Le danger caché des codes QR

Je suis très heureux que vous relisiez mon article, chers amis! Il semblerait, quel danger un code QR peut-il représenter ? Il s'avère que vous pouvez même perdre votre crypto-monnaie ainsi que la monnaie fiduciaire et les connexions Internet à cause de plusieurs attaques, qui sont basées sur la mécanique des codes QR.

Étudions ces attaques et voyons comment nous pouvons nous défendre avec succès contre elles !

Dans cet article, je ferai référence à divers auteurs et ressources étonnants que je vous recommande fortement de les étudier séparément par vous-même. La liste des références se trouve à la fin de l'article, bonne lecture !

Remerciement spécial:

• La couverture de cet article a été fait par mon bon ami et artiste — RegulLion . Nous nous connaissons bien donc au cas où je disparais, il aura les coordonnées exactes de moi. Considérez ceci comme mon canari . Dans cet article, vous verrez d'autres travaux, ils n'ont pas de sens scientifique, mais j'aimerais les inclure pour vous aider à imaginer plus clairement de quoi nous parlons et vous mettre dans le bon état d'esprit ! Merci également pour l'aide au montage !

• Merci beaucoup Pêches pour de l'aide avec l'édition et la relecture !

• Un grand merci à Deer de Telegram pour son aide à la relecture !

I - Qu'est-ce qu'un QR code ?

Un code QR est un code-barres bidimensionnel qui peut stocker 7 089 chiffres ou 4 296 caractères . Il peut être scanné à l'aide d'un scanner ou d'un lecteur de code QR, qui est intégré aux caméras par défaut de la plupart des appareils mobiles, pour déchiffrer les données qui y sont encodées.

Il s'agit d'une chaîne de texte, et il s'agit généralement d'une URL ou d'un lien vers un site Web ou le compte officiel d'un marchand sur un système de paiement. La numérisation d'un code QR évite à l'utilisateur d'avoir à saisir une longue adresse dans un navigateur Web ou à saisir manuellement le nom d'utilisateur ou le numéro d'un commerçant dans une application de paiement, entre autres avantages.

Selon Kody Kinzie , chercheur en sécurité, la réponse à la limitation des codes-barres linéaires était Les codes-barres 2D, qui offrent une plus grande résistance au stockage pour que les dommages physiques affectent les informations qu'ils contiennent. Certains des premiers codes 2D ressemblaient à celui ci-dessous, qui est encore largement utilisé aujourd'hui.

Le code aztèque est un code 2D ou matriciel lisible par machine qui ressemble à bien des égards à un code QR et peut contenir plus d'informations qu'un code-barres linéaire. Initialement développé pour la logistique, vous pouvez le voir utilisé sur les colis et les enveloppes lorsque plus de données doivent être stockées qu'un code-barres linéaire ne peut en fournir.

D'autres types de codes-barres 2D peuvent contenir une quantité extrêmement dense de données. Le format PDF417 trouvé au verso de la plupart des permis de conduire aux États-Unis, par exemple, peut encoder jusqu'à 1800 caractères ASCII.

Les codes PDF417 comme ceux ci-dessus peuvent encoder du texte, des nombres, des fichiers et des octets de données réels, et ils sont plus résistants aux erreurs que les codes à barres linéaires. Des entreprises comme FedEx utilisent une combinaison de PDF417 et d'autres codes-barres sur les bordereaux d'expédition pour automatiser la livraison et le suivi.

Les codes QR ont commencé dans l'industrie automobile comme moyen de suivre les voitures au fur et à mesure de leur fabrication, mais ont rapidement gagné en popularité en dehors de cette industrie. Semblables à d'autres codes 2D, les codes QR peuvent contenir une tonne de données et peuvent même fonctionner lorsqu'ils sont réduits en résolution ou autrement endommagés.

Une application fascinante des codes QR rendue possible par leur plus grande capacité de données consiste à les utiliser pour faire en sorte Wifi Connexions sans partager le mot de passe en texte brut. En encodant la chaîne suivante, vous pouvez créer un code QR qui connecte automatiquement les utilisateurs d'Android à un réseau Wi-Fi.

