El peligro oculto de los códigos QR

¡Estoy muy contento de que estén leyendo mi artículo nuevamente, queridos amigos! Parecería, ¿qué peligro puede representar un código QR? Resulta que incluso puede perder su criptomoneda, así como el dinero fiduciario y los inicios de sesión en Internet debido a varios ataques, que se basan en la mecánica de los códigos QR.

¡Estudiemos estos ataques y veamos cómo podemos defendernos con éxito de ellos!

En este artículo, me referiré a varios autores y recursos asombrosos. Le recomiendo que los estudie por separado por su cuenta. La lista de referencias se encuentra al final del artículo, ¡disfrute leyendo!

Gracias especiales:

• La portada de este artículo. fue hecho por mi buen amigo y artista — RegulLion . Nos conocemos bien, así que en caso de que desaparezca, tendrá los detalles exactos de mí. Considera esto mi canario . En este artículo verás otros trabajos, no tienen significado científico, pero me gustaría incluirlos para ayudarte a imaginar más claramente de lo que estamos hablando y ponerte en el estado de ánimo adecuado. ¡Muchas gracias por la ayuda con la edición también!

• Muchas gracias duraznos para obtener ayuda con la edición y revisión!

• ¡Muchas gracias a Deer de Telegram por ayudar con la revisión!

I - ¿Qué es un código QR?

Un código QR es un código de barras bidimensional que puede almacenar 7089 dígitos o 4296 caracteres . Se puede escanear con un escáner o lector de códigos QR, que está integrado en las cámaras predeterminadas de la mayoría de los dispositivos móviles, para descifrar los datos codificados en él.

Esta es una cadena de texto y, por lo general, es una URL o un enlace a un sitio web o a la cuenta oficial de un comerciante en un sistema de pago. Escanear un código QR le ahorra al usuario la molestia de escribir una dirección larga en un navegador web o ingresar manualmente el nombre de usuario o el número de un comerciante en una aplicación de pago, entre otras ventajas.

De acuerdo a kody kinzie , un investigador de seguridad, la respuesta a la limitación de los códigos de barras lineales fue Códigos de barras 2D, que ofrecen más resistencia de almacenamiento a que los daños físicos afecten la información contenida en ellos. Algunos de los primeros códigos 2D se parecían al siguiente, que todavía se usa ampliamente en la actualidad.

El código azteca es un código 2D, o matriz, legible por máquina que es similar en muchos aspectos a un código QR y puede contener más información que un código de barras lineal. Inicialmente desarrollado para la logística, es posible que lo vea utilizado en paquetes y sobres cuando es necesario almacenar más datos de los que puede proporcionar un código de barras lineal.

Otros tipos de códigos de barras 2D pueden contener una cantidad de datos extremadamente densa. El formato PDF417 que se encuentra en el reverso de la mayoría de las licencias de conducir en los Estados Unidos, por ejemplo, puede codificar hasta 1800 caracteres ASCII.

Los códigos PDF417 como el anterior pueden codificar texto, números, archivos y bytes de datos reales, y son más resistentes a los errores que los códigos de barras lineales. Empresas como FedEx utilizan una combinación de PDF417 y otros códigos de barras en los comprobantes de envío para automatizar la entrega y el seguimiento.

Los códigos QR comenzaron en la industria automotriz como una forma de realizar un seguimiento de los automóviles a medida que se fabricaban, pero su popularidad creció rápidamente fuera de esa industria. Al igual que otros códigos 2D, los códigos QR pueden contener una gran cantidad de datos e incluso pueden funcionar cuando se reduce la resolución o se dañan de otra manera.

Una aplicación fascinante de los códigos QR habilitados por su mayor capacidad de datos es usarlos para administrar Wifi conexiones sin compartir la contraseña en texto sin formato. Al codificar la siguiente cadena, puede crear un código QR que registre automáticamente a los usuarios de Android en una red Wi-Fi.

