![Search icon](https://hackernoon.imgix.net/search-new.png?w=19&h=19)
Je suis très heureux que vous relisiez mon article, chers amis! Il semblerait, quel danger un code QR peut-il représenter ? Il s'avère que vous pouvez même perdre votre crypto-monnaie ainsi que la monnaie fiduciaire et les connexions Internet à cause de plusieurs attaques, qui sont basées sur la mécanique des codes QR.
Étudions ces attaques et voyons comment nous pouvons nous défendre avec succès contre elles !
Dans cet article, je ferai référence à divers auteurs et ressources étonnants que je vous recommande fortement de les étudier séparément par vous-même. La liste des références se trouve à la fin de l'article, bonne lecture !
Un code QR est un
Il s'agit d'une chaîne de texte, et il s'agit généralement d'une URL ou d'un lien vers un site Web ou le compte officiel d'un marchand sur un système de paiement. La numérisation d'un code QR évite à l'utilisateur d'avoir à saisir une longue adresse dans un navigateur Web ou à saisir manuellement le nom d'utilisateur ou le numéro d'un commerçant dans une application de paiement, entre autres avantages.
Selon
Le code aztèque est un code 2D ou matriciel lisible par machine qui ressemble à bien des égards à un code QR et peut contenir plus d'informations qu'un code-barres linéaire. Initialement développé pour la logistique, vous pouvez le voir utilisé sur les colis et les enveloppes lorsque plus de données doivent être stockées qu'un code-barres linéaire ne peut en fournir.
D'autres types de codes-barres 2D peuvent contenir une quantité extrêmement dense de données. Le format PDF417 trouvé au verso de la plupart des permis de conduire aux États-Unis, par exemple, peut encoder jusqu'à 1800 caractères ASCII.
Les codes PDF417 comme ceux ci-dessus peuvent encoder du texte, des nombres, des fichiers et des octets de données réels, et ils sont plus résistants aux erreurs que les codes à barres linéaires. Des entreprises comme FedEx utilisent une combinaison de PDF417 et d'autres codes-barres sur les bordereaux d'expédition pour automatiser la livraison et le suivi.
Les codes QR ont commencé dans l'industrie automobile comme moyen de suivre les voitures au fur et à mesure de leur fabrication, mais ont rapidement gagné en popularité en dehors de cette industrie. Semblables à d'autres codes 2D, les codes QR peuvent contenir une tonne de données et peuvent même fonctionner lorsqu'ils sont réduits en résolution ou autrement endommagés.
Une application fascinante des codes QR rendue possible par leur plus grande capacité de données consiste à les utiliser pour
La commodité offerte par les codes QR et l'omniprésence des appareils mobiles ont grandement contribué à l'utilisation généralisée de ces codes-barres bidimensionnels. Cependant, leur popularité a également créé un terrain fertile pour que les acteurs malveillants améliorent leur
Boîte à outils de logiciels malveillants à code QR pour voler non seulement des informations personnelles, mais également des actifs durement gagnés qui sont impossibles à récupérer une fois perdus. Les menaces impliquant des codes QR sont devenues si répandues et sournoises que le FBI a récemment publié un
Comme le décrit l'agence, l'escroc contactera sa victime et la convaincra d'une manière ou d'une autre qu'elle doit envoyer de l'argent, soit avec des promesses d'amour, d'autres richesses, soit en se faisant passer pour une institution réelle comme une banque ou une entreprise de services publics.
Une fois la marque convaincue, l'escroc leur fera retirer de l'argent (parfois sur des comptes d'investissement ou de retraite) et se dirigera vers un guichet automatique qui vend des crypto-monnaies et prend en charge la lecture de codes QR. Une fois que la victime est là, elle scannera un code QR que l'escroc lui a envoyé, qui indiquera à la machine d'envoyer toute crypto achetée à l'adresse de l'escroc.
Juste comme ça, la victime perd son argent et l'escroc l'a exploité avec succès.
Les acteurs malveillants recherchent des personnes ordinaires et sans méfiance qui ne savent pas grand-chose, voire pas du tout, sur la sécurité des codes QR. Alors, comment éviter les escroqueries par code QR ?
Dans cet article, je vais discuter avec vous des différentes façons dont les fraudeurs utilisent les codes QR pour tromper les utilisateurs et recommander des conseils sur la façon dont les utilisateurs peuvent se protéger contre les escroqueries par code QR.