La commodité offerte par les codes QR et l'omniprésence des appareils mobiles ont grandement contribué à l'utilisation généralisée de ces codes-barres bidimensionnels. Cependant, leur popularité a également créé un terrain fertile pour que les acteurs malveillants améliorent leur

Boîte à outils de logiciels malveillants à code QR pour voler non seulement des informations personnelles, mais également des actifs durement gagnés qui sont impossibles à récupérer une fois perdus. Les menaces impliquant des codes QR sont devenues si répandues et sournoises que le FBI a récemment publié un Attention à propos d'eux.

Comme le décrit l'agence, l'escroc contactera sa victime et la convaincra d'une manière ou d'une autre qu'elle doit envoyer de l'argent, soit avec des promesses d'amour, d'autres richesses, soit en se faisant passer pour une institution réelle comme une banque ou une entreprise de services publics.

Une fois la marque convaincue, l'escroc leur fera retirer de l'argent (parfois sur des comptes d'investissement ou de retraite) et se dirigera vers un guichet automatique qui vend des crypto-monnaies et prend en charge la lecture de codes QR. Une fois que la victime est là, elle scannera un code QR que l'escroc lui a envoyé, qui indiquera à la machine d'envoyer toute crypto achetée à l'adresse de l'escroc.

Juste comme ça, la victime perd son argent et l'escroc l'a exploité avec succès.

Les acteurs malveillants recherchent des personnes ordinaires et sans méfiance qui ne savent pas grand-chose, voire pas du tout, sur la sécurité des codes QR. Alors, comment éviter les escroqueries par code QR ?

Dans cet article, je vais discuter avec vous des différentes façons dont les fraudeurs utilisent les codes QR pour tromper les utilisateurs et recommander des conseils sur la façon dont les utilisateurs peuvent se protéger contre les escroqueries par code QR.

Tout d'abord, définissons quelles attaques existent et nous commencerons par la toute première qui nous vient à l'esprit - une attaque sur l'argent du compte bancaire où les crypto-monnaies et QR ne sont qu'un outil.

Ne vous découragez pas - il y a des attaques plus sérieuses à venir, mais je veux que vous compreniez que les agences gouvernementales accordent rarement autant d'attention à un type d'escroquerie apparemment insignifiant. Peut-être y a-t-il une raison de tuer ce type dès le début et de sensibiliser les gens à une telle attaque, via QR.

Découvrons où tout a commencé ! Il est important de noter que les acteurs malveillants ont investi beaucoup de temps et de ressources pour faire en sorte que leurs escroqueries utilisant le code QR semblent légitimes et utiles, comme l'illustrent les exemples suivants :

Codes QR superposés

Un excellent exemple d'escroquerie par code QR qui repose sur le domaine physique consiste en des acteurs malveillants qui impriment des autocollants de code QR et les placent physiquement sur des autocollants authentiques. Les gens supposent généralement que les panneaux ou les affiches avec des codes QR dans les magasins et les espaces publics sont sûrs, et peuvent donc ignorer que des acteurs malveillants pourraient remplacer des codes QR légitimes par de faux dans le cadre de leurs stratagèmes frauduleux.

Ce fut le cas dans un régime impliquant des paiements pour partage de vélos en Chine . Des acteurs malveillants auraient remplacé les codes QR que les utilisateurs devaient scanner pour payer l'utilisation des vélos avant qu'ils ne puissent être déverrouillés.

En conséquence, les paiements des utilisateurs peu méfiants ont été transférés sur les comptes des acteurs malveillants, sans que les utilisateurs aient pu déverrouiller les vélos pour leur usage.

Tout récemment, les forces de l'ordre de plusieurs villes américaines ont émis des avertissements concernant un stratagème similaire, dans lequel des acteurs malveillants avaient collé leurs codes QR frauduleux sur des codes QR légitimes sur __ parcomètres __ pour inciter les utilisateurs à saisir leurs informations de paiement sur leurs sites Web de phishing.

