![Search icon](https://hackernoon.imgix.net/search-new.png?w=19&h=19)
¡Estoy muy contento de que estén leyendo mi artículo nuevamente, queridos amigos! Parecería, ¿qué peligro puede representar un código QR? Resulta que incluso puede perder su criptomoneda, así como el dinero fiduciario y los inicios de sesión en Internet debido a varios ataques, que se basan en la mecánica de los códigos QR.
¡Estudiemos estos ataques y veamos cómo podemos defendernos con éxito de ellos!
En este artículo, me referiré a varios autores y recursos asombrosos. Le recomiendo que los estudie por separado por su cuenta. La lista de referencias se encuentra al final del artículo, ¡disfrute leyendo!
Un código QR es un
Esta es una cadena de texto y, por lo general, es una URL o un enlace a un sitio web o a la cuenta oficial de un comerciante en un sistema de pago. Escanear un código QR le ahorra al usuario la molestia de escribir una dirección larga en un navegador web o ingresar manualmente el nombre de usuario o el número de un comerciante en una aplicación de pago, entre otras ventajas.
De acuerdo a
El código azteca es un código 2D, o matriz, legible por máquina que es similar en muchos aspectos a un código QR y puede contener más información que un código de barras lineal. Inicialmente desarrollado para la logística, es posible que lo vea utilizado en paquetes y sobres cuando es necesario almacenar más datos de los que puede proporcionar un código de barras lineal.
Otros tipos de códigos de barras 2D pueden contener una cantidad de datos extremadamente densa. El formato PDF417 que se encuentra en el reverso de la mayoría de las licencias de conducir en los Estados Unidos, por ejemplo, puede codificar hasta 1800 caracteres ASCII.
Los códigos PDF417 como el anterior pueden codificar texto, números, archivos y bytes de datos reales, y son más resistentes a los errores que los códigos de barras lineales. Empresas como FedEx utilizan una combinación de PDF417 y otros códigos de barras en los comprobantes de envío para automatizar la entrega y el seguimiento.
Los códigos QR comenzaron en la industria automotriz como una forma de realizar un seguimiento de los automóviles a medida que se fabricaban, pero su popularidad creció rápidamente fuera de esa industria. Al igual que otros códigos 2D, los códigos QR pueden contener una gran cantidad de datos e incluso pueden funcionar cuando se reduce la resolución o se dañan de otra manera.
Una aplicación fascinante de los códigos QR habilitados por su mayor capacidad de datos es usarlos para
La comodidad que ofrecen los códigos QR y la ubicuidad de los dispositivos móviles han contribuido en gran medida al uso generalizado de estos códigos de barras bidimensionales. Sin embargo, su popularidad también ha creado un terreno fértil para que los actores malintencionados mejoren sus
Kit de herramientas de malware de código QR para robar no solo información personal, sino también activos ganados con esfuerzo que son imposibles de recuperar una vez perdidos. Las amenazas que involucran códigos QR se han vuelto tan comunes y astutas que el FBI recientemente emitió un
Tal como lo describe la agencia, el estafador contactará a su víctima y de alguna manera la convencerá de que necesita enviar dinero, ya sea con promesas de amor, más riquezas o haciéndose pasar por una institución real como un banco o una compañía de servicios públicos.
Una vez que la marca está convencida, el estafador hará que obtenga efectivo (a veces de cuentas de inversión o de jubilación) y se dirija a un cajero automático que vende criptomonedas y admite la lectura de códigos QR. Una vez que la víctima esté allí, escaneará un código QR que le envió el estafador, que le indicará a la máquina que envíe cualquier criptografía comprada a la dirección del estafador.
Así de simple, la víctima pierde su dinero y el estafador los ha explotado con éxito.
Los actores malintencionados buscan personas normales y desprevenidas que no saben mucho, si es que saben algo, sobre la seguridad de los códigos QR. Entonces, ¿cómo se evitan las estafas con códigos QR?
En este artículo, discutiré con usted las diversas formas en que los estafadores usan códigos QR para engañar a los usuarios y recomendaré consejos sobre cómo los usuarios pueden protegerse de las estafas de códigos QR.
En primer lugar, definamos qué ataques existen y comenzaremos con el primero que se nos ocurra: un ataque al dinero en la cuenta bancaria donde las criptomonedas y QR son solo una herramienta.
