क्यूआर कोड का छिपा खतरा

मुझे बहुत खुशी है कि आप मेरे लेख को फिर से पढ़ रहे हैं, प्यारे दोस्तों! ऐसा प्रतीत होता है, क्यूआर कोड क्या खतरा पैदा कर सकता है? यह पता चला है कि क्यूआर कोड के यांत्रिकी पर आधारित कई हमलों के कारण आप अपनी क्रिप्टोकरेंसी के साथ-साथ फिएट मनी और इंटरनेट लॉगिन भी खो सकते हैं।

आइए इन हमलों का अध्ययन करें और देखें कि हम इनसे सफलतापूर्वक कैसे बचाव कर सकते हैं!

इस लेख में, मैं विभिन्न अद्भुत लेखकों और संसाधनों का उल्लेख करूंगा, मैं दृढ़ता से अनुशंसा करता हूं कि आप उनका अलग से अध्ययन करें। संदर्भ सूची लेख के अंत में है, पढ़ने का आनंद लें!

विशेष धन्यवाद:

• इस लेख का कवर द्वारा किया गया था मेरे अच्छे दोस्त और कलाकार — रेगुलियन . हम एक-दूसरे को अच्छी तरह से जानते हैं, इसलिए अगर मैं गायब हो जाता हूं, तो उसके पास मेरे बारे में सटीक जानकारी होगी। इस पर विचार करें my पीतचटकी . इस लेख में आप अन्य कार्यों को देखेंगे, उनका वैज्ञानिक अर्थ नहीं है, लेकिन मैं उन्हें शामिल करना चाहूंगा ताकि आप कल्पना कर सकें कि हम किस बारे में अधिक स्पष्ट रूप से बात कर रहे हैं और आपको सही दिमाग में डाल सकते हैं! संपादन में भी मदद के लिए बहुत-बहुत धन्यवाद!

• बहुत धन्यवाद आड़ू संपादन और प्रूफरीडिंग में सहायता के लिए!

• प्रूफरीडिंग में मदद के लिए टेलीग्राम के एक हिरण का बहुत-बहुत धन्यवाद!

मैं - क्यूआर कोड क्या है?

एक क्यूआर कोड है a द्वि-आयामी बारकोड जो स्टोर कर सकता है 7,089 अंक या 4,296 वर्ण . इसे क्यूआर कोड स्कैनर या रीडर का उपयोग करके स्कैन किया जा सकता है, जो कि अधिकांश मोबाइल उपकरणों के डिफ़ॉल्ट कैमरों में बनाया गया है, ताकि इसमें एन्कोड किए गए डेटा को समझ सकें।

यह टेक्स्ट की एक स्ट्रिंग है, और यह आमतौर पर भुगतान प्रणाली पर किसी वेबसाइट या व्यापारी के आधिकारिक खाते का URL या लिंक होता है। क्यूआर कोड को स्कैन करने से उपयोगकर्ता को वेब ब्राउज़र में एक लंबा पता टाइप करने या भुगतान ऐप में मैन्युअल रूप से एक व्यापारी का उपयोगकर्ता नाम या नंबर दर्ज करने की परेशानी से बचा जाता है।

के अनुसार कोडी किन्ज़ी , एक सुरक्षा शोधकर्ता, रैखिक बारकोड की सीमा का उत्तर था 2डी बारकोड, जो भौतिक क्षति के लिए अधिक भंडारण प्रतिरोध प्रदान करते हैं, भीतर निहित जानकारी को प्रभावित करते हैं। पहले 2D कोड में से कुछ नीचे दिए गए कोड की तरह दिखते थे, जो आज भी व्यापक रूप से उपयोग किए जाते हैं।

एज़्टेक कोड एक 2डी, या मैट्रिक्स, मशीन-पठनीय कोड है जो कई मायनों में एक क्यूआर कोड के समान है और एक रैखिक बारकोड की तुलना में अधिक जानकारी रख सकता है। शुरू में लॉजिस्टिक्स के लिए विकसित किया गया था, आप इसे पैकेज और लिफाफे पर इस्तेमाल करते हुए देख सकते हैं, जब एक लीनियर बारकोड की तुलना में अधिक डेटा को स्टोर करने की आवश्यकता होती है।

अन्य प्रकार के 2D बारकोड में अत्यधिक सघन मात्रा में डेटा हो सकता है। उदाहरण के लिए, संयुक्त राज्य अमेरिका में अधिकांश ड्राइवर लाइसेंसों के पीछे पाया जाने वाला PDF417 प्रारूप, 1800 ASCII वर्णों तक को एन्कोड कर सकता है।

ऊपर दिए गए PDF417 कोड टेक्स्ट, नंबर, फाइल और वास्तविक डेटा बाइट्स को एनकोड कर सकते हैं, और वे रैखिक बारकोड की तुलना में त्रुटियों के लिए अधिक प्रतिरोधी हैं। FedEx जैसी कंपनियां डिलीवरी और ट्रैकिंग को स्वचालित करने के लिए पैकिंग पर्चियों पर PDF417 और अन्य बारकोड के संयोजन का उपयोग करती हैं।

ऑटोमोटिव उद्योग में क्यूआर कोड कारों का ट्रैक रखने के तरीके के रूप में शुरू हुए क्योंकि उनका निर्माण किया जा रहा था लेकिन उस उद्योग के बाहर लोकप्रियता में तेजी से वृद्धि हुई। अन्य 2डी कोड के समान, क्यूआर कोड एक टन डेटा पैक कर सकते हैं और रिज़ॉल्यूशन में कम होने या अन्यथा क्षतिग्रस्त होने पर भी काम कर सकते हैं।

उनकी बड़ी डेटा क्षमता द्वारा सक्षम क्यूआर कोड का एक आकर्षक अनुप्रयोग उनका उपयोग कर रहा है प्रबंधित करना वाई - फाई सम्बन्ध सादे पाठ में पासवर्ड साझा किए बिना। निम्न स्ट्रिंग को एन्कोड करके, आप एक क्यूआर कोड बना सकते हैं जो एंड्रॉइड उपयोगकर्ताओं को वाई-फाई नेटवर्क में स्वचालित रूप से लॉग करता है।