Codes QR utilisés dans l'ingénierie sociale du monde réel

Un autre exemple d'escroquerie par code QR qui profite du domaine physique est un stratagème qui a été mis en œuvre dans un parking à les Pays-Bas et cela a conduit au vol de milliers d'euros.

Des acteurs malveillants auraient approché des individus pour payer les frais de stationnement non par l'intermédiaire de la machine désignée dans le parking, prétendument parce qu'elle était en panne. Portant des vêtements d'apparence professionnelle pour avoir l'air plus crédibles, les fraudeurs ont persuadé leurs victimes de scanner le code QR qu'elles avaient à la place, détournant ainsi les paiements sur leur compte.

Codes QR dans les e-mails de phishing

Les escrocs sont connus pour intégrer des codes QR dans leurs attaques de phishing, une pratique connue sous le nom de "quishing". Ils le font principalement pour pouvoir contourner les solutions de sécurité traditionnelles qui peuvent signaler les URL malveillantes lorsqu'elles apparaissent dans les e-mails, mais pas lorsqu'elles sont liées à (ou cachées derrière) des codes QR.

En décembre 2021, une campagne de phishing utilisant des codes QR pour voler les informations d'identification bancaires des utilisateurs en Allemagne a été signalée. Dans la campagne, des acteurs malveillants envoient un e-mail se faisant passer pour une banque et demandant au destinataire d'examiner et d'accepter les modifications de la politique de confidentialité de la banque en scannant le code QR dans l'e-mail. Mais le code QR renvoie à un site de phishing où la victime peut involontairement saisir ses identifiants bancaires pour que les acteurs malveillants les collectent.

Un schéma de quishing pour obtenir Microsoft 365 les titres de compétences ont également été signalés à la fin de l'année dernière. Cette campagne commence par un e-mail provenant d'un compte de messagerie précédemment compromis et contenant un message vocal que le destinataire peut soi-disant écouter en scannant le code QR dans l'e-mail. Le code QR, cependant, mène à une fausse page de connexion conçue pour voler les informations d'identification Microsoft 365.

QR Codes pour souscrire à des services premium

Des acteurs malveillants peuvent utiliser des codes QR pour abonner des utilisateurs peu méfiants à des services premium et voler les fonds facturés mensuellement à ces utilisateurs. Ce schéma a été utilisé dans la campagne de chevaux de Troie Android connue sous le nom de GriftHorse , qui avait fait plus de 10 millions d'utilisateurs dans le monde en septembre 2021.

Applications de lecture de codes QR et de codes-barres

À la mi-2021, les applications de lecture de code QR et de code-barres liées au Logiciel malveillant Anatsa est apparu sur Google Play. (Ils ont depuis été retirés du magasin.) L'infection par une telle application commence par obliger l'utilisateur à mettre à jour l'application lors de l'installation, apparemment pour que l'utilisateur puisse continuer à l'utiliser.

Après le téléchargement réussi de la mise à jour supposée, l'application invite l'utilisateur à autoriser l'installation d'applications à partir de sources inconnues. Étant donné que l'utilisateur était auparavant amené à croire que la mise à jour était nécessaire au bon fonctionnement de l'application, l'utilisateur accorde l'autorisation. Une fois la mise à jour effectuée, le logiciel malveillant s'exécute sur l'appareil et demande immédiatement à l'utilisateur d'accorder des privilèges au service d'accessibilité.

Les acteurs malveillants prennent le contrôle total de l'appareil et peuvent effectuer des actions au nom de l'utilisateur une fois que celui-ci a activé les privilèges du service d'accessibilité. À ce stade, l'application infestée de logiciels malveillants s'exécute et fonctionne comme une application légitime. La scène est donc prête pour que des acteurs malveillants volent les identifiants de connexion et accèdent à toutes les informations affichées sur l'appareil de l'utilisateur sans méfiance.

Applications de création de code QR

Les applications cheval de Troie peuvent se faire passer pour des applications de création de code QR. Dans un stratagème perpétré par le groupe d'acteurs malveillants Brunhilda, une telle application demande à l'utilisateur de s'inscrire. Une fois l'enregistrement terminé et qu'il obtient des informations détaillées sur l'appareil, l'application télécharge et installe une charge utile de cheval de Troie, qui pourrait effectuer le vol d'informations personnelles sensibles telles que les identifiants de connexion ou les détails du compte bancaire.