No se desanime, hay ataques más serios por venir, pero quiero que comprenda que las agencias gubernamentales rara vez prestan tanta atención a un tipo de estafa aparentemente insignificante. Tal vez haya una razón para matar este tipo desde su inicio y hacer que la gente sea consciente de tal ataque, a través de QR.
¡Averigüemos dónde empezó todo! Es importante tener en cuenta que los actores maliciosos han invertido una gran cantidad de tiempo y recursos en hacer que sus estafas con código QR parezcan legítimas y útiles, como se ilustra en los siguientes ejemplos:
Un excelente ejemplo de una estafa de código QR que se basa en el ámbito físico tiene actores maliciosos que imprimen etiquetas adhesivas de código QR y las colocan físicamente sobre las genuinas. Las personas generalmente asumen que los letreros o carteles con códigos QR en las tiendas y los espacios públicos son seguros y, por lo tanto, es posible que desconozcan que los actores maliciosos podrían reemplazar los códigos QR legítimos por otros falsos como parte de sus esquemas fraudulentos.
Este fue el caso en un esquema que implicaba pagos por
Como resultado, los pagos de los usuarios desprevenidos se transfirieron a las cuentas de los actores maliciosos, sin que los usuarios hayan podido desbloquear las bicicletas para su uso.
Recientemente, las fuerzas del orden público de varias ciudades de EE. UU. emitieron advertencias sobre un esquema similar, en el que actores maliciosos habían pegado sus códigos QR fraudulentos en códigos QR legítimos en __ parquímetros __ para engañar a los usuarios para que ingresaran sus credenciales de pago en sus sitios web de phishing.
Otro ejemplo de una estafa de código QR que se aprovecha del ámbito físico es un esquema que se llevó a cabo en un estacionamiento en
Según los informes, los actores maliciosos se acercaron a las personas para pagar la tarifa de estacionamiento, no a través de la máquina designada en el estacionamiento, supuestamente porque estaba rota. Con atuendos de aspecto profesional para parecer más creíbles, los estafadores convencieron a sus víctimas para que escanearan el código QR que tenían, desviando así los pagos a su cuenta.
Se sabe que los estafadores
En diciembre de 2021 se denunció una campaña de phishing que utilizaba códigos QR para robar las credenciales bancarias de usuarios en Alemania. En la campaña, los actores maliciosos envían un correo electrónico haciéndose pasar por un banco y le piden al destinatario que revise y acepte los cambios en la política de privacidad del banco escaneando el código QR en el correo electrónico. Pero el código QR se vincula a un sitio de phishing donde la víctima puede ingresar sin darse cuenta sus credenciales bancarias para que las recolecten los actores malintencionados.
Los actores maliciosos pueden usar códigos QR para suscribir a usuarios desprevenidos a servicios premium y robar los fondos que se cobran a estos usuarios mensualmente. Este esquema se utilizó en la campaña de troyanos de Android conocida como
A mediados de 2021, las aplicaciones de escáner de códigos de barras y códigos QR que se vinculaban al
Después de la descarga exitosa de la supuesta actualización, la aplicación solicita al usuario que permita la instalación de aplicaciones de fuentes desconocidas. Dado que previamente se hizo creer al usuario que la actualización era necesaria para que la aplicación funcionara correctamente, el usuario otorga el permiso. Una vez que se realiza la actualización, el malware se ejecuta en el dispositivo e inmediatamente le pide al usuario que otorgue privilegios de servicio de accesibilidad.
Los actores malintencionados obtienen control total sobre el dispositivo y pueden realizar acciones en nombre del usuario después de que el usuario habilite los privilegios del servicio de accesibilidad. En este punto, la aplicación infestada de malware se ejecuta y funciona como una aplicación legítima. Por lo tanto, se ha preparado el escenario para que los actores maliciosos roben las credenciales de inicio de sesión y obtengan acceso a toda la información que se muestra en el dispositivo del usuario desprevenido.