Tout d'abord, définissons quelles attaques existent et nous commencerons par la toute première qui nous vient à l'esprit - une attaque sur l'argent du compte bancaire où les crypto-monnaies et QR ne sont qu'un outil.
Ne vous découragez pas - il y a des attaques plus sérieuses à venir, mais je veux que vous compreniez que les agences gouvernementales accordent rarement autant d'attention à un type d'escroquerie apparemment insignifiant. Peut-être y a-t-il une raison de tuer ce type dès le début et de sensibiliser les gens à une telle attaque, via QR.
Découvrons où tout a commencé ! Il est important de noter que les acteurs malveillants ont investi beaucoup de temps et de ressources pour faire en sorte que leurs escroqueries utilisant le code QR semblent légitimes et utiles, comme l'illustrent les exemples suivants :
Un excellent exemple d'escroquerie par code QR qui repose sur le domaine physique consiste en des acteurs malveillants qui impriment des autocollants de code QR et les placent physiquement sur des autocollants authentiques. Les gens supposent généralement que les panneaux ou les affiches avec des codes QR dans les magasins et les espaces publics sont sûrs, et peuvent donc ignorer que des acteurs malveillants pourraient remplacer des codes QR légitimes par de faux dans le cadre de leurs stratagèmes frauduleux.
Ce fut le cas dans un régime impliquant des paiements pour
En conséquence, les paiements des utilisateurs peu méfiants ont été transférés sur les comptes des acteurs malveillants, sans que les utilisateurs aient pu déverrouiller les vélos pour leur usage.
Tout récemment, les forces de l'ordre de plusieurs villes américaines ont émis des avertissements concernant un stratagème similaire, dans lequel des acteurs malveillants avaient collé leurs codes QR frauduleux sur des codes QR légitimes sur __ parcomètres __ pour inciter les utilisateurs à saisir leurs informations de paiement sur leurs sites Web de phishing.
Un autre exemple d'escroquerie par code QR qui profite du domaine physique est un stratagème qui a été mis en œuvre dans un parking à
Des acteurs malveillants auraient approché des individus pour payer les frais de stationnement non par l'intermédiaire de la machine désignée dans le parking, prétendument parce qu'elle était en panne. Portant des vêtements d'apparence professionnelle pour avoir l'air plus crédibles, les fraudeurs ont persuadé leurs victimes de scanner le code QR qu'elles avaient à la place, détournant ainsi les paiements sur leur compte.
Les escrocs sont connus pour
En décembre 2021, une campagne de phishing utilisant des codes QR pour voler les informations d'identification bancaires des utilisateurs en Allemagne a été signalée. Dans la campagne, des acteurs malveillants envoient un e-mail se faisant passer pour une banque et demandant au destinataire d'examiner et d'accepter les modifications de la politique de confidentialité de la banque en scannant le code QR dans l'e-mail. Mais le code QR renvoie à un site de phishing où la victime peut involontairement saisir ses identifiants bancaires pour que les acteurs malveillants les collectent.
Des acteurs malveillants peuvent utiliser des codes QR pour abonner des utilisateurs peu méfiants à des services premium et voler les fonds facturés mensuellement à ces utilisateurs. Ce schéma a été utilisé dans la campagne de chevaux de Troie Android connue sous le nom de
À la mi-2021, les applications de lecture de code QR et de code-barres liées au
Après le téléchargement réussi de la mise à jour supposée, l'application invite l'utilisateur à autoriser l'installation d'applications à partir de sources inconnues. Étant donné que l'utilisateur était auparavant amené à croire que la mise à jour était nécessaire au bon fonctionnement de l'application, l'utilisateur accorde l'autorisation. Une fois la mise à jour effectuée, le logiciel malveillant s'exécute sur l'appareil et demande immédiatement à l'utilisateur d'accorder des privilèges au service d'accessibilité.
Les acteurs malveillants prennent le contrôle total de l'appareil et peuvent effectuer des actions au nom de l'utilisateur une fois que celui-ci a activé les privilèges du service d'accessibilité. À ce stade, l'application infestée de logiciels malveillants s'exécute et fonctionne comme une application légitime. La scène est donc prête pour que des acteurs malveillants volent les identifiants de connexion et accèdent à toutes les informations affichées sur l'appareil de l'utilisateur sans méfiance.