Codes QR utilisés dans le Doxxing

Tout d'abord, n'importe qui peut créer un pixel de suivi, créer un lien vers une page, puis le lier à un code QR. Tout enregistreur populaire ( canarytokens.org , iplogger.com ) peut être utilisé à cette fin si la réception de données étendues dans les paramètres de l'enregistreur est activée.

Le pixel créé peut également être placé sur un site externe. Il peut s'agir d'un blog ( télégraphe , moyen.com , teletype.in ) ou même une page source OSINT ( start.me ) qui à son tour peut être lié à un code QR.

III - Bugs et problèmes de code QR

Apple IOS 11

Avec iOS 11, Apple a introduit une nouvelle fonctionnalité qui donne aux utilisateurs la possibilité de lire automatiquement les codes QR à l'aide de l'application de caméra native de leur iPhone sans nécessiter d'application de lecture de code QR tierce.

Vous devez ouvrir l'application Appareil photo sur votre iPhone ou iPad et diriger l'appareil vers un code QR. Si le code contient une URL, il vous enverra une notification avec l'adresse du lien, vous demandant de taper pour le visiter dans le navigateur Safari. Cependant, soyez prudent - vous ne visitez peut-être pas l'URL qui vous est affichée, chercheur en sécurité Roman Mueller découvert .

Selon Mueller, l'analyseur d'URL du lecteur de code QR intégré pour l'application appareil photo iOS ne parvient pas à détecter le nom d'hôte dans l'URL, ce qui permet aux attaquants de manipuler l'URL affichée dans la notification, incitant les utilisateurs à visiter des sites Web malveillants à la place.

Pour la démo, le chercheur a créé un code QR (illustré ci-dessus) avec l'URL suivante :

https://xxx\\@facebook.com:[email protected]/

If you scan it with the iOS camera app, it will show following notification:

Open "facebook.com" in Safari

When you tap it to open the site, it will instead open:

https://infosec.rm-it.de/

Il existe également un outil qui s'appelle QRGen - il peut créer des codes QR malveillants et même encoder des charges utiles personnalisées. Ces attaques sont puissantes car les humains ne peuvent pas lire ou comprendre les informations contenues dans un code QR sans le scanner, exposant potentiellement tout appareil utilisé pour tenter de déchiffrer le code à l'exploit qu'il contient.

Même les scanners de code QR comme les smartphones peuvent être vulnérables à ce type d'attaques, car les codes QR se sont révélés être capable d'attirer les utilisateurs d'iPhone vers des sites malveillants . Découvrez cet article génial qui décrit comment cet outil fonctionne en détail.

Discord QR Connexion

En décembre 2020, les développeurs de Discord - une application de chat vocal et textuel largement utilisée par la communauté des joueurs - ont annoncé le lancement d'un Fonctionnalité de code QR qui permet aux utilisateurs de se connecter au client Web de bureau à l'aide de leur téléphone, en scannant le code qui apparaît à l'écran.

• Discord a apporté quelques modifications à son système de connexion par code QR à la suite de rapports selon lesquels le mécanisme est abusé par des escrocs essayant d'accéder aux comptes des utilisateurs.

Alors que cette fonctionnalité visait à simplifier le processus de connexion Discord pour les utilisateurs de bureau, des nouvelles ont fait surface selon lesquelles des fraudeurs exploitaient le système pour obtenir un accès non autorisé aux comptes.

Selon des discussions sur divers serveurs Discord et sur les réseaux sociaux, des escrocs ont publié des codes QR avec la promesse de Nitro , le forfait d'abonnement de la plateforme qui offre de nombreux avantages et autres cadeaux.

En scannant le code, cependant, les utilisateurs fournissent par inadvertance à l'attaquant l'accès à leur compte.

«La méthode de connexion par QR fonctionne sans nom d'utilisateur / mot de passe ni 2FA, et bien qu'elle rende Discord beaucoup plus pratique pour se connecter partout, elle est malheureusement exploitée sous la forme de faux cadeaux Nitro (et éventuellement d'autres formes) », a déclaré un utilisateur de Discord.

