A CYBER SECURITY AWARENESS TRIAL WITH QR CODE: THE CASE OF DÜZCE

Year 2024, Issue: 30, 214 - 225, 30.08.2024

Remzi Başar

https://doi.org/10.58348/denetisim.1511456

Abstract

QR code (Quick Response) is an abbreviation for quick response and is a square barcode system with black patterns and motifs on a white background. QR codes, which allow more information storage and transfer than the traditional one-dimensional barcode system, were first used in 1994 by Denso, a Toyota group company, and were approved as an international standard in 2000. The QR code system, which is a highly effective tool to facilitate commercial life, especially to minimize human errors and prevent incorrect information entries, can be the target tool of cyber threats and attacks aimed at payment fraud, phishing and information theft by malicious people or parties who want to turn this convenience into an opportunity.
Within the scope of the study conducted to draw attention to the drawbacks of the QR code and at the same time to measure the conscious and unconscious uses of the QR code, a cyber security awareness trial was carried out with the QR code by sticking QR codes on the tables in cafe-restaurant establishments named Q3 Lounge (A), Waffle Kitchen (B) and Acarzade (C) in Düzce province, which use QR code menus. With these QR codes, which were printed on adhesive paper without any explanatory statement, it was measured and analyzed how many customers read the QR codes mistaking them for menus without any guidance. At the end of the three-week trial period in which a total of 957 (397+493+67) QR codes were read in three businesses, it was measured that the QR code reading rates in these three businesses were realized as A: 43%, B: 48% and C: 10%.
The study concluded that the customer profile of the businesses significantly affects the QR code scanning rates, the rate of QR code scanning is quite high in businesses with a young customer profile, and the least QR code scanning occurs in the restaurant business located in the expensive and luxury segment and appealing to a relatively high income customer profile. The results obtained show that individuals who do not have information security awareness about QR codes or who have a low level of awareness may read QR codes unconsciously and thus be exposed to potential cyber security risks.

Keywords

QR Code, Cyber Security Awareness, Information Security Awareness

QR KOD İLE BİR SİBER GÜVENLİK FARKINDALIK DENEMESİ: DÜZCE ÖRNEĞİ

Abstract

QR kod (Quick Response) hızlı tepki anlamına gelen bir kısaltma olup beyaz bir zemin üzerine siyah desen ve motiflerle oluşturulmuş kare şeklindeki bir barkod sistemidir. Geleneksel tek boyutlu barkod sistemine göre daha fazla bilgi depolama ve aktarımına imkân veren karekodlar ilk defa 1994 yılında bir Toyota grup şirketi olan Denso tarafından kullanılmış ve 2000 yılında uluslararası bir standart olarak onay almıştır. İnsan hatalarını asgariye indirip hatalı bilgi girişlerini engellemek amacıyla özellikle ticari hayatı kolaylaştırmak için oldukça etkili bir araç olan QR kod sistemi bu kolaylığı fırsata çevirmek isteyen art niyetli kişi veya taraflarca ödeme dolandırıcılığı, kimlik avı ve bilgi çalma amaçlı siber tehdit ve saldırıların hedef aracı olabilmektedir.
QR kodun sakıncalarına dikkat çekmek ve aynı zamanda bilinçli ve bilinçsiz kullanımları ölçmek amacıyla yürütülen çalışma kapsamında Düzce ilinde QR kodlu menü kullanan Q3 Lounge (A), Waffle Kitchen (B) ve Acarzade (C) isimli kafe-restoran işletmelerinde masalara QR kodları yapıştırılarak, QR kod ile bir siber güvenlik farkındalık denemesi gerçekleştirilmiştir. Açıklayıcı bir ifade içermeyen sadece yapışkanlı kâğıt üzerine bastırılan bu kare kodlar ile herhangi bir yönlendirme olmadan müşterilerin ne kadarının QR kodlarını menü zannederek okuttuğu ölçülüp analiz edilmiştir. Üç işletmede toplam 957 (397+493+67) QR kod okutma işleminin yapıldığı üç haftalık deneme süresi sonunda bu üç işletmedeki QR kod okutma oranlarının; A:%43, B:%48 ve C:%10 olarak gerçekleştiği ölçümlenmiştir.
Çalışma ile işletmelerin sahip olduğu müşteri profilinin QR kod okutma oranlarını belirgin şekilde etkilediği, genç müşteri profiline sahip işletmelerde QR kod okutma oranının oldukça yüksek olduğu, en az QR kod okutmanın pahalı ve lüks segmentte yer alan ve nispeten yüksek gelirli müşteri profiline hitap eden restoran işletmesinde gerçekleştiği sonucu elde edilmiştir. Elde edilen sonuçlar QR kodları konusunda bilgi güvenliği farkındalığına sahip olmayan veya farkındalığı düşük düzeyde olan bireylerin QR kodlarını bilinçsizce okutabileceğini ve bu yolla potansiyel siber güvenlik risklerine maruz kalabileceğini göstermektedir.

