![Search icon](https://hackernoon.imgix.net/search-new.png?w=19&h=19)
親愛なる友人たち、あなたが私の記事を再び読んでくれてとてもうれしいです! QRコードはどのような危険をもたらす可能性があるのでしょうか? QRコードのメカニズムに基づくいくつかの攻撃により、暗号通貨だけでなく法定通貨やインターネットログインさえも失う可能性があることが判明しました.
これらの攻撃を研究し、それらをうまく防御する方法を見てみましょう!
この記事では、さまざまな素晴らしい著者とリソースを参照します。自分で個別に学習することを強くお勧めします.参考文献リストは記事の最後にあるので、読んで楽しんでください!
QRコードは
これはテキストの文字列であり、通常は Web サイトまたは支払いシステム上のマーチャントの公式アカウントへの URL またはリンクです。 QR コードをスキャンすると、Web ブラウザーに長いアドレスを入力したり、支払いアプリにマーチャントのユーザー名や番号を手動で入力したりする手間が省けます。
によると
Aztec コードは、多くの点で QR コードに似ており、線形バーコードよりも多くの情報を保持できる、2D またはマトリックスの機械可読コードです。最初はロジスティクス用に開発されたもので、線形バーコードが提供できるよりも多くのデータを保存する必要がある場合に、パッケージや封筒で使用されることがあります。
他のタイプの 2D バーコードには、非常に高密度のデータが含まれる場合があります。たとえば、米国のほとんどの運転免許証の裏面にある PDF417 形式は、最大 1800 の ASCII 文字をエンコードできます。
上記のような PDF417 コードは、テキスト、数値、ファイル、および実際のデータ バイトをエンコードでき、線形バーコードよりもエラーに強くなります。 FedEx などの企業は、PDF417 とその他のバーコードを組み合わせて梱包明細に使用し、配送と追跡を自動化しています。
QR コードは、製造中の車を追跡する方法として自動車業界で始まりましたが、その業界の外で急速に人気が高まりました。他の 2D コードと同様に、QR コードは大量のデータをパックすることができ、解像度が低下したり破損したりしても機能します。
より大きなデータ容量によって可能になった QR コードの魅力的なアプリケーションの 1 つは、それらを使用して
QR コードが提供する利便性とモバイル デバイスの普及は、これらの 2 次元バーコードの普及に大きく貢献しています。ただし、その人気は、悪意のあるアクターが自分のセキュリティを強化するための肥沃な土壌も生み出しています。
QR コード マルウェア ツールキットは、個人情報だけでなく、失われると回復することが不可能な苦労して獲得した資産も盗みます。 QR コードに関連する脅威が非常に蔓延し、狡猾になっているため、FBI は最近、
代理店が説明しているように、詐欺師は被害者に連絡し、愛やさらなる富を約束するか、銀行や公益事業会社などの実際の機関になりすまして、送金する必要があることをどうにかして説得します。
マークが確信した後、詐欺師は彼らに現金を(場合によっては投資口座や退職金口座から)手に入れさせ、暗号通貨を販売し、QR コードの読み取りをサポートする ATM に向かいます。被害者がそこに着くと、詐欺師が送信した QR コードをスキャンします。これにより、購入した仮想通貨を詐欺師のアドレスに送信するようマシンに指示します。
このように、被害者はお金を失い、詐欺師はそれを悪用することに成功します。
悪意のあるアクターは、QR コードの安全性について、まったく知らないとしても、よく知らない、疑いを持たない普通の人を探します。では、QR コード詐欺を回避するにはどうすればよいでしょうか。
この記事では、詐欺師が QR コードを使用してユーザーを欺くさまざまな方法について説明し、ユーザーが QR コード詐欺から身を守るためのヒントをお勧めします。
まず、どのような攻撃が存在するかを定義しましょう。最初に頭に浮かぶものから始めましょう。暗号通貨と QR が単なるツールである銀行口座のお金に対する攻撃です。