Opinion partagée sur la gravité potentielle de cet exploit. Pour certains utilisateurs, la compromission de leurs comptes peut entraîner un peu plus que de la frustration – bien qu'il soit peu probable que quiconque soit satisfait que quelqu'un puisse se faire passer pour eux en ligne.

Cependant, après avoir publié un preuve de concept pour démontrer l'apparente facilité d'exploitation, le partenaire de Twitch, Pirate Software, a déclaré que si l'utilisateur était un abonné Nitro, un attaquant pourrait avoir accès à son nom, son adresse et adresse e-mail PayPal non masquée .

Discord n'a pas immédiatement répondu à notre demande de commentaire. Le personnel a pesé sur un Fil de discussion Reddit , notant que la fenêtre de connexion par code QR avait été réduite, pour contrecarrer les escrocs potentiels.

« Nous avons récemment réduit la fenêtre de validité du code QR de 10 minutes à 2 minutes », a dit un ingénieur Discord, qui a ajouté :

Nous… avons remarqué une augmentation du nombre de personnes essayant d'inciter socialement les utilisateurs à scanner des codes QR dans le but de les inciter à se connecter à un autre appareil qu'ils ne contrôlent pas.

Notre pensée initiale était que le verbiage à l'écran serait suffisant pour dissuader les attaques d'ingénierie sociale, cependant, nous convenons qu'un verbiage plus clair et un avertissement pourraient être en place.

Sur l'ensemble de nos canaux de publication d'applications mobiles, nous avons modifié le verbiage de l'écran de confirmation pour souligner plus clairement que vous vous connectez à un autre appareil et imposer un délai avant que le bouton "Se connecter" ne soit actif (en espérant que les gens lisent le texte rouge .) Vous pouvez voir ce nouvel écran ici .

En plus d'être discuté sur plusieurs serveurs Discord, le problème a déjà trouvé son chemin vers les médias sociaux, avec un utilisateur tweeter : « PSA : si quelqu'un vous envoie un code QR via Discord, ne le scannez pas. Ils peuvent l'utiliser pour obtenir un accès instantané à votre compte.

"Une bonne quantité de désinformation est faite ici", ils a dit . « Discord exige que vous confirmiez la connexion avant que l'attaquant n'y ait accès. Si vous ignorez simplement les avertissements que Discord vous donne, c'est de votre faute. Soyez simplement intelligent et ne tombez pas dans le piège de ces attaques.

Sur Reddit, cependant, l'argument "ne tombez pas dans les attaques" a échoué.

"Je ne comprends pas l'élitisme de 'Si vous vous faites hameçonner, c'est de votre faute, maintenant foutez le camp, la discorde ne devrait rien changer'". a écrit un utilisateur. "Créez quelque chose de sain et sauf, pas, 'Ouais, ce code QR peut être utilisé pour se connecter, il l'a clairement dit, mais vous n'y avez pas prêté attention...'"

• Lisez Comment éviter les Blackhats Blockchain sur Discord

Savons-nous combien d'autres applications qui utilisent QR ont cette vulnérabilité ? Par exemple, dans Telegram? Bien sûr, la question est rhétorique.

IV - QR + Crypto = ?..

Gardez votre renard en sécurité !

Les escrocs peuvent utiliser des codes QR pour inciter les utilisateurs à télécharger portefeuilles de crypto-monnaie contrefaits en promettant que, ce faisant, ils obtiendraient des récompenses, qui sont de faux jetons. Un autre type d'appât consiste à utiliser des codes QR pour télécharger de faux portefeuilles de crypto-monnaie qui promettent des réductions des frais de mineur.

Une autre arnaque connexe est l'utilisation de codes QR pour obtenir une approbation non autorisée de jetons, qui sont utilisés pour faciliter le transfert d'actifs d'un portefeuille de crypto-monnaie à un autre. Rapports d'incidents ont cité ce stratagème comme la principale raison de la perte de fonds importants.