Keywords

QR Kod, Karekod, Siber Güvenlik Farkındalığı, Bilgi Güvenliği Farkındalığı

References

• Ahuja, S. (2014). QR Codes And Security Concerns. International Journal of Computer Science and Information Technologies, 5(3), 3878-3879.
• Alnajjar A. Y., Anbar M., Manickam S., Elejla O., & El-Taj H., (2016) . QRphish: An Automated QR Code Phishing Detection Approach. Journal Of Engineering And Applied Sciences, 11(3), 553-560,
• Altıntaş, S. (2016). Kültürel Etkinlikler Aktörü Olarak Yeni Orta Sınıf ve Soylulaştırma İlişkisi Üzerine Bir Tartışma. Journal of Sociological Studies. Sosyoloji Konferansları, (54), 115.
• Arslan, M. (2011). Kare Kodlar ile Hayatımız Değişecek!. Tübitak Bilim ve Teknik Dergisi, 44(23), 78-79.
• Avşar, M. & Tandoğan, G. K. (2022). Karekod (QR Kod) Menü Kullanan Restoran İşletmeleri Üzerine Bir Araştırma: Amasya Örneği. Sosyal, Beşeri ve İdari Bilimler Dergisi, 5(7), 858-869,
• Bilir, M. O. & Özkoç, E. E. (2020). QR Kod Güvenlik Farkındalığı Üzerine Ankara İlinde Bir Araştırma. İnternet Uygulamaları ve Yönetimi Dergisi, 11(2), 113-129.
• Breen, R., & Chung, I. (2015). Income Inequality And Education. Sociological Science, 2 (Aug 2015).
• Bozkurt, F. & Ergen A. (2012). Pazarlama İletişiminde Yeni Bir Mobil Pazarlama Aracı: 2 Boyutlu Barkodlar, Pazarlama ve Pazarlama Araştırmaları Dergisi, Ocak Sayı: 09, 43-64.
• Çakır, M. S. (2016). Malatya’da Canlı Müzik Yapılan Kafelerin Sosyolojik Analizi. İnönü Üniversitesi Sanat ve Tasarım Dergisi, 6(14), 1-12.
• Çakır, H., & Taşer, M. (2022). İçerik Yönetim Sistemleri ve Veri Koruma Çerçevesinde WordPress Güvenliğinin İncelenmesi. Bilgi ve İletişim Teknolojileri Dergisi, 4(1), 44-65.
• Çataloğlu, E., & Ateşkan, A. (2014). QR (Quick Response) Kodunun Eğitim ve Öğretimde Kullanımının Örneklenmesi, İlköğretim Online, 13(1), 5-14.
• Dalgakıran, A.B. & Öztürkoğlu, Y. (2017). Scale And Relationship Analysis For Turkish Furniture Sector, Business & Management Studies: An International Journal, 5 (1), 147-161.
• Dolot, A. (2018). The Characteristics of Generation Z. E-mentor, 2(74), 44-50.
• Göksel, B. & Başaran, A. (2016). QR-Code’daki Olta: Bir Farkındalık Deneyi ve QR Kodların Sosyal Mühendislik Saldırılarında Kullanılması. https://www.slideshare.net/AlperBasaran/qr-codelardaki-tehlike/ (Erişim Tarihi: 22.07.2024).
• Han, X., Zhang, Y., Zhang, X., Chen, Z., Wang, M., Zhang, Y., & Li, J. (2023). Medusa Attack: Exploring Security Hazards of {In-App}{QR} Code Scanning. In 32nd USENIX Security Symposium (USENIX Security 23) (pp. 4607-4624).
• Kapsalis, I. (2013). Security of QR Codes. Master Thesis. Security and Mobile Computing, Department of Telematics, Norwegian University of Science and Technology, Trondheim, Norveç.
• Kieseberg, P., Schrittwieser, S., Leithner, M., Mulazzani, M., Weippl, E., Munroe, L., & Sinha, M. (2012). Malicious Pixels Using QR Codes As Attack Vector. Trustworthy Ubiquitous Computing, 21-38.
