Siber dolandırıcılar, e-posta güvenlik sistemlerini ve yapay zeka tabanlı filtreleri atlatabilmek için her geçen gün eski ve unutulmuş dijital teknikleri modern oltalama (phishing) şemalarına entegre etmeye devam ediyor. Güvenlik kuruluşu Kaspersky, 2025 yılının ikinci yarısında QR kod tabanlı saldırıların beş kat artmasının ardından, şimdi de "ASCII grafikleri" (ASCII art) kullanılarak hazırlanan yeni bir siber tuzak türü keşfetti. Geleneksel güvenlik yazılımları e-posta eklerindeki veya metinlerindeki şüpheli bağlantıları (URL) tararken, dolandırıcılar bu kez doğrudan e-postanın gövdesine metin karakterleriyle örülmüş sahte QR kodlar yerleştiriyor. Görsel analizi yapan anti-spam filtrelerini devre dışı bırakmayı amaçlayan bu nostaljik ama tehlikeli yöntem, özellikle kurumsal şirket çalışanlarını hedef alıyor.
Nostaljik bir teknik güvenlik filtrelerine karşı silah olarak kullanılıyor
Gerçek grafik işlemcilerin henüz var olmadığı ilk bilgisayar dönemlerinde, ekranda görsel oluşturabilmek için 1963 yılında standartlaşan ASCII (Amerikan Standart Kod Değişim Modu) karakter setindeki semboller kullanılıyordu. Nokta, çizgi, kare ve boşluk karakterlerinin yan yana getirilmesiyle oluşturulan bu çizimler, teknoloji dünyasında "ASCII sanatı" olarak yer etti. 2000'li yıllarda reklam içerikli spam e-postalarda filtreleri aşmak için kullanılan bu yöntem, günümüzde Unicode karakter setlerinin de zenginleşmesiyle çok daha net hatlara sahip sahte QR kodlar üretilmesine imkan tanıyor.
Filtre yazılımları e-posta içeriğinde standart bir resim dosyası (JPEG, PNG vb.) veya doğrudan tıklanabilir bir köprü metni aradığı için, dolandırıcılar kodu tamamen metin karakterlerinden inşa ediyor. Güvenlik yazılımı e-postayı taradığında zararlı bir dosya eki veya link bulamıyor; yalnızca binlerce masum karakterin yan yana dizildiğini görüyor. Ancak e-postayı açan kullanıcı, ekran karşısına geçtiğinde bu karakter bütününü siyah-beyaz bir QR kod olarak algılıyor.
"DocuSign belgesi imzalayın" tuzağı ile kimlik hırsızlığı
Metin karakterleriyle yapılandırılmış bu yeni oltalama şeması, kurumsal iş akışlarını taklit eden bir senaryo üzerine kurulmuş durumda. Saldırganların sıklıkla izlediği adımlar şu şekilde ilerliyor:
-
Sahte e-posta gönderimi: Kurbana, önemli bir iş ortağından veya resmi bir kurumdan gelmiş süsü verilen bir e-posta ulaşıyor. İletide, DocuSign gibi küresel dijital imza platformları üzerinden acilen imzalanması gereken "gizli bir belge" olduğu iddia ediliyor.
-
Mobil cihaz yönlendirmesi: E-posta metninde, bilgisayar ekranındaki belgeye güvenli erişim sağlanabilmesi için alt bölümde yer alan QR kodun mobil telefon kamerasıyla taratılması talimatı veriliyor.
-
Kurumsal veri avcılığı: Kullanıcı telefonundan bu sahte kodu tarattığında, kurumsal Microsoft, Google veya şirket içi giriş panellerini birebir taklit eden oltalama sitelerine yönlendiriliyor. Giriş bilgileri yazıldığı anda şirket ağlarına erişim anahtarı siber korsanların eline geçiyor.
Kaspersky Anti-Spam Uzmanı Roman Dedenok, siber saldırganların sürekli bir döngü içinde hareket ettiğini belirterek; geçmişte görsellerin arkasına link gizleyen yapıların, bugün görsel tarayıcılardan kaçmak için yeniden düz metin formatına döndüğünü vurguluyor. Bir QR kodunun, bir kullanıcıyı akıllı telefonu üzerinden kurumsal kimlik bilgilerini girmeye zorladığı her senaryonun mutlak bir şüpheyle karşılanması gerektiğini ifade eden Dedenok, e-posta gövdesinde ASCII karakterleriyle çizilmiş bir kod görmenin neredeyse %100 oranında bir siber saldırı kanıtı olduğunu hatırlatıyor.