Les applications cheval de Troie peuvent se faire passer pour des applications de création de code QR. Dans un stratagème perpétré par le groupe d'acteurs malveillants
Tout d'abord, n'importe qui peut créer un pixel de suivi, créer un lien vers une page, puis le lier à un code QR. Tout enregistreur populaire (
Le pixel créé peut également être placé sur un site externe. Il peut s'agir d'un blog (
Vous devez ouvrir l'application Appareil photo sur votre iPhone ou iPad et diriger l'appareil vers un code QR. Si le code contient une URL, il vous enverra une notification avec l'adresse du lien, vous demandant de taper pour le visiter dans le navigateur Safari. Cependant, soyez prudent - vous ne visitez peut-être pas l'URL qui vous est affichée, chercheur en sécurité Roman Mueller
Selon Mueller, l'analyseur d'URL du lecteur de code QR intégré pour l'application appareil photo iOS ne parvient pas à détecter le nom d'hôte dans l'URL, ce qui permet aux attaquants de manipuler l'URL affichée dans la notification, incitant les utilisateurs à visiter des sites Web malveillants à la place.
Pour la démo, le chercheur a créé un code QR (illustré ci-dessus) avec l'URL suivante :
https://xxx\\@facebook.com:[email protected]/
If you scan it with the iOS camera app, it will show following notification:
Open "facebook.com" in Safari
When you tap it to open the site, it will instead open:
https://infosec.rm-it.de/
Il existe également un outil qui s'appelle
Même les scanners de code QR comme les smartphones peuvent être vulnérables à ce type d'attaques, car les codes QR se sont révélés être
En décembre 2020, les développeurs de Discord - une application de chat vocal et textuel largement utilisée par la communauté des joueurs - ont annoncé le lancement d'un
Alors que cette fonctionnalité visait à simplifier le processus de connexion Discord pour les utilisateurs de bureau, des nouvelles ont fait surface selon lesquelles des fraudeurs exploitaient le système pour obtenir un accès non autorisé aux comptes.
Selon des discussions sur divers serveurs Discord et sur les réseaux sociaux, des escrocs ont publié des codes QR avec la promesse de
En scannant le code, cependant, les utilisateurs fournissent par inadvertance à l'attaquant l'accès à leur compte.
«La méthode de connexion par QR fonctionne sans nom d'utilisateur / mot de passe ni 2FA, et bien qu'elle rende Discord beaucoup plus pratique pour se connecter partout, elle est malheureusement exploitée sous la forme de faux cadeaux Nitro (et éventuellement d'autres formes) », a déclaré un utilisateur de Discord.
Opinion partagée sur la gravité potentielle de cet exploit. Pour certains utilisateurs, la compromission de leurs comptes peut entraîner un peu plus que de la frustration – bien qu'il soit peu probable que quiconque soit satisfait que quelqu'un puisse se faire passer pour eux en ligne.
Cependant, après avoir publié un
Discord n'a pas immédiatement répondu à notre demande de commentaire. Le personnel a pesé sur un
« Nous avons récemment réduit la fenêtre de validité du code QR de 10 minutes à 2 minutes »,
Nous… avons remarqué une augmentation du nombre de personnes essayant d'inciter socialement les utilisateurs à scanner des codes QR dans le but de les inciter à se connecter à un autre appareil qu'ils ne contrôlent pas.
Notre pensée initiale était que le verbiage à l'écran serait suffisant pour dissuader les attaques d'ingénierie sociale, cependant, nous convenons qu'un verbiage plus clair et un avertissement pourraient être en place.
Sur l'ensemble de nos canaux de publication d'applications mobiles, nous avons modifié le verbiage de l'écran de confirmation pour souligner plus clairement que vous vous connectez à un autre appareil et imposer un délai avant que le bouton "Se connecter" ne soit actif (en espérant que les gens lisent le texte rouge .) Vous pouvez voir ce nouvel écran
En plus d'être discuté sur plusieurs serveurs Discord, le problème a déjà trouvé son chemin vers les médias sociaux, avec un utilisateur
"Une bonne quantité de désinformation est faite ici", ils
Sur Reddit, cependant, l'argument "ne tombez pas dans les attaques" a échoué.
"Je ne comprends pas l'élitisme de 'Si vous vous faites hameçonner, c'est de votre faute, maintenant foutez le camp, la discorde ne devrait rien changer'".
Savons-nous combien d'autres applications qui utilisent QR ont cette vulnérabilité ? Par exemple, dans Telegram? Bien sûr, la question est rhétorique.
Les escrocs peuvent utiliser des codes QR pour inciter les utilisateurs à télécharger
Une autre arnaque connexe est l'utilisation de codes QR pour obtenir une approbation non autorisée de jetons, qui sont utilisés pour faciliter le transfert d'actifs d'un portefeuille de crypto-monnaie à un autre.