क्यूआर कोड की सुविधा और मोबाइल उपकरणों की सर्वव्यापकता ने इन द्वि-आयामी बारकोड के व्यापक उपयोग में बहुत योगदान दिया है। हालांकि, उनकी लोकप्रियता ने दुर्भावनापूर्ण अभिनेताओं के लिए अपने को उभारने के लिए उपजाऊ जमीन भी तैयार की है

क्यूआर कोड मालवेयर टूलकिट न केवल व्यक्तिगत जानकारी बल्कि कड़ी मेहनत से अर्जित संपत्ति की चोरी करने के लिए जो एक बार खो जाने के बाद पुनर्प्राप्त करना असंभव है। क्यूआर कोड से जुड़े खतरे इतने व्यापक और धूर्त हो गए हैं कि एफबीआई ने हाल ही में एक जारी किया है चेतावनी उनके विषय में।

जैसा कि एजेंसी इसका वर्णन करती है, स्कैमर अपने शिकार से संपर्क करेगा और किसी तरह उन्हें समझाएगा कि उन्हें पैसे भेजने की जरूरत है, या तो प्यार के वादे के साथ, और धन, या बैंक या उपयोगिता कंपनी जैसी वास्तविक संस्था का प्रतिरूपण करके।

निशान के आश्वस्त होने के बाद, स्कैमर को उन्हें नकद (कभी-कभी निवेश या सेवानिवृत्ति खातों से बाहर) मिलेगा, और एक एटीएम में जाना होगा जो क्रिप्टोकाउंक्शंस बेचता है और क्यूआर कोड पढ़ने का समर्थन करता है। पीड़ित के वहां पहुंचने के बाद, वे एक क्यूआर कोड को स्कैन करेंगे, जिसे स्कैमर ने उन्हें भेजा था, जो मशीन को स्कैमर के पते पर खरीदे गए किसी भी क्रिप्टो को भेजने के लिए कहेगा।

ठीक उसी तरह, पीड़ित का पैसा डूब जाता है, और घोटालेबाज ने उसका सफलतापूर्वक शोषण किया है।

दुर्भावनापूर्ण अभिनेता सामान्य, बिना सोचे-समझे लोगों की तलाश करते हैं, जो क्यूआर कोड सुरक्षा के बारे में ज्यादा नहीं जानते हैं। तो, कोई क्यूआर कोड घोटालों को कैसे टाल सकता है?

इस लेख में, मैं आपके साथ उन विभिन्न तरीकों पर चर्चा करूंगा जिनमें धोखेबाज उपयोगकर्ताओं को धोखा देने के लिए क्यूआर कोड का उपयोग करते हैं और सुझाव देते हैं कि उपयोगकर्ता क्यूआर कोड घोटालों से खुद को कैसे बचा सकते हैं।

सबसे पहले, आइए परिभाषित करें कि कौन से हमले मौजूद हैं और हम सबसे पहले दिमाग में आने वाले से शुरू करेंगे - बैंक खाते में पैसे पर हमला जहां क्रिप्टोकरेंसी और क्यूआर केवल एक उपकरण है।

निराश न हों - आने वाले और भी गंभीर हमले हैं, लेकिन मैं चाहता हूं कि आप समझें कि सरकारी एजेंसियां शायद ही कभी इस तरह के एक महत्वहीन प्रकार के घोटाले पर इतना ध्यान देती हैं। हो सकता है कि इस प्रकार की शुरुआत में ही इसे मारने और क्यूआर के माध्यम से लोगों को इस तरह के हमले के बारे में जागरूक करने का कोई कारण हो।

आइए जानें कि यह सब कहां से शुरू हुआ! यह ध्यान रखना महत्वपूर्ण है कि दुर्भावनापूर्ण अभिनेताओं ने अपने QR कोड-सक्षम घोटालों को वैध और उपयोगी बनाने के लिए बहुत समय और संसाधनों का निवेश किया है, जैसा कि निम्नलिखित उदाहरणों द्वारा दर्शाया गया है:

ओवरलैड क्यूआर कोड

एक क्यूआर कोड घोटाले का एक प्रमुख उदाहरण जो भौतिक क्षेत्र पर निर्भर करता है, दुर्भावनापूर्ण अभिनेता क्यूआर कोड स्टिकर को प्रिंट करते हैं और उन्हें वास्तविक रूप से वास्तविक रूप से रखते हैं। लोग आम तौर पर मानते हैं कि दुकानों और सार्वजनिक स्थानों पर क्यूआर कोड वाले संकेत या पोस्टर सुरक्षित हैं, और इस प्रकार वे इस बात से अनजान हो सकते हैं कि दुर्भावनापूर्ण अभिनेता अपनी धोखाधड़ी योजनाओं के हिस्से के रूप में वैध क्यूआर कोड को नकली से बदल सकते हैं।

यह एक ऐसी योजना में मामला था जिसमें भुगतान शामिल था चीन में बाइक शेयरिंग . दुर्भावनापूर्ण अभिनेताओं ने कथित तौर पर उन क्यूआर कोड को बदल दिया, जिन्हें अनलॉक करने से पहले उपयोगकर्ताओं को बाइक के उपयोग के लिए भुगतान करने के लिए स्कैन करने की आवश्यकता थी।

नतीजतन, बिना सोचे-समझे उपयोगकर्ताओं के भुगतान दुर्भावनापूर्ण अभिनेताओं के खातों में स्थानांतरित कर दिए गए, बिना उपयोगकर्ता अपने उपयोग के लिए बाइक को अनलॉक करने में सक्षम नहीं हुए।

अभी हाल ही में, कई अमेरिकी शहरों में कानून प्रवर्तन ने इसी तरह की योजना के बारे में चेतावनी जारी की, जहां दुर्भावनापूर्ण अभिनेताओं ने अपने धोखाधड़ी वाले क्यूआर कोड को __ पार्किंग मीटर __ पर वैध लोगों पर चिपका दिया था ताकि उपयोगकर्ताओं को उनकी फ़िशिंग वेबसाइटों में उनके भुगतान क्रेडेंशियल दर्ज करने के लिए धोखा दिया जा सके।

