konumlandırmak gerekiyor.
Klasik Oltalama ile Quishing Arasındaki Fark
Özellik
Klasik Oltalama
Quishing (QR)
Zararlı bağlantı biçimi
Metin/link
QR kod görseli
E-posta filtresi yakalar mı?
Genellikle evet
Çoğu zaman hayır
Açılan cihaz
Bilgisayar (korumalı)
Telefon (korumasız)
Kurban için fark etme zorluğu
Orta
Yüksek (küçük ekran)
KOBİ'ler İçin Quishing'e Karşı Eylem Planı
İyi haber şu: doğru katmanlarla quishing büyük ölçüde durdurulabilir. Müşterilerimizde uyguladığımız korunma planı şöyle:
Gelişmiş e-posta koruması: Microsoft Defender for Office 365 ve Safe Links ile her bağlantı tıklama anında gerçek zamanlı kontrol edilir. Microsoft, Mayıs 2026'da Safe Links korumasını Business Premium'un ötesine taşıdı — yani daha küçük planlardaki işletmeler için de erişilebilir hale geliyor.
Çok faktörlü kimlik doğrulama (MFA) ve passkey: Parola çalınsa bile, ikinci doğrulama katmanı saldırganı durdurur. Mümkünse parolasız passkey geçişini hızlandırın.
Çalışan farkındalık eğitimi: En güçlü kalkan, "e-postadaki QR kodu doğrulamadan okutmam" refleksini kazanmış bir ekiptir. Düzenli simülasyon tatbikatları kanma oranını ciddi düşürür.
Mobil cihaz yönetimi (Intune): Telefonlar şirket verisine eriştiği için bu cihazları Microsoft Intune ile politika kapsamına alın; korumasız cihazları denklemden çıkarın.
Doğrulama refleksi: Beklenmeyen bir QR kodla karşılaşan çalışan, gönderene başka bir kanaldan (telefonla aramak gibi) ulaşıp teyit etmeli. Şüphe varsa okutma.
Maliyet: Korumak mı Pahalı, İhlal mi?
Bir veri ihlalinin KOBİ'ye maliyeti — itibar kaybı, KVKK cezaları ve operasyonel durma dahil — çoğu zaman aylık koruma yatırımının onlarca katıdır. Tipik bir katmanlı koruma yaklaşımı:
Koruma Katmanı
Ne Sağlar
Yaklaşık Konum
Microsoft Defender for Office 365
Safe Links + zararlı ek/QR taraması
Kullanıcı başına aylık birkaç dolar
MFA / Passkey
Çalınan parolayı işe yaramaz kılar
Çoğu M365 planında dahil
Farkındalık eğitimi
İnsan katmanını güçlendirir
Periyodik, düşük maliyet
Sıkça Sorulan Sorular
Telefonumla her QR kodu okutmak tehlikeli mi?
Restoran menüsü gibi fiziksel ortamda gördüğünüz QR kodlar genelde güvenlidir, ama e-posta yoluyla gelen QR kodlara her zaman şüpheyle yaklaşın. Saldırıların büyük kısmı e-posta üzerinden geliyor.
Antivirüsüm varsa quishing'den korunur muyum?
Tek başına yeterli değil. Klasik antivirüs, QR kodun içindeki gizli bağlantıyı çoğu zaman görmez. E-posta katmanında Safe Links ve hesap katmanında MFA gibi tamamlayıcı korumalar şart.
Sahte bir QR kodu okuttuğumu fark edersem ne yapmalıyım?
Hiçbir şey girmediyseniz endişelenmeyin. Eğer parolanızı girdiyseniz hemen parolanızı değiştirin, oturumları sonlandırın ve BT ekibinizi bilgilendirin. Hız burada kritik.
KOBİ'm küçük, neden hedef olayım ki?
Saldırganlar otomatik araçlarla kitlesel hedefliyor; küçük olmanız sizi görünmez yapmaz, aksine korumasız olma ihtimaliniz yüksek olduğu için cazip kılar.
Sonuç
Quishing, eski bir hilenin (oltalama) yeni ve sinsi bir kılıfı. Tek bir sihirli çözüm yok; ama gelişmiş e-posta koruması, MFA, mobil cihaz yönetimi ve eğitilmiş bir ekip bir araya geldiğinde bu tehdidi büyük ölçüde etkisiz hale getirebilirsiniz. Şirketinizin Microsoft 365 ve e-posta güvenlik yapısının quishing'e ne kadar dayanıklı olduğunu birlikte değerlendirmek isterseniz bizimle iletişime geçin — 20 yıllık saha tecrübemizle BT altyapınızı baştan sona gözden geçirelim.
Telefon : 0850 259 5949
