I - O que é um código QR?

Um código QR é um código de barras bidimensional que pode armazenar 7.089 dígitos ou 4.296 caracteres . Ele pode ser escaneado usando um scanner ou leitor de código QR, embutido nas câmeras padrão da maioria dos dispositivos móveis, para decifrar os dados codificados nele.





Trata-se de uma sequência de texto e, normalmente, é um URL ou link para um site ou para a conta oficial de um comerciante em um sistema de pagamento. Escanear um código QR poupa o usuário do trabalho de digitar um endereço longo em um navegador da web ou inserir manualmente o nome de usuário ou número de um comerciante em um aplicativo de pagamento, entre outras vantagens.





De acordo com Kody Kinzie , um pesquisador de segurança, a resposta para a limitação dos códigos de barras lineares foi Códigos de barras 2D, que oferecem mais resistência de armazenamento para que danos físicos afetem as informações contidas. Alguns dos primeiros códigos 2D se pareciam com o abaixo, que ainda é amplamente utilizado hoje.









O código asteca é um código 2D, ou matricial, legível por máquina que é semelhante em muitos aspectos a um código QR e pode conter mais informações do que um código de barras linear. Inicialmente desenvolvido para logística, você pode vê-lo usado em pacotes e envelopes quando mais dados precisam ser armazenados do que um código de barras linear pode fornecer.





Outros tipos de códigos de barras 2D podem conter uma quantidade extremamente densa de dados. O formato PDF417 encontrado no verso da maioria das carteiras de motorista nos Estados Unidos, por exemplo, pode codificar até 1800 caracteres ASCII.









Códigos PDF417 como o acima podem codificar texto, números, arquivos e bytes de dados reais e são mais resistentes a erros do que códigos de barras lineares. Empresas como a FedEx usam uma combinação de PDF417 e outros códigos de barras em guias de remessa para automatizar a entrega e o rastreamento.





Os códigos QR começaram na indústria automotiva como uma forma de acompanhar os carros enquanto eles estavam sendo fabricados, mas rapidamente cresceram em popularidade fora dessa indústria. Semelhante a outros códigos 2D, os códigos QR podem conter uma tonelada de dados e podem até funcionar quando reduzidos em resolução ou danificados.









Uma aplicação fascinante dos códigos QR possibilitada por sua maior capacidade de dados é usá-los para gerir Wi-fi conexões sem compartilhar a senha em texto simples. Ao codificar a string a seguir, você pode criar um código QR que registra automaticamente os usuários do Android em uma rede Wi-Fi.









A conveniência dos códigos QR e a onipresença dos dispositivos móveis contribuíram muito para o uso generalizado desses códigos de barras bidimensionais. No entanto, sua popularidade também criou um terreno fértil para atores mal-intencionados aprimorarem seus





Kit de ferramentas de malware de código QR para roubar não apenas informações pessoais, mas também ativos suados que são impossíveis de recuperar depois de perdidos. Ameaças envolvendo códigos QR tornaram-se tão comuns e astutas que o FBI emitiu recentemente um aviso sobre eles.









Como a agência descreve, o golpista entrará em contato com a vítima e de alguma forma a convencerá de que ela precisa enviar dinheiro, seja com promessas de amor, mais riquezas ou se passando por uma instituição real, como um banco ou empresa de serviços públicos.





Depois que a marca é convencida, o golpista fará com que eles peguem dinheiro (às vezes de contas de investimento ou aposentadoria) e se dirijam a um caixa eletrônico que vende criptomoedas e oferece suporte à leitura de códigos QR. Assim que a vítima estiver lá, ela digitalizará um código QR enviado pelo golpista, que instruirá a máquina a enviar qualquer criptomoeda comprada para o endereço do golpista.





Assim, a vítima perde seu dinheiro e o golpista os explora com sucesso.









Atores mal-intencionados procuram pessoas comuns e inocentes que não sabem muito, se é que sabem, sobre a segurança do código QR. Então, como evitar golpes de código QR?





Neste artigo, discutirei com você as várias maneiras pelas quais os fraudadores usam códigos QR para enganar os usuários e recomendarei dicas sobre como os usuários podem se proteger de golpes de código QR.





Antes de tudo, vamos definir quais ataques existem e começaremos com o primeiro que vier à mente - um ataque ao dinheiro na conta bancária onde criptomoedas e QR são apenas uma ferramenta.





Não desanime - há ataques mais sérios por vir, mas quero que você entenda que as agências governamentais raramente prestam tanta atenção a um tipo de golpe aparentemente insignificante. Talvez haja uma razão para matar esse tipo logo no início e alertar as pessoas sobre esse ataque, por meio do QR.