वास्तविक दुनिया की सोशल इंजीनियरिंग में उपयोग किए जाने वाले क्यूआर कोड

एक क्यूआर कोड घोटाले का एक और उदाहरण जो भौतिक क्षेत्र का लाभ उठाता है वह एक ऐसी योजना है जिसे पार्किंग में किया गया था नीदरलैंड्स और इससे हजारों यूरो की चोरी हुई।

दुर्भावनापूर्ण अभिनेताओं ने कथित तौर पर पार्किंग शुल्क का भुगतान करने के लिए व्यक्तियों से संपर्क किया था, न कि पार्किंग में निर्दिष्ट मशीन के माध्यम से कथित तौर पर क्योंकि यह टूट गया था। अधिक विश्वसनीय दिखने के लिए पेशेवर दिखने वाले कपड़े पहने हुए, धोखेबाजों ने अपने पीड़ितों को उनके पास मौजूद क्यूआर कोड को स्कैन करने के लिए राजी किया, जिससे भुगतान उनके खाते में चला गया।

फ़िशिंग ईमेल में क्यूआर कोड

स्कैमर्स को जाना जाता है क्यूआर कोड शामिल करें उनके फ़िशिंग हमलों में, एक अभ्यास जिसे "क्विशिंग" के रूप में जाना जाता है। वे ऐसा मुख्य रूप से इसलिए करते हैं ताकि वे पारंपरिक सुरक्षा समाधानों को बायपास कर सकें जो ईमेल में दिखाई देने पर दुर्भावनापूर्ण URL को फ़्लैग कर सकते हैं, लेकिन जब वे QR कोड से लिंक (या पीछे छिपे हुए) होते हैं।

दिसंबर 2021 में, जर्मनी में उपयोगकर्ताओं के बैंकिंग क्रेडेंशियल्स को चुराने के लिए क्यूआर कोड का उपयोग करने वाले एक फ़िशिंग अभियान की सूचना मिली थी। अभियान में, दुर्भावनापूर्ण अभिनेता एक बैंक का प्रतिरूपण करते हुए एक ईमेल भेजते हैं और प्राप्तकर्ता को ईमेल में क्यूआर कोड को स्कैन करके समीक्षा करने और बैंक की गोपनीयता नीति में बदलाव के लिए सहमत होने के लिए कहते हैं। लेकिन क्यूआर कोड एक फ़िशिंग साइट से लिंक होता है जहाँ पीड़ित अनजाने में दुर्भावनापूर्ण अभिनेताओं को इकट्ठा करने के लिए अपनी बैंकिंग साख दर्ज कर सकता है।

Microsoft 365 प्राप्त करने के लिए एक क्विशिंग योजना साख भी पिछले साल के अंत में सूचित किया गया था। यह अभियान पहले से छेड़छाड़ किए गए ईमेल खाते से आने वाले ईमेल से शुरू होता है और इसमें एक ध्वनि मेल संदेश होता है जिसे प्राप्तकर्ता ईमेल में क्यूआर कोड स्कैन करके सुन सकता है। हालाँकि, QR कोड Microsoft 365 क्रेडेंशियल्स को चुराने के लिए डिज़ाइन किए गए एक फर्जी लॉगिन पृष्ठ की ओर जाता है।

प्रीमियम सेवाओं की सदस्यता के लिए क्यूआर कोड

दुर्भावनापूर्ण अभिनेता क्यूआर कोड का उपयोग कर सकते हैं ताकि पहले से न सोचा उपयोगकर्ताओं को प्रीमियम सेवाओं की सदस्यता मिल सके और इन उपयोगकर्ताओं से मासिक रूप से चार्ज किए गए धन की चोरी हो सके। इस योजना का उपयोग एंड्रॉइड ट्रोजन अभियान में किया गया था जिसे . के रूप में जाना जाता है ग्रिफ्टहॉर्स , जिसने सितंबर 2021 तक दुनिया भर में 10 मिलियन से अधिक उपयोगकर्ताओं को शिकार बनाया था।

क्यूआर कोड और बारकोड स्कैनर ऐप्स

2021 के मध्य में, क्यूआर कोड और बारकोड स्कैनर ऐप्स जो से जुड़े थे अनात्सा मैलवेयर गूगल प्ले पर दिखाई दिया। (उन्हें तब से स्टोर से हटा दिया गया है।) इस तरह के ऐप के साथ संक्रमण की शुरुआत उपयोगकर्ता को इंस्टॉलेशन पर ऐप को अपडेट करने के लिए मजबूर करने से होती है, जाहिर तौर पर ताकि उपयोगकर्ता इसका उपयोग जारी रख सके।

अपेक्षित अपडेट के सफल डाउनलोड के बाद, ऐप उपयोगकर्ता को अज्ञात स्रोतों से ऐप्स की स्थापना की अनुमति देने के लिए प्रेरित करता है। चूंकि उपयोगकर्ता को पहले यह विश्वास दिलाया गया था कि ऐप के ठीक से काम करने के लिए अपडेट आवश्यक है, इसलिए उपयोगकर्ता अनुमति देता है। एक बार अपडेट हो जाने के बाद, मैलवेयर डिवाइस पर चलता है और उपयोगकर्ता को तुरंत एक्सेसिबिलिटी सेवा विशेषाधिकार देने के लिए कहता है।

दुर्भावनापूर्ण अभिनेता डिवाइस पर पूर्ण नियंत्रण प्राप्त करते हैं और उपयोगकर्ता द्वारा एक्सेसिबिलिटी सेवा विशेषाधिकारों को सक्षम करने के बाद उपयोगकर्ता की ओर से कार्रवाई कर सकते हैं। इस बिंदु पर, मैलवेयर से प्रभावित ऐप एक वैध ऐप के रूप में चलता है और संचालित होता है। इस प्रकार दुर्भावनापूर्ण अभिनेताओं के लिए लॉगिन क्रेडेंशियल चोरी करने और उन सभी सूचनाओं तक पहुंच प्राप्त करने के लिए मंच तैयार किया गया है जो पहले से न सोचा उपयोगकर्ता के डिवाइस पर दिखाई जाती हैं।