La comodidad que ofrecen los códigos QR y la ubicuidad de los dispositivos móviles han contribuido en gran medida al uso generalizado de estos códigos de barras bidimensionales. Sin embargo, su popularidad también ha creado un terreno fértil para que los actores malintencionados mejoren sus

Kit de herramientas de malware de código QR para robar no solo información personal, sino también activos ganados con esfuerzo que son imposibles de recuperar una vez perdidos. Las amenazas que involucran códigos QR se han vuelto tan comunes y astutas que el FBI recientemente emitió un advertencia a cerca de ellos.

Tal como lo describe la agencia, el estafador contactará a su víctima y de alguna manera la convencerá de que necesita enviar dinero, ya sea con promesas de amor, más riquezas o haciéndose pasar por una institución real como un banco o una compañía de servicios públicos.

Una vez que la marca está convencida, el estafador hará que obtenga efectivo (a veces de cuentas de inversión o de jubilación) y se dirija a un cajero automático que vende criptomonedas y admite la lectura de códigos QR. Una vez que la víctima esté allí, escaneará un código QR que le envió el estafador, que le indicará a la máquina que envíe cualquier criptografía comprada a la dirección del estafador.

Así de simple, la víctima pierde su dinero y el estafador los ha explotado con éxito.

Los actores malintencionados buscan personas normales y desprevenidas que no saben mucho, si es que saben algo, sobre la seguridad de los códigos QR. Entonces, ¿cómo se evitan las estafas con códigos QR?

En este artículo, discutiré con usted las diversas formas en que los estafadores usan códigos QR para engañar a los usuarios y recomendaré consejos sobre cómo los usuarios pueden protegerse de las estafas de códigos QR.

En primer lugar, definamos qué ataques existen y comenzaremos con el primero que se nos ocurra: un ataque al dinero en la cuenta bancaria donde las criptomonedas y QR son solo una herramienta.

No se desanime, hay ataques más serios por venir, pero quiero que comprenda que las agencias gubernamentales rara vez prestan tanta atención a un tipo de estafa aparentemente insignificante. Tal vez haya una razón para matar este tipo desde su inicio y hacer que la gente sea consciente de tal ataque, a través de QR.

¡Averigüemos dónde empezó todo! Es importante tener en cuenta que los actores maliciosos han invertido una gran cantidad de tiempo y recursos en hacer que sus estafas con código QR parezcan legítimas y útiles, como se ilustra en los siguientes ejemplos:

Códigos QR superpuestos

Un excelente ejemplo de una estafa de código QR que se basa en el ámbito físico tiene actores maliciosos que imprimen etiquetas adhesivas de código QR y las colocan físicamente sobre las genuinas. Las personas generalmente asumen que los letreros o carteles con códigos QR en las tiendas y los espacios públicos son seguros y, por lo tanto, es posible que desconozcan que los actores maliciosos podrían reemplazar los códigos QR legítimos por otros falsos como parte de sus esquemas fraudulentos.

Este fue el caso en un esquema que implicaba pagos por compartir bicicletas en China . Según los informes, los actores maliciosos reemplazaron los códigos QR que los usuarios necesitaban escanear para pagar el uso de las bicicletas antes de que pudieran desbloquearse.

Como resultado, los pagos de los usuarios desprevenidos se transfirieron a las cuentas de los actores maliciosos, sin que los usuarios hayan podido desbloquear las bicicletas para su uso.

Recientemente, las fuerzas del orden público de varias ciudades de EE. UU. emitieron advertencias sobre un esquema similar, en el que actores maliciosos habían pegado sus códigos QR fraudulentos en códigos QR legítimos en __ parquímetros __ para engañar a los usuarios para que ingresaran sus credenciales de pago en sus sitios web de phishing.

Códigos QR utilizados en la ingeniería social del mundo real

Otro ejemplo de una estafa de código QR que se aprovecha del ámbito físico es un esquema que se llevó a cabo en un estacionamiento en Los países bajos y eso provocó el robo de miles de euros.