Vamos descobrir onde tudo começou! É importante observar que os agentes mal-intencionados investiram muito tempo e recursos para fazer com que seus golpes ativados por código QR parecessem legítimos e úteis, conforme ilustrado pelos exemplos a seguir:

Códigos QR sobrepostos

Um excelente exemplo de um golpe de código QR que depende do reino físico tem atores mal-intencionados imprimindo adesivos de código QR e colocando-os fisicamente sobre os genuínos. As pessoas geralmente assumem que os sinais ou cartazes com códigos QR em lojas e espaços públicos são seguros e, portanto, podem não saber que agentes mal-intencionados podem substituir códigos QR legítimos por falsos como parte de seus esquemas fraudulentos.





Este foi o caso de um esquema envolvendo pagamentos de compartilhamento de bicicletas na China . Atores maliciosos supostamente substituíram os códigos QR que os usuários precisavam escanear para pagar pelo uso das bicicletas antes que pudessem ser desbloqueadas.





Como resultado, os pagamentos de usuários desavisados foram transferidos para as contas dos agentes maliciosos, sem que os usuários pudessem desbloquear as bicicletas para seu uso.



Recentemente, a aplicação da lei em várias cidades dos EUA emitiu avisos sobre um esquema semelhante, em que agentes mal-intencionados inseriram seus códigos QR fraudulentos em códigos legítimos em __ parquímetros __ para induzir os usuários a inserir suas credenciais de pagamento em seus sites de phishing.

Códigos QR usados na engenharia social do mundo real

Outro exemplo de golpe de código QR que se aproveita do mundo físico é um esquema executado em um estacionamento em Os Países Baixos e isso levou ao roubo de milhares de euros.





Atores mal-intencionados abordaram indivíduos para pagar a taxa de estacionamento, não por meio da máquina designada no estacionamento, supostamente porque estava quebrada. Vestindo trajes de aparência profissional para parecerem mais confiáveis, os fraudadores persuadiram suas vítimas a escanear o código QR que tinham, desviando assim os pagamentos para sua conta.

Códigos QR em e-mails de phishing

Os golpistas são conhecidos por incorporar códigos QR em seus ataques de phishing, uma prática conhecida como “quishing”. Eles fazem isso principalmente para contornar as soluções de segurança tradicionais que podem sinalizar URLs maliciosos quando aparecem em e-mails, mas não quando estão vinculados a (ou ocultos por trás) códigos QR.





Em dezembro de 2021, foi relatada uma campanha de phishing que usava códigos QR para roubar as credenciais bancárias de usuários na Alemanha. Na campanha, agentes mal-intencionados enviam um e-mail se passando por um banco e pedindo ao destinatário que revise e concorde com as mudanças na política de privacidade do banco, escaneando o código QR no e-mail. Mas o código QR está vinculado a um site de phishing, onde a vítima pode inserir involuntariamente suas credenciais bancárias para que os agentes mal-intencionados as coletem.





Um esquema de quishing para obter o Microsoft 365 credenciais também foi relatado no final do ano passado. Esta campanha começa com um e-mail vindo de uma conta de e-mail previamente comprometida e contendo uma mensagem de correio de voz que o destinatário pode supostamente ouvir escaneando o código QR no e-mail. O código QR, no entanto, leva a uma página de login falsa projetada para roubar as credenciais do Microsoft 365.

Códigos QR para assinatura de serviços premium

Atores mal-intencionados podem usar códigos QR para inscrever usuários desavisados em serviços premium e roubar os fundos cobrados desses usuários mensalmente. Este esquema foi usado na campanha de trojan do Android conhecida como GriftHorse , que vitimou mais de 10 milhões de usuários em todo o mundo até setembro de 2021.

Aplicativos de leitura de código QR e código de barras

Em meados de 2021, os aplicativos de código QR e leitor de código de barras vinculados ao Malware Anatsa apareceu no Google Play. (Desde então, eles foram retirados da loja.) A infecção com esse aplicativo começa forçando o usuário a atualizar o aplicativo após a instalação, aparentemente para que o usuário possa continuar a usá-lo.





Após o download bem-sucedido da suposta atualização, o aplicativo solicita que o usuário permita a instalação de aplicativos de fontes desconhecidas. Como o usuário foi previamente levado a acreditar que a atualização era necessária para que o aplicativo funcionasse corretamente, o usuário concede a permissão. Assim que a atualização é concluída, o malware é executado no dispositivo e solicita imediatamente que o usuário conceda privilégios de serviço de acessibilidade.





Atores mal-intencionados obtêm controle total sobre o dispositivo e podem executar ações em nome do usuário depois que o usuário habilita os privilégios do serviço de acessibilidade. Nesse ponto, o aplicativo infestado de malware é executado e funciona como um aplicativo legítimo. Assim, o cenário foi montado para que atores mal-intencionados roubem credenciais de login e obtenham acesso a todas as informações exibidas no dispositivo do usuário desavisado.