क्यूआर कोड निर्माता ऐप्स

ट्रोजनाइज्ड ऐप्स QR कोड क्रिएटर ऐप्स के रूप में सामने आ सकते हैं। दुर्भावनापूर्ण अभिनेता समूह द्वारा संचालित एक योजना में ब्रुनहिल्डा, ऐसा ऐप यूजर को रजिस्टर करने के लिए कहता है। एक बार पंजीकरण हो जाने के बाद और यह विस्तृत डिवाइस जानकारी प्राप्त कर लेता है, ऐप एक ट्रोजन पेलोड को डाउनलोड और इंस्टॉल करता है, जो संवेदनशील व्यक्तिगत जानकारी जैसे लॉगिन क्रेडेंशियल या बैंक खाता विवरण की चोरी को अंजाम दे सकता है।

Doxxing में उपयोग किए जाने वाले QR कोड

सबसे पहले, कोई भी ट्रैकिंग पिक्सेल बना सकता है, किसी पृष्ठ से लिंक कर सकता है और फिर उसे एक क्यूआर कोड से लिंक कर सकता है। कोई भी लोकप्रिय लकड़हारा ( canarytokens.org , iplogger.com ) का उपयोग इस उद्देश्य के लिए किया जा सकता है यदि लॉगर सेटिंग्स में विस्तारित डेटा प्राप्त करना सक्षम है।

निर्मित पिक्सेल को बाहरी साइट पर भी रखा जा सकता है। यह एक ब्लॉग हो सकता है ( टेलीग्रा.ph , माध्यम.कॉम , teletype.in ) या यहां तक कि एक OSINT स्रोत पृष्ठ ( start.me ) जो बदले में एक क्यूआर कोड से जुड़ा हो सकता है।

III - क्यूआर कोड बग और मुद्दे

ऐप्पल आईओएस 11

IOS 11 के साथ, Apple ने पेश किया एक नया फीचर जो उपयोगकर्ताओं को किसी तीसरे पक्ष के क्यूआर कोड रीडर ऐप की आवश्यकता के बिना अपने आईफोन के मूल कैमरा ऐप का उपयोग करके क्यूआर कोड को स्वचालित रूप से पढ़ने की क्षमता देता है।

आपको अपने आईफोन या आईपैड पर कैमरा ऐप खोलना होगा और डिवाइस को क्यूआर कोड पर इंगित करना होगा। यदि कोड में कोई URL है, तो यह आपको लिंक पते के साथ एक सूचना देगा, जिसमें आपको सफारी ब्राउज़र में इसे देखने के लिए टैप करने के लिए कहा जाएगा। हालांकि, सावधान रहें — हो सकता है कि आप सुरक्षा शोधकर्ता रोमन मुलर को प्रदर्शित यूआरएल पर न जा रहे हों की खोज की .

म्यूएलर के अनुसार, आईओएस कैमरा ऐप के लिए अंतर्निहित क्यूआर कोड रीडर का यूआरएल पार्सर यूआरएल में होस्टनाम का पता लगाने में विफल रहता है, जो हमलावरों को अधिसूचना में प्रदर्शित यूआरएल में हेरफेर करने की अनुमति देता है, उपयोगकर्ताओं को इसके बजाय दुर्भावनापूर्ण वेबसाइटों पर जाने के लिए धोखा देता है।

डेमो के लिए, शोधकर्ता ने निम्नलिखित यूआरएल के साथ एक क्यूआर कोड (ऊपर दिखाया गया) बनाया:

https://xxx\\@facebook.com:[email protected]/

If you scan it with the iOS camera app, it will show following notification:

Open "facebook.com" in Safari

When you tap it to open the site, it will instead open:

https://infosec.rm-it.de/

एक उपकरण भी है जिसे a . कहा जाता है क्यूआरजेन - यह दुर्भावनापूर्ण क्यूआर कोड बना सकता है और यहां तक कि कस्टम-मेड पेलोड को भी एन्कोड कर सकता है। ये हमले शक्तिशाली हैं क्योंकि मनुष्य क्यूआर कोड में निहित जानकारी को स्कैन किए बिना पढ़ या समझ नहीं सकते हैं, संभावित रूप से कोड को समझने के लिए उपयोग किए जाने वाले किसी भी उपकरण को उजागर कर सकते हैं।

यहां तक कि स्मार्टफोन जैसे क्यूआर कोड स्कैनर भी इस प्रकार के हमलों की चपेट में आ सकते हैं, क्योंकि क्यूआर कोड पाए गए थे दुर्भावनापूर्ण साइटों के लिए iPhone उपयोगकर्ताओं को लुभाने में सक्षम . इस भयानक लेखन को देखें जो वर्णन करता है यह टूल कैसे काम करता है विस्तार से।

डिसॉर्डर क्यूआर लॉग इन

दिसंबर 2020 में, डिस्कॉर्ड के डेवलपर्स - गेमिंग समुदाय द्वारा व्यापक रूप से उपयोग की जाने वाली एक आवाज और टेक्स्ट चैट ऐप - ने a . के लॉन्च की घोषणा की क्यूआर कोड सुविधा जो स्क्रीन पर दिखाई देने वाले कोड को स्कैन करके उपयोगकर्ताओं को अपने फोन का उपयोग करके डेस्कटॉप वेब क्लाइंट में लॉग इन करने में सक्षम बनाता है।

• डिस्कॉर्ड ने अपने क्यूआर कोड लॉगिन सिस्टम में कुछ बदलाव किए हैं, रिपोर्ट के बाद कि स्कैमर द्वारा उपयोगकर्ताओं के खातों तक पहुंच प्राप्त करने की कोशिश कर रहे तंत्र का दुरुपयोग किया जा रहा है।

जबकि इस सुविधा का उद्देश्य डेस्कटॉप उपयोगकर्ताओं के लिए डिस्कॉर्ड लॉगिन प्रक्रिया को सरल बनाना था, समाचार सामने आया है कि धोखाधड़ी करने वाले खातों तक अनधिकृत पहुंच प्राप्त करने के लिए सिस्टम का शोषण कर रहे हैं।