Según los informes, los actores maliciosos se acercaron a las personas para pagar la tarifa de estacionamiento, no a través de la máquina designada en el estacionamiento, supuestamente porque estaba rota. Con atuendos de aspecto profesional para parecer más creíbles, los estafadores convencieron a sus víctimas para que escanearan el código QR que tenían, desviando así los pagos a su cuenta.

Códigos QR en correos electrónicos de phishing

Se sabe que los estafadores incorporar códigos QR en sus ataques de phishing, una práctica conocida como "quishing". Lo hacen principalmente para poder eludir las soluciones de seguridad tradicionales que pueden marcar las URL maliciosas cuando aparecen en los correos electrónicos, pero no cuando están vinculadas (o ocultas detrás) de los códigos QR.

En diciembre de 2021 se denunció una campaña de phishing que utilizaba códigos QR para robar las credenciales bancarias de usuarios en Alemania. En la campaña, los actores maliciosos envían un correo electrónico haciéndose pasar por un banco y le piden al destinatario que revise y acepte los cambios en la política de privacidad del banco escaneando el código QR en el correo electrónico. Pero el código QR se vincula a un sitio de phishing donde la víctima puede ingresar sin darse cuenta sus credenciales bancarias para que las recolecten los actores malintencionados.

Un esquema de quishing para obtener Microsoft 365 credenciales también se informó a fines del año pasado. Esta campaña comienza con un correo electrónico proveniente de una cuenta de correo electrónico previamente comprometida y que contiene un mensaje de correo de voz que el destinatario supuestamente puede escuchar escaneando el código QR en el correo electrónico. Sin embargo, el código QR conduce a una página de inicio de sesión falsa diseñada para robar las credenciales de Microsoft 365.

Códigos QR para suscribirse a servicios premium

Los actores maliciosos pueden usar códigos QR para suscribir a usuarios desprevenidos a servicios premium y robar los fondos que se cobran a estos usuarios mensualmente. Este esquema se utilizó en la campaña de troyanos de Android conocida como GriftCaballo , que había victimizado a más de 10 millones de usuarios en todo el mundo en septiembre de 2021.

Aplicaciones para escanear códigos QR y códigos de barras

A mediados de 2021, las aplicaciones de escáner de códigos de barras y códigos QR que se vinculaban al Software malicioso Anatsa apareció en Google Play. (Desde entonces, han sido eliminados de la tienda). La infección con una aplicación de este tipo comienza obligando al usuario a actualizar la aplicación después de la instalación, aparentemente para que el usuario pueda continuar usándola.

Después de la descarga exitosa de la supuesta actualización, la aplicación solicita al usuario que permita la instalación de aplicaciones de fuentes desconocidas. Dado que previamente se hizo creer al usuario que la actualización era necesaria para que la aplicación funcionara correctamente, el usuario otorga el permiso. Una vez que se realiza la actualización, el malware se ejecuta en el dispositivo e inmediatamente le pide al usuario que otorgue privilegios de servicio de accesibilidad.

Los actores malintencionados obtienen control total sobre el dispositivo y pueden realizar acciones en nombre del usuario después de que el usuario habilite los privilegios del servicio de accesibilidad. En este punto, la aplicación infestada de malware se ejecuta y funciona como una aplicación legítima. Por lo tanto, se ha preparado el escenario para que los actores maliciosos roben las credenciales de inicio de sesión y obtengan acceso a toda la información que se muestra en el dispositivo del usuario desprevenido.

Aplicaciones para crear códigos QR

Las aplicaciones troyanizadas pueden hacerse pasar por aplicaciones creadoras de códigos QR. En un esquema perpetrado por el grupo de actores maliciosos brunhilda, dicha aplicación le pide al usuario que se registre. Una vez que se realiza el registro y obtiene información detallada del dispositivo, la aplicación descarga e instala un troyano que podría llevar a cabo el robo de información personal confidencial, como credenciales de inicio de sesión o detalles de cuentas bancarias.