がっかりしないでください。今後もさらに深刻な攻撃が行われる予定ですが、政府機関がこのような取るに足らないタイプの詐欺にそれほど注意を払うことはめったにないことを理解しておいてください。おそらく、このタイプを最初から殺し、QR を通じてそのような攻撃を人々に知らせる理由があるのでしょう。
すべてがどこから始まったのかを考えてみましょう!次の例に示すように、悪意のある攻撃者は、QR コードを利用した詐欺を正当かつ有用に見せるために多大な時間とリソースを費やしてきたことに注意することが重要です。
物理的な領域に依存する QR コード詐欺の典型的な例は、悪意のある攻撃者が QR コード ステッカーを印刷し、本物のステッカーの上に物理的に配置することです。人々は一般的に、店舗や公共スペースにある QR コード付きの標識やポスターは安全であると想定しているため、悪意のある攻撃者が不正なスキームの一環として正規の QR コードを偽の QR コードに置き換える可能性があることに気付いていない可能性があります。
これは、
その結果、疑いを持たないユーザーの支払いは悪意のある攻撃者のアカウントに転送され、ユーザーは自転車のロックを解除して使用することができませんでした。
つい最近、米国のいくつかの都市で法執行機関が同様のスキームについて警告を発しました。悪意のある攻撃者は、__ パーキング メーター__の正当な QR コードに不正な QR コードを貼り付けて、ユーザーをだましてフィッシング Web サイトに支払い資格情報を入力させました。
物理的な領域を利用した QR コード詐欺の別の例として、中国の駐車場で実行された手口があります。
伝えられるところによると、悪意のある攻撃者は、駐車場の指定された機械が壊れているという理由で、駐車料金を支払うように個人に近づきました。より信頼できるように見えるようにプロ並みの服装を着て、詐欺師は犠牲者をだまして、代わりに持っているQRコードをスキャンさせ、それによって支払いを自分のアカウントに転用しました.
詐欺師は次のように知られています
2021 年 12 月、QR コードを使用してドイツのユーザーの銀行認証情報を盗むフィッシング キャンペーンが報告されました。このキャンペーンでは、悪意のある攻撃者が銀行になりすまして電子メールを送信し、電子メール内の QR コードをスキャンして銀行のプライバシー ポリシーの変更を確認し、同意するよう受信者に求めます。しかし、QR コードはフィッシング サイトにリンクしており、被害者は無意識のうちに銀行の資格情報を入力して、悪意のある攻撃者が収集できるようにしています。
悪意のある攻撃者は、QR コードを使用して疑いを持たないユーザーをプレミアム サービスに登録し、これらのユーザーに毎月請求される資金を盗むことができます。このスキームは、として知られる Android トロイの木馬キャンペーンで使用されました。
2021 年半ばには、
想定される更新プログラムのダウンロードが成功した後、アプリはユーザーに不明なソースからのアプリのインストールを許可するように求めます。ユーザーは以前、アプリが正常に動作するためには更新が必要であると信じ込まされていたため、ユーザーは許可を与えます。更新が完了すると、マルウェアはデバイス上で実行され、すぐにユーザーにアクセシビリティ サービスの権限を付与するよう求めます。
ユーザーがユーザー補助サービスの権限を有効にすると、悪意のあるアクターがデバイスを完全に制御し、ユーザーに代わってアクションを実行できるようになります。この時点で、マルウェアに感染したアプリが実行され、正規のアプリとして動作します。したがって、悪意のある攻撃者がログイン資格情報を盗み、無防備なユーザーのデバイスに表示されているすべての情報にアクセスするための準備が整っています。
トロイの木馬化されたアプリは、QR コード作成アプリになりすますことができます。悪意のあるグループによるスキームで
まず、誰でもトラッキング ピクセルを作成し、ページにリンクしてから、QR コードにリンクできます。一般的なロガー (
作成したピクセルは、外部サイトに配置することもできます。ブログかもしれません(
iPhone または iPad でカメラ アプリを開き、デバイスを QR コードに向ける必要があります。コードに URL が含まれている場合は、リンク アドレスが記載された通知が表示され、タップして Safari ブラウザーでアクセスするよう求められます。ただし、注意してください — 表示された URL にアクセスしていない可能性があります。セキュリティ研究者の Roman Mueller