विभिन्न डिस्कॉर्ड सर्वरों और सोशल मीडिया पर चर्चा के अनुसार, स्कैमर्स मुफ्त के वादे के साथ क्यूआर कोड पोस्ट कर रहे हैं नाइट्रो , प्लेटफ़ॉर्म का सब्सक्रिप्शन पैकेज जो अनेक अनुलाभों और अन्य उपहारों की पेशकश करता है।

हालांकि, कोड को स्कैन करते समय, उपयोगकर्ता अनजाने में हमलावर को अपने खाते तक पहुंच प्रदान करते हैं।

"लॉगिन-बाय-क्यूआर विधि बिना किसी उपयोगकर्ता नाम / पासवर्ड और 2FA के काम करती है, और जबकि यह डिस्कॉर्ड को हर जगह लॉग इन करने के लिए और अधिक सुविधाजनक बनाता है, दुर्भाग्य से, नकली नाइट्रो उपहार (और संभवतः अन्य रूपों) के रूप में इसका शोषण किया जा रहा है। , "एक डिस्कॉर्ड उपयोगकर्ता ने कहा।

इस कारनामे की संभावित गंभीरता पर राय विभाजित हो गई। कुछ उपयोगकर्ताओं के लिए, उनके खातों के साथ छेड़छाड़ करने से निराशा से कुछ अधिक ही परिणाम हो सकता है - हालांकि यह संभावना नहीं है कि कोई व्यक्ति उनके ऑनलाइन प्रतिरूपण करने में सक्षम होने से खुश होगा।

हालांकि, जारी करने के बाद a अवधारणा का सबूत शोषण की स्पष्ट आसानी को प्रदर्शित करने के लिए, ट्विच पार्टनर पाइरेट सॉफ्टवेयर ने कहा कि यदि उपयोगकर्ता एक नाइट्रो ग्राहक था, तो एक हमलावर उनके नाम, पते और तक पहुंच प्राप्त कर सकता था। अस्पष्ट पेपैल ईमेल पता .

टिप्पणी के लिए हमारे अनुरोध का तुरंत जवाब नहीं दिया। कर्मचारियों का वजन एक . पर था रेडिट चर्चा सूत्र , यह देखते हुए कि किसी भी संभावित स्कैमर को विफल करने के लिए क्यूआर कोड लॉगिन विंडो को कम कर दिया गया है।

"हमने हाल ही में क्यूआर कोड की वैधता विंडो को 10 मिनट से घटाकर 2 मिनट कर दिया है," कहा एक डिस्कॉर्ड इंजीनियर, जिसने जोड़ा:

हमने देखा है कि सामाजिक रूप से इंजीनियर उपयोगकर्ताओं को क्यूआर कोड स्कैन करने की कोशिश कर रहे लोगों में एक और डिवाइस में लॉग इन करने के लिए उन्हें धोखा देने की कोशिश की गई है, जिसे वे नियंत्रित नहीं करते हैं।

हमारा मूल विचार यह था कि स्क्रीन पर शब्दजाल सोशल इंजीनियरिंग के हमलों को रोकने के लिए पर्याप्त होगा, हालांकि, हम सहमत हैं कि अधिक स्पष्ट शब्दशः और चेतावनी हो सकती है।

हमारे मोबाइल ऐप रिलीज चैनलों में, हमने पुष्टिकरण स्क्रीन में शब्दावली को और अधिक स्पष्ट रूप से इस बात पर जोर देने के लिए संशोधित किया है कि आप किसी अन्य डिवाइस में लॉग इन कर रहे हैं, और 'मुझे लॉग इन करें' बटन सक्रिय होने से पहले देरी करें (उम्मीद है कि लोगों को लाल टेक्स्ट पढ़ने में मदद मिलेगी) ।) आप यह नई स्क्रीन देख सकते हैं यहां .

कई डिस्कॉर्ड सर्वरों पर चर्चा किए जाने के अलावा, यह मुद्दा पहले ही एक उपयोगकर्ता के साथ सोशल मीडिया पर पहुंच चुका है ट्वीट : “PSA: यदि कोई आपको Discord के माध्यम से QR कोड भेजता है, तो उसे स्कैन न करें। वे इसका उपयोग आपके खाते तक तुरंत पहुंच प्राप्त करने के लिए कर सकते हैं।"

"यहां अच्छी मात्रा में गलत सूचना दी जा रही है," वे कहा . "विवाद की आवश्यकता है कि हमलावर के पास पहुंचने से पहले आप लॉगिन की पुष्टि करें। यदि आप केवल उन चेतावनियों को अनदेखा करते हैं जो Discord आपको देता है, तो यह आपकी गलती है। बस होशियार रहें और उन हमलों के झांसे में न आएं।"

रेडिट पर, हालांकि, 'हमलों के लिए मत गिरो' तर्क कम हो गया।

"मुझे अभिजात्यवाद नहीं मिलता है, 'यदि आप फ़िश हो रहे हैं, तो यह आपकी गलती है, अब बगावत करें, कलह कुछ भी नहीं बदलना चाहिए," लिखा था एक उपयोगकर्ता। "कुछ सुरक्षित और स्वस्थ बनाएं, 'हाँ, उस क्यूआर कोड का उपयोग लॉग इन करने के लिए किया जा सकता है, यह स्पष्ट रूप से ऐसा कहा है, लेकिन आपने ध्यान नहीं दिया ...'"

• पढ़ें कि कलह पर ब्लॉकचेन ब्लैकहैट्स से कैसे बचें

क्या हम जानते हैं कि QR का उपयोग करने वाले अन्य कितने अनुप्रयोगों में यह भेद्यता है? उदाहरण के लिए, टेलीग्राम में? बेशक, सवाल बयानबाजी का है।

IV - क्यूआर + क्रिप्टो = ?..

अपने फॉक्स को सुरक्षित रखें!