En outre, les escroqueries de code QR liées à la crypto-monnaie impliquant MetaMask qui est un portefeuille de crypto-monnaie pour interagir avec la blockchain Ethereum. Les acteurs malveillants peuvent pirater les comptes d'extension MetaMask via des codes QR pour transférer des fonds sans les clés privées du propriétaire du compte.

• Découvrez quand, après le vol de plusieurs singes, MetaMask a apporté des modifications à sa synchronisation de code QR mobile

"C'est incroyablement embarrassant à certains niveaux, a tweeté Nicholas. «Sur d'autres, incroyablement traumatisant. Oui, j'ai ouvert le code QR et signé le grand livre. Mais j'étais sévèrement manipulé et je n'ai réalisé ce qui se passait que trop tard. J'ai été victime d'une arnaque, d'un hameçonnage et d'un vol. Certains connards vont dire "c'est ce que vous obtenez". Et peut-être ont-ils raison. Mais soyons clairs, une arnaque est une arnaque, un vol est un vol, et je n'avais aucune intention de transférer ou de vendre ces actifs. Alors maintenant, j'essaie de trouver des moyens de récupérer ma propriété.

• Découvrez 6 façons dont un site Web peut attaquer votre MetaMask !

Découvrez une nouvelle méthode d'escroquerie ! Ne pas confondre avec une allocation approuver l'arnaque (pour l'empêcher, vous pouvez utiliser révoquer.cash / unrekt.net ) qui cible les jetons ERC20, mais pas les Ethers. ( 1 , 2 , 3 , 4 ).

• Découvrez comment les pirates peuvent voler vos Ethers et pourquoi la fonction eth_sign est importante.

Lorsque les personnes derrière le portefeuille ZenGo ont voulu ajouter la prise en charge du code QR, elles ont décidé de faire d'abord quelques recherches sur les aspects de sécurité. Ce qu'ils ont trouvé était troublant, mais pas tout à fait inattendu. N'importe qui peut simplement générer un code QR qui envoie de l'argent à son adresse au lieu de celle prévue. Et personne ne peut dire que presque tous les codes QR se ressemblent.

Une enquête de ZenGo :

Par exemple, ZenGo a utilisé un site Google pour demander un code QR pour l'adresse : 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 , ils ont reçu à la place un code QR qui a envoyé des fonds à l'adresse de l'escroc : 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

Fait intéressant, ils ont remarqué que certains escrocs ont fait monter les enchères avec quelques astuces. Certains des sites de faux codes QR ont manipulé le code QR de sorte que si vous avez coché, il ressemble superficiellement à la bonne adresse en faisant correspondre la première lettre ou un chiffre tel que '1', '3' ou 'bc'.

D'autres s'amusent avec du code de sorte que si vous essayez de copier et coller l'adresse pour la revérifier, le site copiera votre adresse dans le presse-papiers au lieu de la leur afin que vous pensiez qu'elle correspond. ZenGo a suivi environ 20 000 $ de Bitcoin frauduleux en utilisant les adresses qu'ils ont examinées et a cru que ce n'était que la pointe de l'iceberg !

J'ajouterais qu'à mon avis, cela aidera le principe de séparation des appareils - avec un appareil propre avec airgap.it vous pouvez numériser QR, avec un autre uniquement assis sur le navigateur, et sur le troisième stockage froid ou papier le plus sécurisé - stocker des économies de base. Rien ne vous empêche de stocker votre "somme chaude" principale sur le même coffre divisé. Être prudent!

V - QRLJacking : Une revue de la communauté OWASP

QRLJacking ou Quick Response Code Login Jacking est un simple vecteur d'attaque d'ingénierie sociale capable de détourner une session affectant toutes les applications qui s'appuient sur la fonctionnalité "Connexion avec code QR" comme moyen sécurisé de se connecter à des comptes. Simplement, en un mot, la victime scanne les résultats du code QR de l'attaquant du piratage de session.