Códigos QR utilizados en Doxxing

En primer lugar, cualquiera puede crear un píxel de seguimiento, vincularlo a una página y luego vincularlo a un código QR. Cualquier registrador popular ( canarytokens.org , iplogger.com ) se puede usar para este propósito si está habilitada la recepción de datos ampliados en la configuración del registrador.

El píxel creado también se puede colocar en un sitio externo. Podría ser un blog ( telégrafo , medio.com , teletipo.en ) o incluso una página fuente OSINT ( empezar.me ) que a su vez puede estar vinculado a un código QR.

III - Errores y problemas del código QR

ios de manzana 11

Con iOS 11, Apple introdujo una nueva característica eso brinda a los usuarios la capacidad de leer códigos QR automáticamente utilizando la aplicación de cámara nativa de su iPhone sin necesidad de ninguna aplicación de lector de códigos QR de terceros.

Debe abrir la aplicación Cámara en su iPhone o iPad y apuntar el dispositivo a un código QR. Si el código contiene alguna URL, le dará una notificación con la dirección del enlace y le pedirá que toque para visitarlo en el navegador Safari. Sin embargo, tenga cuidado: es posible que no esté visitando la URL que se le muestra, investigador de seguridad Roman Mueller descubierto .

Según Mueller, el analizador de URL del lector de código QR incorporado para la aplicación de cámara iOS no detecta el nombre de host en la URL, lo que permite a los atacantes manipular la URL mostrada en la notificación, engañando a los usuarios para que visiten sitios web maliciosos.

Para la demostración, el investigador creó un código QR (que se muestra arriba) con la siguiente URL:

https://xxx\\@facebook.com:[email protected]/

If you scan it with the iOS camera app, it will show following notification:

Open "facebook.com" in Safari

When you tap it to open the site, it will instead open:

https://infosec.rm-it.de/

También hay una herramienta que se llama QRGen - puede crear códigos QR maliciosos e incluso codificar cargas útiles personalizadas. Estos ataques son potentes porque los humanos no pueden leer o comprender la información contenida en un código QR sin escanearlo, lo que podría exponer cualquier dispositivo utilizado para intentar descifrar el código al exploit que contiene.

Incluso los escáneres de códigos QR, como los teléfonos inteligentes, pueden ser vulnerables a este tipo de ataques, ya que se descubrió que los códigos QR eran capaz de atraer a los usuarios de iPhone a sitios maliciosos . Echa un vistazo a este impresionante artículo que describe cómo funciona esta herramienta en detalle.

Inicio de sesión QR de discordia

En diciembre de 2020, los desarrolladores de Discord, una aplicación de chat de voz y texto muy utilizada por la comunidad de jugadores, anunciaron el lanzamiento de una Función de código QR que permite a los usuarios iniciar sesión en el cliente web de escritorio usando su teléfono, escaneando el código que aparece en la pantalla.

• Discord ha realizado algunos cambios en su sistema de inicio de sesión con código QR luego de informes de que los estafadores están abusando del mecanismo que intenta obtener acceso a las cuentas de los usuarios.

Si bien esta función tenía como objetivo simplificar el proceso de inicio de sesión de Discord para los usuarios de escritorio, ha surgido la noticia de que los estafadores han estado explotando el sistema para obtener acceso no autorizado a las cuentas.

Según las discusiones en varios servidores de Discord y en las redes sociales, los estafadores han estado publicando códigos QR con la promesa de nitro , el paquete de suscripción de la plataforma que ofrece numerosas ventajas y otros obsequios.

Sin embargo, al escanear el código, los usuarios, sin darse cuenta, proporcionan al atacante acceso a su cuenta.