उपयोगकर्ताओं को डाउनलोड करने के लिए ठगने के लिए स्कैमर्स क्यूआर कोड का उपयोग कर सकते हैं नकली क्रिप्टोक्यूरेंसी वॉलेट यह वादा करके कि ऐसा करने पर उन्हें इनाम मिलेगा, जो नकली टोकन हैं। एक अन्य प्रकार के चारा में नकली क्रिप्टोक्यूरेंसी वॉलेट डाउनलोड करने के लिए क्यूआर कोड का उपयोग करना शामिल है जो माइनर फीस में कटौती का वादा करता है।

एक अन्य संबंधित घोटाला टोकन की अनधिकृत स्वीकृति प्राप्त करने के लिए क्यूआर कोड का उपयोग है, जिसका उपयोग एक क्रिप्टोक्यूरेंसी वॉलेट से दूसरे में संपत्ति के हस्तांतरण की सुविधा के लिए किया जाता है। घटना की रिपोर्ट ने इस योजना को महत्वपूर्ण धन के नुकसान का प्राथमिक कारण बताया है।

इसके अलावा, क्रिप्टोक्यूरेंसी से संबंधित क्यूआर कोड घोटाले में मेटामास्क शामिल है जो एथेरियम ब्लॉकचेन के साथ बातचीत करने के लिए एक क्रिप्टोक्यूरेंसी वॉलेट है। दुर्भावनापूर्ण अभिनेता क्यूआर कोड के माध्यम से मेटामास्क एक्सटेंशन खातों में हैक कर सकते हैं ताकि खाते के मालिक की निजी कुंजी के बिना धन हस्तांतरित किया जा सके।

• इस बारे में पढ़ें कि कब कई वानर चोरी हो जाने के बाद, मेटामास्क ने अपने मोबाइल क्यूआर कोड सिंक में बदलाव किए

"यह कुछ स्तरों पर अविश्वसनीय रूप से शर्मनाक है, निकोलस ने ट्वीट किया। "दूसरों पर, अविश्वसनीय रूप से दर्दनाक। हां, मैंने क्यूआर कोड खोला और खाता बही पर हस्ताक्षर किए। लेकिन मुझे गंभीर रूप से हेरफेर किया जा रहा था और जब तक बहुत देर हो चुकी थी तब तक मुझे नहीं पता था कि क्या हो रहा था। मुझे धोखा दिया गया, फ़िश किया गया और लूट लिया गया। कुछ बेवकूफ कहने जा रहे हैं 'यही तो आपको मिलता है।' और शायद वे सही हैं। लेकिन मैं स्पष्ट कर दूं, एक घोटाला एक घोटाला है, चोरी चोरी है, और मेरा उन संपत्तियों को स्थानांतरित करने या बेचने का कोई इरादा नहीं था। इसलिए अब मैं अपनी संपत्ति वापस पाने के तरीके खोजने की कोशिश कर रहा हूं।"

• एक वेबसाइट आपके मेटामास्क पर कैसे आक्रमण कर सकती है, इसके बारे में 6 तरीकों के बारे में पढ़ें!

एक नई घोटाले विधि पर नज़र डालें! इसे भत्ते के साथ भ्रमित न करें घोटाले को मंजूरी (इसे रोकने के लिए आप उपयोग कर सकते हैं रिवोक.कैश / unrekt.net ) जो ERC20 टोकन को लक्षित करता है, लेकिन ईथर को नहीं। ( 1 , 2 , 3 , 4 )

• पढ़ें कि हैकर्स आपके ईथर को कैसे चुरा सकते हैं और eth_sign फ़ंक्शन क्यों मायने रखता है।

जब ज़ेनगो वॉलेट के पीछे के लोग क्यूआर कोड समर्थन जोड़ना चाहते थे, तो उन्होंने पहले सुरक्षा पहलुओं पर थोड़ा शोध करने का फैसला किया। उन्होंने जो पाया वह परेशान करने वाला था - लेकिन पूरी तरह से अप्रत्याशित नहीं था। कोई भी केवल एक क्यूआर कोड उत्पन्न कर सकता है जो उसके इच्छित पते के बजाय उनके पते पर धन भेजता है। और कोई भी यह नहीं बता सकता कि सभी क्यूआर कोड एक जैसे दिखते हैं।

ZenGo की एक जांच:

उदाहरण के लिए, ZenGo ने एक Googled साइट का उपयोग किया पते के लिए क्यूआर कोड का अनुरोध करने के लिए: 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 , इसके बजाय उन्हें एक क्यूआर कोड प्राप्त हुआ जिसने स्कैमर के पते पर धन भेजा: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

दिलचस्प बात यह है कि उन्होंने देखा कि कुछ स्कैम कुछ तरकीबों से आगे बढ़े हैं। कुछ नकली क्यूआर कोड साइटों ने क्यूआर कोड में हेराफेरी की ताकि अगर आपने चेक किया, तो यह सतही तौर पर पहले अक्षर या अंक जैसे '1', '3' या 'बीसी' का मिलान करके सही पते की तरह दिखता है।

अन्य लोग कोड के साथ इधर-उधर भागते हैं ताकि यदि आप पते को दोबारा जांचने के लिए कॉपी और पेस्ट करने का प्रयास करते हैं, तो साइट आपके पते के बजाय क्लिपबोर्ड पर कॉपी कर देगी ताकि आपको लगता है कि यह मेल खाता है। ZenGo ने उनके द्वारा जांचे गए पतों का उपयोग करके लगभग 20,000 डॉलर मूल्य के घोटालेबाज बिटकॉइन को ट्रैक किया और माना कि यह सिर्फ हिमशैल का सिरा है!

मैं जोड़ूंगा कि मेरी राय में यहां उपकरणों को अलग करने के सिद्धांत में मदद मिलेगी - एक साफ डिवाइस के साथ airgap.it आप क्यूआर स्कैन कर सकते हैं, दूसरे के साथ केवल ब्राउज़र पर बैठें, और तीसरे सबसे सुरक्षित कोल्ड या पेपर स्टोरेज पर - बुनियादी बचत स्टोर करें। कुछ भी आपको एक ही स्प्लिट वॉल्ट पर अपना मुख्य "हॉट सम" स्टोर करने से नहीं रोकता है। सुरक्षित रहें!