En outre, les escroqueries de code QR liées à la crypto-monnaie impliquant MetaMask qui est un portefeuille de crypto-monnaie pour interagir avec la blockchain Ethereum. Les acteurs malveillants peuvent pirater les comptes d'extension MetaMask via des codes QR pour transférer des fonds sans les clés privées du propriétaire du compte.
"C'est incroyablement embarrassant à certains niveaux, a tweeté Nicholas. «Sur d'autres, incroyablement traumatisant. Oui, j'ai ouvert le code QR et signé le grand livre. Mais j'étais sévèrement manipulé et je n'ai réalisé ce qui se passait que trop tard. J'ai été victime d'une arnaque, d'un hameçonnage et d'un vol. Certains connards vont dire "c'est ce que vous obtenez". Et peut-être ont-ils raison. Mais soyons clairs, une arnaque est une arnaque, un vol est un vol, et je n'avais aucune intention de transférer ou de vendre ces actifs. Alors maintenant, j'essaie de trouver des moyens de récupérer ma propriété.
Découvrez une nouvelle méthode d'escroquerie ! Ne pas confondre avec une allocation
Lorsque les personnes derrière le portefeuille ZenGo ont voulu ajouter la prise en charge du code QR, elles ont décidé de faire d'abord quelques recherches sur les aspects de sécurité. Ce qu'ils ont trouvé était troublant, mais pas tout à fait inattendu. N'importe qui peut simplement générer un code QR qui envoie de l'argent à son adresse au lieu de celle prévue. Et personne ne peut dire que presque tous les codes QR se ressemblent.
Par exemple,
Fait intéressant, ils ont remarqué que certains
D'autres s'amusent avec du code de sorte que si vous essayez de copier et coller l'adresse pour la revérifier, le site copiera votre adresse dans le presse-papiers au lieu de la leur afin que vous pensiez qu'elle correspond. ZenGo a suivi environ 20 000 $ de Bitcoin frauduleux en utilisant les adresses qu'ils ont examinées et a cru que ce n'était que la pointe de l'iceberg !
J'ajouterais qu'à mon avis, cela aidera le principe de séparation des appareils - avec un appareil propre avec
Voici comment l'attaque QRLJacking fonctionne en coulisse :
Pour plus d'informations sur les outils QRLJacking et plus, veuillez visiter le
Bien que les stratagèmes abordés dans cet article puissent sembler inquiétants, les utilisateurs peuvent éviter les escroqueries par code QR en suivant ces meilleures pratiques suggérées par
Si vous scannez un code QR qui semble suspect, faites attention à ce que le code tente de lancer et ne vous connectez pas à un réseau Wi-Fi ou ne naviguez pas vers un lien raccourci. Certains chercheurs notent même l'avantage de
Alors que la plupart des codes QR doivent pouvoir être scannés en toute sécurité sur un smartphone, la numérisation des charges utiles que nous avons générées aujourd'hui sur un appareil pour scanner des billets ou des cartes d'embarquement peut entraîner un comportement bizarre de l'appareil. N'analysez pas les charges utiles sur un scanner dont vous avez besoin pour travailler immédiatement après un événement ou un travail - ou tout scanner que vous n'êtes pas autorisé à tester - car certaines de ces charges utiles peuvent entraîner l'arrêt du fonctionnement du scanner.
Je ne vous demande pas de vous conformer à tout cela, mais vous devez vous souvenir de la règle principale dans ce cas particulier :
Si nous voulons enfin donner aux gens la possibilité d'être leur banque, nous devons réaliser que dans ce cas, les gens doivent pouvoir remplacer tous ces services et actions pour lesquels les banques traditionnelles obtiennent de l'argent !
Suivre la
Utilisation
Cela dit, peu importe le secteur dans lequel vous travaillez. Si vous possédez des informations confidentielles et confidentielles, vous pourriez très bien être une cible. C'est une bonne chose à toujours garder à l'esprit. De plus, qui sait combien d'autres vulnérabilités se cachent dans les codes QR ? Il suffit de google QR Code 0day, QR Code 1 day ou QR code CVE et vous verrez beaucoup de choses intéressantes - par exemple,
Apprenez la dernière
Prévenu est prévenu ! Être prudent!
Le support est très important pour moi, avec lui je peux passer moins de temps au travail et faire ce que j'aime : éduquer les utilisateurs de Defi & Crypto ! ❤️
Si tu veux