“El método de inicio de sesión por QR funciona sin ningún nombre de usuario/contraseña y 2FA, y aunque hace que Discord sea mucho más conveniente para iniciar sesión en todas partes, desafortunadamente, está siendo explotado en forma de regalos falsos de Nitro (y posiblemente otras formas) ”, dijo un usuario de Discord.

Las opiniones están divididas sobre la gravedad potencial de este exploit. Para algunos usuarios, el hecho de que sus cuentas se vean comprometidas puede generar poco más que frustración, aunque es poco probable que alguien esté contento con que alguien pueda hacerse pasar por ellos en línea.

Sin embargo, después de lanzar un prueba de concepto Para demostrar la aparente facilidad de explotación, el socio de Twitch, Pirate Software, dijo que si el usuario era suscriptor de Nitro, un atacante podría obtener acceso a su nombre, dirección y dirección de correo electrónico de PayPal no ofuscada .

Discord no respondió de inmediato a nuestra solicitud de comentarios. El personal intervino en un Hilo de discusión de Reddit , señalando que la ventana de inicio de sesión del código QR se había reducido para frustrar a los posibles estafadores.

“Recientemente redujimos la ventana de validez del código QR de 10 minutos a 2 minutos”, dijo un ingeniero de Discord, quien agregó:

Nosotros... notamos un aumento en las personas que intentan hacer ingeniería social a los usuarios para que escaneen códigos QR en un intento de engañarlos para que inicien sesión en otro dispositivo que no controlan.

Nuestro pensamiento original era que la palabrería en la pantalla sería suficiente para disuadir los ataques de ingeniería social, sin embargo, estamos de acuerdo en que podría haber una palabrería más clara y una advertencia.

En todos nuestros canales de lanzamiento de aplicaciones móviles, hemos modificado el lenguaje en la pantalla de confirmación para enfatizar más claramente que está iniciando sesión en otro dispositivo e imponer un retraso antes de que el botón 'iniciar sesión' esté activo (con suerte, hacer que las personas lean el texto rojo .) Puedes ver esta nueva pantalla aquí .

Además de ser discutido en varios servidores de Discord, el problema ya llegó a las redes sociales, con un usuario tuiteando : “PSA: Si alguien te envía un código QR a través de Discord, no lo escanees. Pueden usarlo para obtener acceso instantáneo a su cuenta”.

“Aquí se está generando una buena cantidad de información errónea”, dicen. dijo . “Discord requiere que confirmes el inicio de sesión antes de que el atacante tenga acceso. Si simplemente ignora las advertencias que le da Discord, entonces es su culpa. Solo sé inteligente y no caigas en esos ataques”.

En Reddit, sin embargo, el argumento de 'no caer en los ataques' se quedó corto.

"No entiendo el elitismo de, 'Si te están engañando, es tu culpa, ahora vete a la mierda, la discordia no debería cambiar nada'". escribió un usuario “Cree algo sano y salvo, no, 'Sí, ese código QR se puede usar para iniciar sesión, lo dijo claramente, pero no prestó atención...'”

• Lea cómo evitar los Blackhats de Blockchain en Discord

¿Sabemos cuántas otras aplicaciones que usan QR tienen esta vulnerabilidad? Por ejemplo, en Telegram? Por supuesto, la pregunta es retórica.

IV - QR + Cripto = ?..

¡Mantén a tu zorro a salvo!

Los estafadores pueden usar códigos QR para engañar a los usuarios para que descarguen carteras de criptomonedas falsificadas al prometer que, al hacerlo, obtendrían recompensas, que son tokens falsos. Otro tipo de cebo implica el uso de códigos QR para descargar billeteras de criptomonedas falsas que prometen reducciones en las tarifas de los mineros.

Otra estafa relacionada es el uso de códigos QR para obtener la aprobación no autorizada de tokens, que se utilizan para facilitar la transferencia de activos de una billetera de criptomonedas a otra. Informes de incidentes han citado este esquema como la razón principal de la pérdida de fondos significativos.