Voici comment l'attaque QRLJacking fonctionne en coulisse :

1. L'attaquant initialise une session QR côté client et clone le code QR de connexion dans un site Web de phishing. "Maintenant, une page de phishing bien conçue avec un code QR valide et régulièrement mis à jour est prête à être envoyée à une victime."
2. L'attaquant envoie la page de phishing à la victime. (faire référence àQRLJacking de vecteurs d'attaque réels )
3. La victime scanne le code QR avec une application mobile ciblée spécifique.
4. L'attaquant prend le contrôle du compte de la victime.
5. Le service échange toutes les données de la victime avec la session de l'attaquant.

Flux d'attaque QRLJacking

Pour plus d'informations sur les outils QRLJacking et plus, veuillez visiter le QRLJacking sur Github

Exemples de preuve de concept (vidéos)

• WhatsApp QRHijackingVulnérabilité
• Détournement de comptes WhatsApp et empoisonnement ARP
• AirDroid vulnérable à QRLJackingVulnerability
• Les applications et services Web vulnérables utilisent la connexion par code QRFonctionnalité #1
• Les applications et services Web vulnérables utilisent la connexion par code QRFonctionnalité partie #2

VI - Conseils pour assurer la sécurité du code QR

Bien que les stratagèmes abordés dans cet article puissent sembler inquiétants, les utilisateurs peuvent éviter les escroqueries par code QR en suivant ces meilleures pratiques suggérées par TrendMicro :

• Assurez-vous que le site Web lié d'une agence gouvernementale ou d'un autre fournisseur de services officiel est légitime avant de fournir vos informations personnelles. Vérifiez les fautes d'orthographe sur l'URL elle-même.
• Réfléchissez à deux fois avant de scanner un code QR trouvé dans les e-mails qui vous sont envoyés même s'ils semblent provenir d'organisations ou de personnes que vous connaissez. Activez l'authentification multifacteur avec vos comptes bancaires, d'entreprise et autres pour empêcher le vol d'identifiants de connexion.
• Lorsque vous effectuez une transaction dans les locaux d'un commerçant ou d'un fournisseur de services, vérifiez le code QR pour vous assurer qu'il n'est pas collé sur un code original légitime.
• Utilisez les codes QR pour payer uniquement lorsque vous effectuez des transactions directement avec des marchands de confiance, des prestataires de services ou des personnes que vous connaissez.
• Soyez prudent lorsque vous accordez des autorisations lorsqu'une application les demande, car certaines des autorisations demandées peuvent être dangereuses.

Les codes QR peuvent encoder beaucoup d'informations, et comme nous l'avons appris aujourd'hui, ils peuvent même être formatés pour amener un appareil à effectuer des actions comme se connecter à un réseau Wi-Fi. Cela rend la numérisation d'un code QR risquée, car une personne n'a aucun moyen de lire les informations avant d'exposer votre appareil à la charge utile contenue à l'intérieur.

Si vous scannez un code QR qui semble suspect, faites attention à ce que le code tente de lancer et ne vous connectez pas à un réseau Wi-Fi ou ne naviguez pas vers un lien raccourci. Certains chercheurs notent même l'avantage de QR pour l'anonymat global dans la blockchain ! Cela signifie que cette technologie a un avenir dans le Web3.0 aussi bien qu'elle l'a déjà dans le Web2.0.

Alors que la plupart des codes QR doivent pouvoir être scannés en toute sécurité sur un smartphone, la numérisation des charges utiles que nous avons générées aujourd'hui sur un appareil pour scanner des billets ou des cartes d'embarquement peut entraîner un comportement bizarre de l'appareil. N'analysez pas les charges utiles sur un scanner dont vous avez besoin pour travailler immédiatement après un événement ou un travail - ou tout scanner que vous n'êtes pas autorisé à tester - car certaines de ces charges utiles peuvent entraîner l'arrêt du fonctionnement du scanner.

Je ne vous demande pas de vous conformer à tout cela, mais vous devez vous souvenir de la règle principale dans ce cas particulier :

• Votre niveau d'OpSec dépend généralement de votre modèle de menace et de l'adversaire auquel vous êtes confronté. Il est donc difficile de définir la qualité de votre OpSec.

