FBI, Kuzey Koreli tehdit grubu Kimsuky’nin, “Quishing” olarak bilinen bir taktik olan kötü amaçlı QR kodlarını kullanarak hedef odaklı kimlik avı kampanyalarıyla kuruluşları hedef aldığı konusunda uyarıyor.
Quishing kampanyaları öncelikle ABD’deki ve Kuzey Kore ile bağlantılı dış politikayla ilgilenen diğer kuruluşlara veya FBI’ın danışmanının belirttiği gibi, “Kuzey Kore ile bağlantısı olan STK’lar, düşünce kuruluşları, akademi ve diğer dış politika uzmanlarına” yönelik görünüyor.
FBI, Kimsuky tehdit aktörlerinin geçen yıldan bu yana “hedefli kimlik avı kampanyalarında gömülü kötü amaçlı Hızlı Yanıt (QR) kodlarıyla düşünce kuruluşlarını, akademik kurumları ve hem ABD hem de yabancı hükümet kuruluşlarını hedef aldığını” söyledi.
FBI, Kimsuky QR Hedefli Kimlik Avı Olaylarını Detaylandırıyor
FBI, Mayıs ve Haziran 2025’te Kimsuky aktörlerinin hedefe yönelik kimlik avı kampanyalarında kötü amaçlı QR kodları kullandığı dört olaya değindi.
Mayıs 2025’te meydana gelen bir olayda, Kimsuky tehdit aktörleri, “bir düşünce kuruluşu liderinden Kore Yarımadası’ndaki son gelişmelerle ilgili bilgi talep eden” bir e-postada “yabancı bir danışman” kimliğine büründü. E-posta, alıcının bir ankete erişmek için taraması için kötü amaçlı bir QR kodu içeriyordu.
Aynı ayın ilerleyen saatlerinde, Kimsuky aktörleri bir büyükelçilik çalışanını, “Kuzey Kore’nin insan hakları meseleleriyle ilgili bir düşünce kuruluşundaki kıdemli bir kişiden” bilgi isteyen bir e-postayla kandırdı. Bu e-posta, güvenli bir sürücüye erişim sunduğunu iddia eden bir QR kodu içeriyordu.
Yine o ay, Kuzey Koreli tehdit aktörleri bir e-postada bir düşünce kuruluşu çalışanının kimliğine bürünerek “tarandığında hedeflenen kişiyi kötü niyetli faaliyetler yürütmek için tasarlanmış Kimsuky altyapısına götürecek” bir QR kodu kullandılar.
Haziran 2025’te, Kimsuky tehdit aktörleri “stratejik bir danışmanlık firmasına, alıcıları var olmayan bir konferansa davet eden hedef odaklı bir kimlik avı e-postası gönderdi.” E-posta, alıcıları bir kayıt düğmesi içeren bir kayıt açılış sayfasına yönlendiren bir QR kodu içeriyordu. Bu düğme “ziyaretçileri, kullanıcıların hasat için giriş bilgilerini girebilecekleri sahte bir Google hesabı giriş sayfasına yönlendiriyordu.”
Bu, FBI ve diğer kurumların, Kimsuky ve diğer Kuzey Koreli tehdit aktörlerinin dış politikayla ilgili kuruluşları hedef aldığı konusunda ilk uyarısı değil; 2023 yılında düşünce kuruluşlarını, akademik kurumları ve haber kuruluşlarını hedef alan bir hedef odaklı kimlik avı kampanyasına ilişkin benzer bir uyarı yayınlanmıştı.
FBI, Yok Etme Taktiklerini ve Prosedürlerini Tanımlıyor
FBI, Quishing saldırılarının “kurbanları geleneksel e-posta güvenlik kontrollerini atlayarak kurumsal uç noktalarından mobil bir cihaza dönmeye zorlamak için” QR kodlarını kullandığını söyledi.
Ajans, QR görüntülerinin URL incelemesinden ve korumalı alandan kaçınmak için genellikle e-posta ekleri veya gömülü grafikler olarak gönderildiğini söyledi. Kurbanlar genellikle saldırılar tarafından “Microsoft 365, Okta veya VPN portallarının kimliğine bürünen mobil cihazlar için optimize edilmiş kimlik bilgisi toplama sayfalarını seçici bir şekilde sunmak amacıyla kullanıcı aracısı, işletim sistemi, IP adresi, yerel ayar ve ekran boyutu gibi cihaz ve kimlik özelliklerini” toplamak üzere yeniden yönlendiriliyor.
FBI, “Söndürme saldırıları genellikle oturum belirteci hırsızlığı ve yeniden oynatmayla sona eriyor, bu da saldırganların çok faktörlü kimlik doğrulamayı atlamasına ve tipik ‘MFA başarısız’ uyarılarını tetiklemeden bulut kimliklerini ele geçirmesine olanak tanıyor” dedi. Güvenliği ihlal edilen posta kutusu daha sonra ek hedefli kimlik avı saldırıları için kullanılabilir.
QR’ye Karşı Koruma ve Susturma Saldırıları
FBI, “QR kodu tabanlı hedef odaklı kimlik avının oluşturduğu benzersiz riskleri ele almak için çok katmanlı bir güvenlik stratejisi” öneriyor. Ajansın tavsiyeleri arasında şunlar yer alıyor:
- Çalışanlar, nereden geldiklerine bakılmaksızın istenmeyen QR kodlarını taramanın riskleri konusunda eğitilmelidir ve kuruluşlar, kullanıcıların QR kodlarını içeren “acil eylem çağrıları ve güvenilir varlıkların kimliğine bürünme dahil” sosyal mühendislik taktiklerini tanımalarına yardımcı olacak eğitim programları uygulamalıdır.
- Kuruluşların ayrıca şüpheli QR kodlarını ve diğer kimlik avı girişimlerini bildirmek için açık süreçleri olmalıdır.
- QR kodu kaynakları, “özellikle oturum açma kimlik bilgilerini girmeden veya dosyaları indirmeden önce” öncelikle gönderen kişiyle doğrudan iletişime geçilerek doğrulanmalıdır.
- Kuruluşlar, web kaynaklarına erişime izin vermeden önce QR bağlantılı URL’leri analiz edebilen mobil cihaz yönetimi (MDM) veya uç nokta güvenlik çözümlerini kullanmalıdır.
- Tüm uzaktan erişim ve hassas sistemler için kimlik avına dayanıklı MFA zorunlu kılınmalı ve güçlü bir şifre politikası uygulanmalıdır.
- QR kod taramalarının ardından tüm kimlik bilgisi girişi ve ağ etkinliği kaydedilmeli ve olası risklere karşı izlenmelidir.
- Erişim ayrıcalıkları sıfır güven ilkelerine göre gözden geçirilmeli, kullanılmayan veya aşırı hesap izinleri açısından düzenli denetimler yapılmalıdır.
FBI, kuruluşları kendi bölgelerindeki FBI Saha Ofisi ile irtibat ilişkisi kurmaya ve kötü niyetli faaliyetleri fbi.gov/contact-us/field-offices adresine bildirmeye teşvik etti.