Mueller 氏によると、iOS カメラ アプリに組み込まれている QR コード リーダーの URL パーサーが URL 内のホスト名を検出できないため、攻撃者は通知に表示された URL を操作して、ユーザーをだまして悪意のある Web サイトにアクセスさせることができます。
デモのために、研究者は次の URL で QR コード (上に表示) を作成しました。
https://xxx\\@facebook.com:[email protected]/
If you scan it with the iOS camera app, it will show following notification:
Open "facebook.com" in Safari
When you tap it to open the site, it will instead open:
https://infosec.rm-it.de/
と呼ばれるツールもあります。
スマートフォンのような QR コード スキャナーでさえ、この種の攻撃に対して脆弱である可能性があります。
2020 年 12 月、ゲーム コミュニティで広く使用されている音声およびテキスト チャット アプリである Discord の開発者は、
この機能は、デスクトップ ユーザーの Discord ログイン プロセスを簡素化することを目的としていましたが、詐欺師がシステムを悪用してアカウントへの不正アクセスを取得しているというニュースが表面化しました。
さまざまな Discord サーバーやソーシャル メディアでの議論によると、詐欺師は無料を約束する QR コードを投稿しています。
しかし、コードをスキャンする際に、ユーザーはうっかり攻撃者に自分のアカウントへのアクセスを許可してしまいます。
「QRによるログイン方法は、ユーザー名/パスワードや2FAなしで機能します.Discordはどこにいてもログインするのがはるかに便利になりますが、残念ながら、偽のNitroギフトの形で悪用されています. 」と 1 人の Discord ユーザーが言いました。
このエクスプロイトの潜在的な深刻度については、意見が分かれています。一部のユーザーにとっては、アカウントが侵害されてもフラストレーションを感じるだけかもしれません。
ただし、リリース後、
Discordは、コメントのリクエストにすぐには応答しませんでした.スタッフは、
「最近、QR コードの有効期間を 10 分から 2 分に短縮しました。」
私たちは… ソーシャル エンジニアリングを利用してユーザーに QR コードをスキャンさせ、自分が制御していない別のデバイスにログインさせようとする人々が増加していることに気付きました。
私たちの当初の考えでは、画面上の言葉遣いはソーシャル エンジニアリング攻撃を阻止するのに十分であると考えていましたが、より明確な言葉遣いや警告を配置できることに同意します。
モバイル アプリのリリース チャネル全体で、確認画面の言葉遣いを変更して、別のデバイスにログインしていることをより明確に強調し、[ログイン] ボタンがアクティブになる前に遅延を課しました (できれば赤いテキストを読んでもらいたい)。 .) この新しい画面を見ることができます
この問題は、複数の Discord サーバーで議論されているだけでなく、ソーシャル メディアにも広がっており、1 人のユーザーが利用しています。
「ここではかなりの量の誤った情報が作られています」と彼らは言いました。
しかし、Reddit では、「攻撃に引っかかるな」という主張は的を射ていませんでした。
「私は、『あなたがフィッシングを受けているなら、それはあなたのせいだ、今は怒鳴り散らしてください、不和は何も変わらないはずだ』というエリート主義を理解していません。」
QR を使用する他の多くのアプリケーションにこの脆弱性があることを知っていますか?たとえば、テレグラムでは?もちろん、質問は修辞的です。
詐欺師は QR コードを使用してユーザーをだましてダウンロードさせる可能性があります
関連するもう 1 つの詐欺は、QR コードを使用して、ある暗号通貨ウォレットから別の暗号通貨ウォレットへの資産の転送を容易にするために使用されるトークンの承認を不正に取得することです。