• Koskinen, T., Ihantola, P., & Karavirta, V. (2012, September). Quality of WordPress Plug-ins: An Overview Of Security And User Ratings. In 2012 International Conference on Privacy, Security, Risk and Trust and 2012 International Conference on Social Computing (pp. 834-837). IEEE.
• Krombholz, K., Frühwirt, P., Kieseberg, P., Kapsalis, I., Huber, M., & Weippl, E. (2014). QR Code Security: A Survey Of Attacks And Challenges For Usable Security. In Human Aspects of Information Security, Privacy, and Trust: Second International Conference, HAS 2014, Held as Part of HCI International 2014, Heraklion, Crete, Greece, June 22-27, 2014. Proceedings 2 (pp. 79-90). Springer International Publishing.
• Örücü, A. İ. (2013). Bir Vergi Ödeme Aracı Olarak Karekod Teknolojisi, Maliye Dergisi, 164, 259-267.
• Ozturkoglu Y. & Esendemir, E. (2014). ERP Software Selection using IFS and GRA Methods, Journal of Emerging Trends in Computing and Information Sciences, 5(5), 363-370.
• Pandya, K. H., & Galiyawala, H. J. (2014). A Survey on QR Codes: in context of Research and Application. International Journal of Emerging Technology and Advanced Engineering, 4(3), 258-262.
• Sanal, A. & Öztürkoğlu, Y. (2017). Hizmet Sektöründe QR Kod Kullanım Alanlarına Yönelik Bir Alan Çalışması. Business & Management Studies: An International Journal, 5(4), 172-189.
• Saygılı, E. E., Ozturkoglu, Y. & Kocakulah, M. (2017). End Users’ Perceptions of Critical Success Factors in ERP Applications, International Journal of Enterprise Information Systems, 13(4), 58-75.
• Soon, T. J. (2008). QR Code. Synthesis Journal, 2008, 59-78.
• Şat, R. & Arslan Ayazlar, R. (2022). Restoranlardaki Karekod Ödemelerinin Tüketici Memnuniyeti Üzerindeki Etkisi. Gaziantep University Journal of Social Sciences, 21(4), 2544-2566.
• Tiwari, S. (2016, December). An introduction to QR code technology. In 2016 international conference on information technology (ICIT) (pp. 39-44). IEEE.
• Whittaker, C., B. Ryner & M. Nazif, 2010. Large-scale automatic classification of phishing. Proceedings of the Network and Distributed System Security Symposium, February 28-March 3, 2010, San Diego, California, USA.
• Vidas, T., Owusu, E., Wang, S., Zeng, C., Cranor, L. F. & Christin, N. (2013, April). QRishing: The Susceptibility of Smartphone Users to QR Code Phishing Attacks. In International Conference on Financial Cryptography and Data Security (pp. 52-69). Springer, Berlin, Heidelberg.
• Yin, L. R., Senior, M., Zhang, Z., & Baldwin, N. (2013, June). Perceived security risks of scanning quick response (QR) codes in mobile computing with smart phones. In 2013 International Conference on Engineering, Management Science and Innovation (ICEMSI) (pp. 1-7). IEEE.
• Yong, K. S., Chiew, K. L. & Tan, C. L. (2019, June). A survey of the QR code phishing: the current attacks and countermeasures. In 2019 7th International Conference on Smart Computing & Communications (ICSCC) (pp. 1-5). IEEE.