Si nous voulons enfin donner aux gens la possibilité d'être leur banque, nous devons réaliser que dans ce cas, les gens doivent pouvoir remplacer tous ces services et actions pour lesquels les banques traditionnelles obtiennent de l'argent !

Suivre la 25 règles dans cet ensemble, les 10 premières règles concernent la sécurité personnelle, et le reste à la sécurité de l'entreprise, gardez également un œil sur le dernières tendances en crypto OpSec, cela a toujours du sens. N'ayez pas peur de liens , vous n'avez pas besoin de tous, mais vous devriez pouvoir choisir celui qui vous intéresse le plus pour votre parcours.

• Guide OpSec DarkNet-DeepWeb
• Modélisation des menaces
• Lisez à propos de Timing Attack | Attaque via un échantillon représentatif

Utilisation de vastes mesures lorsque vous travaillez avec des fichiers et toujours gardez un œil sur les dernières sécurités tendances même si votre région en est éloignée. Prends ça sous-reddit et ce génial vieux et de confiance Ressource comme première étape. Dans notre monde dangereux, n'importe qui peut devenir une cible, surtout en crypto.

Cela dit, peu importe le secteur dans lequel vous travaillez. Si vous possédez des informations confidentielles et confidentielles, vous pourriez très bien être une cible. C'est une bonne chose à toujours garder à l'esprit. De plus, qui sait combien d'autres vulnérabilités se cachent dans les codes QR ? Il suffit de google QR Code 0day, QR Code 1 day ou QR code CVE et vous verrez beaucoup de choses intéressantes - par exemple, 1 , 2 .

Apprenez la dernière technique d'attaque , feuilles de triche du chapeau blanc , et méthodes de défense, et rejoignez hacker communautés - parce que ce n'est qu'avec la connaissance que nous pouvons vaincre la connaissance des pirates. Dans cette bataille intellectuelle, le plus préparé gagnera et je crois que ce sera toi, Anon. Cela semble effrayant mais c'est possible, l'essentiel est de toujours penser à l'avance .

Prévenu est prévenu ! Être prudent!

Références:

• www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/hidden-scams-in-malicious-scans-how-to-use-QR-codes-safely
• null-byte.wonderhowto.com/how-to/create-malicious-QR-codes-hack-phones-other-scanners-0197416/
• micky.com.au/how-scammers-are-using-QR-codes-to-steal-your-bitcoin/
• menacepost.com/qr-code-scammers-bitcoin-atms/168621/
• www.zdnet.com/article/fbi-warning-crooks-are-using-fake-QR-codes-to-steal-your-passwords-and-money/
• www.coindesk.com/business/2021/11/05/fbi-warns-of-scams-using-crypto-ATMs-and-QR-codes/
• www.theverge.com/2021/11/5/22765900/crypto-scam-FBI-PSA-atm-QR-code-wire-transfer-con-artist
• tech.hindustantimes.com/tech/news/iphone-user-beware-of-fake-QR-codes-71651747604570.html
• securityaffairs.co/wordpress/70739/hacking/qr-code-ios-bug.html
• github.com/h0nus/QRGen

Découvrez mes articles :

• Principes clés du stockage de la crypto, sécurité du portefeuille froid
• 2 vecteurs d'attaques violentes dans Crypto : un regard plus attentif
• Guide de la stéganographie d'un agent de la CIA, tromper le KGB et protéger votre crypto
• OpSec dans Crypto & Web3.0 : Réflexions
• Une vue sur OpSec à travers le prisme du temps
• Toutes les attaques et vulnérabilités intelligentes connues côté contrat et côté utilisateur dans Web3.0, Defi, NFT et Metaverse

Me soutenir:

Le support est très important pour moi, avec lui je peux passer moins de temps au travail et faire ce que j'aime : éduquer les utilisateurs de Defi & Crypto ! ❤️

• Découvrez mon GitHub
• Suivre toutes mes activités
• Tous mes réseaux sociaux
• Rejoignez ma chaîne TG

Si tu veux Support mon travail, vous pouvez m'envoyer un don à l'adresse :

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A ou officiercia.eth — ETH, BSC, Polygone, Optimisme, Zk, Fantom, etc.
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU — BTC
• Monero XMR