वी - क्यूआरएलजैकिंग: ओडब्ल्यूएएसपी समुदाय से एक समीक्षा

क्यूआरएलजैकिंग या क्विक रिस्पांस कोड लॉग इन जैकिंग एक साधारण सोशल इंजीनियरिंग अटैक वेक्टर है जो सभी एप्लिकेशन को प्रभावित करने वाले सत्र अपहरण में सक्षम है जो खातों में लॉगिन करने के सुरक्षित तरीके के रूप में "क्यूआर कोड के साथ लॉगिन" सुविधा पर भरोसा करते हैं। बस, संक्षेप में, पीड़ित सत्र अपहरण के हमलावर के क्यूआर कोड परिणामों को स्कैन करता है।

यहां बताया गया है कि कैसे क्यूआरएलजैकिंग हमला परदे के पीछे काम करता है:

1. हमलावर क्लाइंट-साइड क्यूआर सत्र शुरू करता है और फ़िशिंग वेबसाइट में लॉगिन क्यूआर कोड को क्लोन करता है। "अब एक वैध और नियमित रूप से अपडेट किए गए क्यूआर कोड वाला एक अच्छी तरह से तैयार किया गया फ़िशिंग पेज पीड़ित को भेजने के लिए तैयार है।"
2. हमलावर पीड़ित को फ़िशिंग पेज भेजता है। (को देखेंक्यूआरएलजैकिंग रियल-लाइफ अटैक वैक्टर )
3. पीड़ित एक विशिष्ट लक्षित मोबाइल ऐप के साथ क्यूआर कोड को स्कैन करता है।
4. पीड़ित के खाते पर हमलावर का नियंत्रण हो जाता है।
5. सेवा हमलावर के सत्र के साथ पीड़ित के सभी डेटा का आदान-प्रदान कर रही है।

क्यूआरएलजैकिंग अटैक फ्लो

QRLJacking टूल और अतिरिक्त जानकारी के लिए, कृपया देखें जीथब पर क्यूआरएलजैकिंग

अवधारणा उदाहरणों का प्रमाण (वीडियो)

• WhatsApp QRHijackingVulnerability
• व्हाट्सएप अकाउंट हाईजैक करना और एआरपी जहर देना
• AirDroid QRLJackingVulnerability की चपेट में है
• कमजोर वेब एप्लिकेशन और सेवाएं क्यूआर कोडफीचर द्वारा लॉगिन का उपयोग करते हैं भाग #1
• कमजोर वेब एप्लिकेशन और सेवाएं क्यूआर कोड फीचर द्वारा लॉगिन का उपयोग करते हैं भाग #2

VI - क्यूआर कोड सुरक्षा सुनिश्चित करने के लिए टिप्स

हालांकि इस लेख में चर्चा की गई योजनाएं चिंताजनक लग सकती हैं, उपयोगकर्ता क्यूआर कोड घोटाले को इन सर्वोत्तम प्रथाओं का पालन करके खाड़ी में रख सकते हैं। ट्रेंड माइक्रो :

• अपनी व्यक्तिगत जानकारी प्रदान करने से पहले सुनिश्चित करें कि किसी सरकारी एजेंसी या अन्य आधिकारिक सेवा प्रदाता की लिंक की गई वेबसाइट वैध है। URL पर ही किसी भी गलत वर्तनी की जाँच करें।
• आपको भेजे गए ईमेल में मिले क्यूआर कोड को स्कैन करने से पहले दो बार सोचें, भले ही वे संगठनों या आपके जानने वाले लोगों से आए हों। लॉगिन क्रेडेंशियल की चोरी को रोकने के लिए अपने बैंकिंग, उद्यम और अन्य खातों के साथ बहु-कारक प्रमाणीकरण सक्षम करें।
• किसी व्यापारी या सेवा प्रदाता के परिसर में लेन-देन करते समय, यह सुनिश्चित करने के लिए क्यूआर कोड की जांच करें कि यह मूल, वैध पर चिपकाया नहीं गया है।
• क्यूआर कोड का उपयोग केवल तभी भुगतान करने के लिए करें जब आप विश्वसनीय व्यापारियों, सेवा प्रदाताओं या अपने जानने वाले व्यक्तियों के साथ सीधे लेन-देन कर रहे हों।
• जब कोई ऐप उनसे अनुमति मांगता है तो अनुमति देने के बारे में सावधान रहें, क्योंकि कुछ अनुरोधित अनुमतियां खतरनाक हो सकती हैं।

क्यूआर कोड बहुत सारी जानकारी को एनकोड कर सकते हैं, और जैसा कि हमने आज सीखा है, उन्हें किसी डिवाइस को वाई-फाई नेटवर्क से कनेक्ट करने जैसी कार्रवाइयां करने के लिए स्वरूपित भी किया जा सकता है। यह एक क्यूआर कोड को स्कैन करना जोखिम भरा बनाता है, क्योंकि किसी व्यक्ति के पास आपके डिवाइस को जो भी पेलोड निहित है, उसे उजागर करने से पहले जानकारी को पढ़ने का कोई तरीका नहीं है।

यदि आप एक ऐसा क्यूआर कोड स्कैन करते हैं जो संदेहास्पद लगता है, तो इस पर ध्यान दें कि कोड क्या लॉन्च करने का प्रयास कर रहा है, और वाई-फाई नेटवर्क से कनेक्ट न करें या किसी लिंक पर नेविगेट न करें जिसे छोटा किया गया है। कुछ शोधकर्ता इसके लाभ पर भी ध्यान देते हैं ब्लॉकचेन में संपूर्ण गुमनामी के लिए क्यूआर! इसका मतलब है कि इस तकनीक का वेब3.0 में भविष्य है और साथ ही इसका वेब 2.0 में पहले से ही है।

जबकि अधिकांश क्यूआर कोड स्मार्टफोन पर स्कैन करने के लिए सुरक्षित होने चाहिए, टिकट या बोर्डिंग पास को स्कैन करने के लिए आज हमारे द्वारा उत्पन्न पेलोड को स्कैन करने के परिणामस्वरूप डिवाइस से कुछ विचित्र व्यवहार हो सकता है। किसी घटना या कार्य के तुरंत बाद काम करने वाले स्कैनर पर पेलोड को स्कैन न करें - या किसी ऐसे स्कैनर के लिए जिसे आपको परीक्षण करने की अनुमति नहीं है - क्योंकि इनमें से कुछ पेलोड स्कैनर को काम करना बंद कर सकते हैं।

मैं आपको इन सबका पालन करने के लिए नहीं कह रहा हूं, लेकिन आपको इस विशेष मामले में मुख्य नियम याद रखना चाहिए:

• OpSec का आपका स्तर आमतौर पर आपके खतरे के मॉडल पर निर्भर करता है और आप किस विरोधी के खिलाफ हैं। इसलिए यह परिभाषित करना कठिन है कि आपका OpSec कितना अच्छा है।

यदि हम अंततः लोगों को अपना बैंक बनने का अवसर देना चाहते हैं, तो हमें यह महसूस करना चाहिए कि इस मामले में, लोगों को उन सभी सेवाओं और कार्यों को बदलने में सक्षम होना चाहिए जिनके लिए पारंपरिक बैंकों को पैसा मिलता है!