Además, las estafas de códigos QR relacionadas con criptomonedas involucran a MetaMask, que es una billetera de criptomonedas para interactuar con la cadena de bloques Ethereum. Los actores malintencionados pueden piratear las cuentas de extensión de MetaMask a través de códigos QR para transferir fondos sin las claves privadas del propietario de la cuenta.

• Lea acerca de cuándo, después de que se robaron varios monos, MetaMask realizó cambios en su sincronización de código QR móvil

“Esto es increíblemente vergonzoso en algunos niveles”, tuiteó Nicholas. “En otros, increíblemente traumatizante. Sí, abrí el código QR y firmé el libro mayor. Pero estaba siendo severamente manipulado y no me di cuenta de lo que estaba pasando hasta que fue demasiado tarde. Fui estafado, phishing y robado. Algunos imbéciles van a decir 'eso es lo que obtienes'. Y tal vez tengan razón. Pero seamos claros, una estafa es una estafa, un robo es un robo y no tenía intención de transferir o vender esos activos. Así que ahora estoy tratando de encontrar formas de recuperar mi propiedad”.

• ¡Lea sobre 6 formas en que un sitio web puede atacar su MetaMask!

¡Eche un vistazo a un nuevo método de estafa! No lo confundas con una mesada aprobar estafa (para prevenirlo puedes usar revocar.efectivo / unrekt.net ) que apunta a tokens ERC20, pero no a Ethers. ( 1 , 2 , 3 , 4 ).

• Lea cómo los piratas informáticos pueden robar sus Ethers y por qué es importante la función eth_sign.

Cuando las personas detrás de la billetera ZenGo quisieron agregar compatibilidad con códigos QR, primero decidieron investigar un poco sobre los aspectos de seguridad. Lo que encontraron fue inquietante, pero no del todo inesperado. Cualquiera puede simplemente generar un código QR que envíe dinero a su dirección en lugar de a la deseada. Y nadie puede decirlo, ya que casi todos los códigos QR se parecen.

Una investigación de ZenGo:

Por ejemplo, ZenGo usó un sitio buscado en Google para solicitar un código QR para la dirección: 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 , en su lugar recibieron un código QR que envió fondos a la dirección del estafador: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

Curiosamente, notaron que algunos estafadores han subido la apuesta con algunos trucos. Algunos de los sitios de códigos QR falsos manipularon el código QR para que, si lo revisabas, pareciera superficialmente la dirección correcta al hacer coincidir la primera letra o el número, como '1', '3' o 'bc'.

Otros juegan con el código de modo que si intentas copiar y pegar la dirección para verificarla, el sitio copiará tu dirección en el portapapeles en lugar de la de ellos para que creas que coincide. ¡ZenGo rastreó cerca de $20,000 en Bitcoin estafado usando las direcciones que examinaron y creía que era solo la punta del iceberg!

Agregaría que, en mi opinión, aquí ayudará el principio de separación de dispositivos: con un dispositivo limpio con airgap.es puede escanear QR, con otro solo sentarse en el navegador, y en el tercer almacenamiento en frío o en papel más seguro: almacene ahorros básicos. Nada le impide almacenar su "suma caliente" principal en la misma bóveda dividida. ¡Mantenerse a salvo!

V - QRLJacking: Una revisión de la comunidad OWASP

QRLJacking o código de respuesta rápida Inicio de sesión Jacking es un vector de ataque de ingeniería social simple capaz de secuestrar sesiones que afecta a todas las aplicaciones que dependen de la función "Iniciar sesión con código QR" como una forma segura de iniciar sesión en las cuentas. Simplemente, en pocas palabras, la víctima escanea el código QR del atacante como resultado del secuestro de la sesión.