Las aplicaciones troyanizadas pueden hacerse pasar por aplicaciones creadoras de códigos QR. En un esquema perpetrado por el grupo de actores maliciosos
En primer lugar, cualquiera puede crear un píxel de seguimiento, vincularlo a una página y luego vincularlo a un código QR. Cualquier registrador popular (
El píxel creado también se puede colocar en un sitio externo. Podría ser un blog (
Debe abrir la aplicación Cámara en su iPhone o iPad y apuntar el dispositivo a un código QR. Si el código contiene alguna URL, le dará una notificación con la dirección del enlace y le pedirá que toque para visitarlo en el navegador Safari. Sin embargo, tenga cuidado: es posible que no esté visitando la URL que se le muestra, investigador de seguridad Roman Mueller
Según Mueller, el analizador de URL del lector de código QR incorporado para la aplicación de cámara iOS no detecta el nombre de host en la URL, lo que permite a los atacantes manipular la URL mostrada en la notificación, engañando a los usuarios para que visiten sitios web maliciosos.
Para la demostración, el investigador creó un código QR (que se muestra arriba) con la siguiente URL:
https://xxx\\@facebook.com:[email protected]/
If you scan it with the iOS camera app, it will show following notification:
Open "facebook.com" in Safari
When you tap it to open the site, it will instead open:
https://infosec.rm-it.de/
También hay una herramienta que se llama
Incluso los escáneres de códigos QR, como los teléfonos inteligentes, pueden ser vulnerables a este tipo de ataques, ya que se descubrió que los códigos QR eran
En diciembre de 2020, los desarrolladores de Discord, una aplicación de chat de voz y texto muy utilizada por la comunidad de jugadores, anunciaron el lanzamiento de una
Si bien esta función tenía como objetivo simplificar el proceso de inicio de sesión de Discord para los usuarios de escritorio, ha surgido la noticia de que los estafadores han estado explotando el sistema para obtener acceso no autorizado a las cuentas.
Según las discusiones en varios servidores de Discord y en las redes sociales, los estafadores han estado publicando códigos QR con la promesa de
Sin embargo, al escanear el código, los usuarios, sin darse cuenta, proporcionan al atacante acceso a su cuenta.
“El método de inicio de sesión por QR funciona sin ningún nombre de usuario/contraseña y 2FA, y aunque hace que Discord sea mucho más conveniente para iniciar sesión en todas partes, desafortunadamente, está siendo explotado en forma de regalos falsos de Nitro (y posiblemente otras formas) ”, dijo un usuario de Discord.
Las opiniones están divididas sobre la gravedad potencial de este exploit. Para algunos usuarios, el hecho de que sus cuentas se vean comprometidas puede generar poco más que frustración, aunque es poco probable que alguien esté contento con que alguien pueda hacerse pasar por ellos en línea.
Sin embargo, después de lanzar un
Discord no respondió de inmediato a nuestra solicitud de comentarios. El personal intervino en un
“Recientemente redujimos la ventana de validez del código QR de 10 minutos a 2 minutos”,
Nosotros... notamos un aumento en las personas que intentan hacer ingeniería social a los usuarios para que escaneen códigos QR en un intento de engañarlos para que inicien sesión en otro dispositivo que no controlan.
Nuestro pensamiento original era que la palabrería en la pantalla sería suficiente para disuadir los ataques de ingeniería social, sin embargo, estamos de acuerdo en que podría haber una palabrería más clara y una advertencia.
En todos nuestros canales de lanzamiento de aplicaciones móviles, hemos modificado el lenguaje en la pantalla de confirmación para enfatizar más claramente que está iniciando sesión en otro dispositivo e imponer un retraso antes de que el botón 'iniciar sesión' esté activo (con suerte, hacer que las personas lean el texto rojo .) Puedes ver esta nueva pantalla
Además de ser discutido en varios servidores de Discord, el problema ya llegó a las redes sociales, con un usuario
“Aquí se está generando una buena cantidad de información errónea”, dicen.
En Reddit, sin embargo, el argumento de 'no caer en los ataques' se quedó corto.
"No entiendo el elitismo de, 'Si te están engañando, es tu culpa, ahora vete a la mierda, la discordia no debería cambiar nada'".
¿Sabemos cuántas otras aplicaciones que usan QR tienen esta vulnerabilidad? Por ejemplo, en Telegram? Por supuesto, la pregunta es retórica.