また、イーサリアム ブロックチェーンとやり取りするための暗号通貨ウォレットである MetaMask が関与する暗号通貨関連の QR コード詐欺。悪意のある攻撃者は、QR コードを介して MetaMask エクステンション アカウントにハッキングし、アカウント所有者の秘密鍵なしで資金を送金する可能性があります。
「これはいくつかのレベルで信じられないほど恥ずかしいことだ、とニコラスはツイートした。 「他の人にとっては、信じられないほどトラウマになります。はい、QR コードを開いて台帳に署名しました。しかし、私はひどく操られていて、手遅れになるまで何が起こっているのかわかりませんでした.私は詐欺、フィッシング、強盗に遭いました。一部の嫌いな人は、「それはあなたが得るものだ」と言うでしょう。そして多分彼らは正しい。しかし、はっきりさせておきますが、詐欺は詐欺であり、窃盗は窃盗であり、私はそれらの資産を譲渡または売却するつもりはありませんでした.だから今、私は自分の財産を取り戻す方法を見つけようとしています。」
新しい詐欺の手口を見てみましょう!手当と混同しないでください
ZenGo ウォレットの背後にいる人々が QR コードのサポートを追加したいと考えたとき、最初にセキュリティ面について少し調査することにしました。彼らが発見したことは不穏なものでしたが、完全に予想外というわけではありませんでした。誰でも、意図したアドレスではなく、自分のアドレスに送金する QR コードを簡単に生成できます。ほとんどすべての QR コードが似ているため、誰も判断できません。
例えば、
興味深いことに、彼らはいくつかの
他の人はコードをいじくり回して、アドレスをコピーして貼り付けて再確認しようとすると、サイトは自分のアドレスではなくあなたのアドレスをクリップボードにコピーして、一致すると思わせるようにします. ZenGo は、調査したアドレスを使用して約 20,000 ドル相当の詐欺されたビットコインを追跡し、それは氷山の一角に過ぎないと信じていました!
私の意見では、ここでデバイスの分離の原則に役立つことを付け加えます-1つのクリーンなデバイスで
QRLJacking 攻撃が舞台裏でどのように機能するかを次に示します。
QRLJacking ツールと追加機能の詳細については、次の Web サイトをご覧ください。
この記事で説明されているスキームは気になるように見えるかもしれませんが、ユーザーは、
疑わしいと思われる QR コードをスキャンした場合は、コードが起動しようとしているものに注意し、Wi-Fi ネットワークに接続したり、短縮されたリンクに移動したりしないでください。一部の研究者は、
ほとんどの QR コードはスマートフォンで安全にスキャンできるはずですが、チケットや搭乗券をスキャンするためにデバイスで今日生成されたペイロードをスキャンすると、デバイスで奇妙な動作が発生する可能性があります。イベントや作業の直後に作業する必要があるスキャナー、またはテストする権限のないスキャナーでペイロードをスキャンしないでください。これらのペイロードの一部は、スキャナーの動作を停止させる可能性があります。
このすべてを順守するようにお願いしているわけではありませんが、この特定の場合の主なルールを覚えておく必要があります。
最終的に人々に銀行になる機会を与えたいのであれば、この場合、人々は従来の銀行がお金を得るすべてのサービスと行動を置き換えることができなければならないことを認識しなければなりません!
フォローする
使用する
とはいえ、どの業界に属しているかは問題ではありません。機密情報や専有情報を持っている場合は、ターゲットになる可能性が非常に高くなります。これは、常に心に留めておくとよいことです。また、QR コードにさらに多くの脆弱性が潜んでいることを誰が知っていますか? QR Code 0day、QR Code 1 day、または QR code CVE をグーグルで検索すると、多くの興味深いことがわかります。たとえば、
最新を学ぶ
警告は警告です!おげんきで!
サポートは私にとって非常に重要です。サポートがあれば、仕事に費やす時間が減り、好きなこと、つまり Defi と Crypto のユーザーを教育することができます! ❤️
あなたがしたい場合は