Así es como funciona el ataque QRLJacking entre bastidores:

1. El atacante inicia una sesión QR del lado del cliente y clona el código QR de inicio de sesión en un sitio web de phishing. "Ahora, una página de phishing bien diseñada con un código QR válido y actualizado regularmente está lista para enviarse a una víctima".
2. El atacante envía la página de phishing a la víctima. (Referirse aQRLJacking vectores de ataque de la vida real )
3. La víctima escanea el código QR con una aplicación móvil dirigida específica.
4. El atacante obtiene el control de la cuenta de la víctima.
5. El servicio está intercambiando todos los datos de la víctima con la sesión del atacante.

QRLFlujo de ataque de jacking

Para obtener más información sobre las herramientas de QRLJacking y más, visite el QRLJacking en Github

Ejemplos de prueba de concepto (videos)

• WhatsApp QRSecuestroVulnerabilidad
• Secuestro de cuentas de WhatsApp y envenenamiento ARP
• AirDroid vulnerable a QRLJackingVulnerability
• Las aplicaciones y los servicios web vulnerables utilizan el inicio de sesión mediante la función de código QR, parte n.º 1
• Las aplicaciones y servicios web vulnerables utilizan el inicio de sesión mediante la función de código QR, parte n.º 2

VI - Consejos para garantizar la seguridad del código QR

Si bien los esquemas discutidos en este artículo pueden parecer preocupantes, los usuarios pueden mantener a raya las estafas de códigos QR siguiendo estas mejores prácticas sugeridas por Trend Micro :

• Asegúrese de que el sitio web vinculado de una agencia gubernamental u otro proveedor de servicios oficial sea legítimo antes de proporcionar su información personal. Compruebe si hay errores ortográficos en la propia URL.
• Piénselo dos veces antes de escanear un código QR que se encuentra en los correos electrónicos que le envían, incluso si parecen provenir de organizaciones o personas que conoce. Habilite la autenticación multifactor con sus cuentas bancarias, empresariales y de otro tipo para evitar el robo de credenciales de inicio de sesión.
• Al realizar transacciones en las instalaciones de un comerciante o proveedor de servicios, verifique el código QR para asegurarse de que no esté pegado sobre uno original y legítimo.
• Use códigos QR para pagar solo cuando esté realizando transacciones directamente con comerciantes confiables, proveedores de servicios o personas que conoce.
• Tenga cuidado al otorgar permisos cuando una aplicación los solicite, ya que algunos de los permisos solicitados podrían ser peligrosos.

Los códigos QR pueden codificar mucha información, y como hemos aprendido hoy, incluso se pueden formatear para hacer que un dispositivo realice acciones como conectarse a una red Wi-Fi. Eso hace que escanear un código QR sea arriesgado, ya que una persona no tiene forma de leer la información antes de exponer su dispositivo a cualquier carga útil que contenga.

Si escanea un código QR que parece sospechoso, preste atención a lo que el código intenta iniciar y no se conecte a una red Wi-Fi ni navegue a un enlace que está acortado. Algunos investigadores incluso señalan el beneficio de ¡QR para el anonimato general en blockchain! Esto significa que esta tecnología tiene futuro en la Web3.0 como ya lo tiene en la Web2.0.

Si bien la mayoría de los códigos QR deberían ser seguros para escanear en un teléfono inteligente, escanear las cargas útiles que generamos hoy en un dispositivo para escanear boletos o tarjetas de embarque puede resultar en un comportamiento extraño del dispositivo. No escanee cargas útiles en un escáner que necesita trabajar inmediatamente después de un evento o trabajo, o cualquier escáner que no tenga permiso para probar, ya que algunas de estas cargas útiles pueden hacer que el escáner deje de funcionar.

No te estoy pidiendo que cumplas con todo esto, pero debes recordar la regla principal en este caso particular:

• Su nivel de OpSec generalmente depende de su modelo de amenaza y del adversario al que se enfrenta. Así que es difícil definir qué tan bueno es su OpSec.

Si finalmente queremos darle a la gente la oportunidad de ser su banco, debemos darnos cuenta de que en este caso, ¡la gente debe ser capaz de reemplazar todos aquellos servicios y acciones por los que los bancos tradicionales obtienen dinero!