का पालन करें 25 नियम इस सेट में, पहले 10 नियम व्यक्तिगत सुरक्षा से संबंधित हैं, और बाकी कॉर्पोरेट सुरक्षा से संबंधित हैं, इन पर भी नज़र रखें नवीनतम रुझान क्रिप्टो ओपेक में, जो हमेशा समझ में आता है। डरो मत लिंक , आपको उन सभी की आवश्यकता नहीं है, लेकिन आपको अपने पाथवे के लिए सबसे अधिक रुचि रखने वाले को चुनने में सक्षम होना चाहिए।

• डार्कनेट-डीपवेब ओपेक गाइड
• धमकी मॉडलिंग
• टाइमिंग अटैक के बारे में पढ़ें | एक प्रतिनिधि नमूने के माध्यम से हमला

प्रयोग करना व्यापक उपाय फाइलों के साथ काम करते समय और हमेशा नवीनतम सुरक्षा पर नजर रखें रुझान भले ही आपका क्षेत्र इससे दूर हो। इसे लो सबरेडिट और यह भयानक पुराना और विश्वसनीय संसाधन पहले कदम के रूप में। हमारी खतरनाक दुनिया में, कोई भी, खासकर क्रिप्टो में, लक्ष्य बन सकता है।

उस ने कहा, इससे कोई फर्क नहीं पड़ता कि आप किस उद्योग में हैं। यदि आपके पास कोई संवेदनशील, मालिकाना जानकारी है, तो आप बहुत अच्छी तरह से एक लक्ष्य हो सकते हैं। यह हमेशा ध्यान में रखने वाली अच्छी बात है। साथ ही, कौन जानता है कि क्यूआर कोड में कितनी और कमजोरियां छिपी हैं? बस गूगल क्यूआर कोड 0 दिन, क्यूआर कोड 1 दिन, या क्यूआर कोड सीवीई और आपको कई दिलचस्प चीजें दिखाई देंगी - उदाहरण के लिए, 1 , 2 .

नवीनतम जानें हमले की तकनीक , सफेद टोपी वाली चीटशीट , और रक्षा के तरीके, और हैकर से जुड़ें समुदाय - क्योंकि ज्ञान से ही हम हैकर्स के ज्ञान को हरा सकते हैं। इस बौद्धिक लड़ाई में, जो सबसे अधिक तैयार है, वह जीतेगा और मुझे विश्वास है कि यह आप ही होंगे, एनोन। यह डरावना लगता है लेकिन यह संभव है, मुख्य बात यह है कि हमेशा आगे की सोचो .

सचेत सबल होता है! सुरक्षित रहें!

सन्दर्भ:

• www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/hidden-scams-in-malicious-scans-how-to-use-QR-codes-safely
• null-byte.wonderhowto.com/how-to/create-malicious-QR-codes-hack-phones-other-scanners-0197416/
• micky.com.au/how-scammers-are-using-QR-codes-to-seal-your-bitcoin/
• धमकीपोस्ट.com/qr-code-scammers-bitcoin-atms/168621/
• www.zdnet.com/article/fbi-warning-crooks-are-using-fake-QR-codes-to-seal-your-passwords-and-money/
• www.coindesk.com/business/2021/11/05/fbi-warns-of-scams-using-crypto-ATMs-and-QR-codes/
• www.theverge.com/2021/11/5/22765900/crypto-scam-FBI-PSA-atm-QR-code-wire-transfer-con-artist
• tech.hindustantimes.com/tech/news/iphone-user-beware-of-fake-QR-codes-71651747604570.html
• securityaffairs.co/wordpress/70739/hacking/qr-code-ios-bug.html
• github.com/h0nus/QRGen

मेरे लेख देखें:

• क्रिप्टो स्टोर करने के प्रमुख सिद्धांत, कोल्ड वॉलेट सुरक्षा
• क्रिप्टो में 2 हिंसक हमले वाले वैक्टर: एक नज़दीकी नज़र
• स्टेग्नोग्राफ़ी के लिए सीआईए एजेंट की गाइड, केजीबी को मूर्ख बनाना और अपने क्रिप्टो की सुरक्षा करना
• क्रिप्टो और वेब3.0 में ओपेक: विचार
• समय के प्रिज्म के माध्यम से ओपेक पर एक दृश्य
• Web3.0, Defi, NFT, और Metaverse में सभी ज्ञात स्मार्ट अनुबंध-पक्ष और उपयोगकर्ता-पक्ष के हमले और कमजोरियां

मुझे समर्थन करो:

मेरे लिए समर्थन बहुत महत्वपूर्ण है, इसके साथ मैं काम पर कम समय बिता सकता हूं और वह कर सकता हूं जो मुझे पसंद है - डेफी और क्रिप्टो उपयोगकर्ताओं को शिक्षित करना! ❤️

• मेरा गिटहब देखें
• मेरी सभी गतिविधियों को ट्रैक करें
• मेरे सभी सामाजिक
• मेरे टीजी चैनल से जुड़ें

यदि आप चाहते हैं सहयोग मेरा काम, आप मुझे इस पते पर एक दान भेज सकते हैं:

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A या अधिकारीसिया.एथ - ईटीएच, बीएससी, बहुभुज, आशावाद, जेडके, फैंटम, आदि
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU — बीटीसी
• 4AhpUrDtfVSWZMJcRMJkZoPwDSdVG6puYBE3ajQABQo6T533cVvx5vJRc5fX7sktJe67mXu1CcDmr7orn1CrGrqsT3ptfds — मोनेरो एक्सएमआर