Los estafadores pueden usar códigos QR para engañar a los usuarios para que descarguen
Otra estafa relacionada es el uso de códigos QR para obtener la aprobación no autorizada de tokens, que se utilizan para facilitar la transferencia de activos de una billetera de criptomonedas a otra.
Además, las estafas de códigos QR relacionadas con criptomonedas involucran a MetaMask, que es una billetera de criptomonedas para interactuar con la cadena de bloques Ethereum. Los actores malintencionados pueden piratear las cuentas de extensión de MetaMask a través de códigos QR para transferir fondos sin las claves privadas del propietario de la cuenta.
“Esto es increíblemente vergonzoso en algunos niveles”, tuiteó Nicholas. “En otros, increíblemente traumatizante. Sí, abrí el código QR y firmé el libro mayor. Pero estaba siendo severamente manipulado y no me di cuenta de lo que estaba pasando hasta que fue demasiado tarde. Fui estafado, phishing y robado. Algunos imbéciles van a decir 'eso es lo que obtienes'. Y tal vez tengan razón. Pero seamos claros, una estafa es una estafa, un robo es un robo y no tenía intención de transferir o vender esos activos. Así que ahora estoy tratando de encontrar formas de recuperar mi propiedad”.
¡Eche un vistazo a un nuevo método de estafa! No lo confundas con una mesada
Cuando las personas detrás de la billetera ZenGo quisieron agregar compatibilidad con códigos QR, primero decidieron investigar un poco sobre los aspectos de seguridad. Lo que encontraron fue inquietante, pero no del todo inesperado. Cualquiera puede simplemente generar un código QR que envíe dinero a su dirección en lugar de a la deseada. Y nadie puede decirlo, ya que casi todos los códigos QR se parecen.
Por ejemplo,
Curiosamente, notaron que algunos
Otros juegan con el código de modo que si intentas copiar y pegar la dirección para verificarla, el sitio copiará tu dirección en el portapapeles en lugar de la de ellos para que creas que coincide. ¡ZenGo rastreó cerca de $20,000 en Bitcoin estafado usando las direcciones que examinaron y creía que era solo la punta del iceberg!
Agregaría que, en mi opinión, aquí ayudará el principio de separación de dispositivos: con un dispositivo limpio con
Así es como funciona el ataque QRLJacking entre bastidores:
Para obtener más información sobre las herramientas de QRLJacking y más, visite el
Si bien los esquemas discutidos en este artículo pueden parecer preocupantes, los usuarios pueden mantener a raya las estafas de códigos QR siguiendo estas mejores prácticas sugeridas por
Si escanea un código QR que parece sospechoso, preste atención a lo que el código intenta iniciar y no se conecte a una red Wi-Fi ni navegue a un enlace que está acortado. Algunos investigadores incluso señalan el beneficio de
Si bien la mayoría de los códigos QR deberían ser seguros para escanear en un teléfono inteligente, escanear las cargas útiles que generamos hoy en un dispositivo para escanear boletos o tarjetas de embarque puede resultar en un comportamiento extraño del dispositivo. No escanee cargas útiles en un escáner que necesita trabajar inmediatamente después de un evento o trabajo, o cualquier escáner que no tenga permiso para probar, ya que algunas de estas cargas útiles pueden hacer que el escáner deje de funcionar.
No te estoy pidiendo que cumplas con todo esto, pero debes recordar la regla principal en este caso particular:
Si finalmente queremos darle a la gente la oportunidad de ser su banco, debemos darnos cuenta de que en este caso, ¡la gente debe ser capaz de reemplazar todos aquellos servicios y acciones por los que los bancos tradicionales obtienen dinero!
Siga el
Usar
Dicho esto, no importa en qué industria se encuentre. Si tiene alguna información confidencial y patentada, entonces podría ser un objetivo. Esto es algo bueno para tener siempre en cuenta. Además, ¿quién sabe cuántas vulnerabilidades más acechan en los códigos QR? Simplemente busque en Google QR Code 0day, QR Code 1 day o QR code CVE y verá muchas cosas interesantes, por ejemplo,
Aprende lo último
¡Prevenido vale por dos! ¡Mantenerse a salvo!
El soporte es muy importante para mí, con él puedo pasar menos tiempo en el trabajo y hacer lo que amo: ¡educar a los usuarios de Defi y Crypto! ❤️
Si quieres