Siga el 25 reglas en este conjunto, las primeras 10 reglas se relacionan con la seguridad personal y el resto con la seguridad corporativa, también vigile la Últimas tendencias en crypto OpSec, eso siempre tiene sentido. no tengas miedo de Enlaces , no los necesita todos, pero debería poder elegir cuál le interesará más para su Pathway.

• Guía de DarkNet-DeepWeb OpSec
• Modelado de amenazas
• Lea acerca de Timing Attack | Ataque a través de una muestra representativa

Usar amplias medidas cuando se trabaja con archivos y siempre mantener un ojo en la última seguridad tendencias aunque tu zona esté lejos de serlo. Toma esto subreddit y este increíble viejo y confiable recurso como primer paso. En nuestro peligroso mundo, cualquiera puede convertirse en un objetivo, especialmente en criptografía.

Dicho esto, no importa en qué industria se encuentre. Si tiene alguna información confidencial y patentada, entonces podría ser un objetivo. Esto es algo bueno para tener siempre en cuenta. Además, ¿quién sabe cuántas vulnerabilidades más acechan en los códigos QR? Simplemente busque en Google QR Code 0day, QR Code 1 day o QR code CVE y verá muchas cosas interesantes, por ejemplo, 1 , 2 .

Aprende lo último tecnicas de ataque , hojas de trucos de sombrero blanco , y métodos de defensa, y únete al hacker comunidades - porque solo con conocimiento podemos vencer el conocimiento de los hackers. En esta batalla intelectual ganarán los más preparados y creo que serás tú, Anon. Suena aterrador pero es posible, lo principal es siempre pensar en el futuro .

¡Prevenido vale por dos! ¡Mantenerse a salvo!

Referencias:

• www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/hidden-scams-in-malicious-scans-how-to-use-QR-codes-safely
• null-byte.wonderhowto.com/how-to/create-malicious-QR-codes-hack-phones-other-scanners-0197416/
• micky.com.au/cómo-los-estafadores-usan-códigos-QR-para-robar-su-bitcoin/
• Threatpost.com/qr-code-scammers-bitcoin-atms/168621/
• www.zdnet.com/article/fbi-warning-crooks-are-using-fake-QR-codes-to-steal-your-passwords-and-money/
• www.coindesk.com/business/2021/11/05/fbi-warns-of-scams-using-crypto-ATMs-and-QR-codes/
• www.theverge.com/2021/11/5/22765900/crypto-scam-FBI-PSA-atm-QR-code-wire-transfer-con-artist
• tech.hindustantimes.com/tech/news/iphone-user-beware-of-fake-QR-codes-71651747604570.html
• securityaffairs.co/wordpress/70739/hacking/qr-code-ios-bug.html
• github.com/h0nus/QRGen

Mira mis artículos:

• Principios clave del almacenamiento de criptomonedas, seguridad de billetera fría
• 2 vectores de ataques violentos en Crypto: una mirada más cercana
• Una guía para agentes de la CIA sobre esteganografía, engañar a la KGB y proteger su criptografía
• OpSec en Crypto y Web3.0: Pensamientos
• Una visión de OpSec a través del prisma del tiempo
• Todos los ataques y vulnerabilidades conocidos del lado del contrato inteligente y del lado del usuario en Web3.0, Defi, NFT y Metaverse

Apoyarme:

El soporte es muy importante para mí, con él puedo pasar menos tiempo en el trabajo y hacer lo que amo: ¡educar a los usuarios de Defi y Crypto! ❤️

• Mira mi GitHub
• Seguir todas mis actividades
• Todas mis redes sociales
• Únete a mi canal TG

Si quieres apoyo mi trabajo, puedes enviarme una donación a la dirección:

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A o oficialcia.eth — ETH, BSC, Polígono, Optimismo, Zk, Fantom, etc.
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU —BTC
• Monero XMR