Aplicativos criadores de QR Code

Aplicativos trojanizados podem se disfarçar como aplicativos criadores de código QR. Em um esquema perpetrado pelo grupo de atores maliciosos Brunilda, esse aplicativo solicita que o usuário se registre. Depois que o registro é feito e obtém informações detalhadas do dispositivo, o aplicativo baixa e instala uma carga útil de trojan, que pode realizar o roubo de informações pessoais confidenciais, como credenciais de login ou detalhes de contas bancárias.

Códigos QR usados em Doxxing

Em primeiro lugar, qualquer pessoa pode criar um pixel de rastreamento, vincular a uma página e, em seguida, vinculá-la a um código QR. Qualquer registrador popular ( canarytokens.org , iplogger.com ) pode ser usado para essa finalidade se o recebimento de dados estendidos nas configurações do registrador estiver ativado.





O pixel criado também pode ser colocado em um site externo. Pode ser um blog ( telégrafo , medium.com , teletype.in ) ou até mesmo uma página de origem OSINT ( start.me ) que por sua vez pode estar vinculado a um código QR.

III - Erros e problemas do código QR

Apple IOS 11

Com o iOS 11, a Apple introduziu um novo recurso que dá aos usuários a capacidade de ler códigos QR automaticamente usando o aplicativo de câmera nativo do iPhone sem a necessidade de nenhum aplicativo leitor de código QR de terceiros.





Você precisa abrir o aplicativo Câmera no seu iPhone ou iPad e apontar o dispositivo para um código QR. Se o código contiver algum URL, ele enviará uma notificação com o endereço do link, solicitando que você toque para visitá-lo no navegador Safari. No entanto, tenha cuidado - você pode não estar visitando o URL exibido para você, pesquisador de segurança Roman Mueller descoberto .





De acordo com Mueller, o analisador de URL do leitor de código QR embutido para o aplicativo de câmera do iOS falha ao detectar o nome do host no URL, o que permite que os invasores manipulem o URL exibido na notificação, enganando os usuários a visitar sites maliciosos.









Para a demonstração, o pesquisador criou um código QR (mostrado acima) com a seguinte URL:





https://xxx\\@facebook.com:[email protected]/

If you scan it with the iOS camera app, it will show following notification:

Open "facebook.com" in Safari

When you tap it to open the site, it will instead open:

https://infosec.rm-it.de/





Existe também uma ferramenta chamada QRGenGenericName - pode criar códigos QR maliciosos e até mesmo codificar cargas personalizadas. Esses ataques são potentes porque os humanos não podem ler ou entender as informações contidas em um código QR sem digitalizá-lo, expondo potencialmente qualquer dispositivo usado para tentar decifrar o código ao exploit contido nele.





Mesmo leitores de código QR, como smartphones, podem ser vulneráveis a esses tipos de ataques, já que os códigos QR foram capaz de atrair usuários do iPhone para sites maliciosos . Confira este incrível artigo que descreve como esta ferramenta funciona em detalhes.

Discord QR Login

Em dezembro de 2020, os desenvolvedores do Discord – um aplicativo de bate-papo por voz e texto amplamente utilizado pela comunidade de jogos – anunciaram o lançamento de um Recurso de código QR que permite aos usuários fazer login no cliente da Web para desktop usando o telefone, escaneando o código que aparece na tela.









Embora esse recurso tenha como objetivo simplificar o processo de login do Discord para usuários de desktop, surgiram notícias de que fraudadores estão explorando o sistema para obter acesso não autorizado às contas.





De acordo com discussões em vários servidores do Discord e nas mídias sociais, os golpistas têm postado códigos QR com a promessa de nitro , o pacote de assinatura da plataforma que oferece inúmeras vantagens e outros brindes.









Ao escanear o código, no entanto, os usuários inadvertidamente fornecem ao invasor acesso à sua conta.





“O método de login por QR funciona sem nenhum nome de usuário/senha e 2FA e, embora torne o Discord muito mais conveniente para fazer login em qualquer lugar, infelizmente está sendo explorado na forma de presentes Nitro falsos (e possivelmente outras formas) ”, disse um usuário do Discord.





As opiniões se dividiram sobre a gravidade potencial dessa exploração. Para alguns usuários, ter suas contas comprometidas pode resultar em pouco mais do que frustração – embora seja improvável que alguém fique feliz com a possibilidade de alguém se passar por eles online.





No entanto, depois de lançar um prova de conceito para demonstrar a aparente facilidade de exploração, o parceiro Twitch Pirate Software disse que se o usuário fosse um assinante do Nitro, um invasor poderia obter acesso ao seu nome, endereço e endereço de e-mail não ofuscado do PayPal .









Discord não respondeu imediatamente ao nosso pedido de comentário. A equipe ponderou sobre Tópico de discussão do Reddit , observando que a janela de login do código QR foi reduzida, para impedir qualquer possível golpista.





“Recentemente, reduzimos a janela de validade do código QR de 10 minutos para 2 minutos”, disse um engenheiro do Discord, que acrescentou:





Notamos um aumento nas pessoas que tentam fazer com que os usuários digitalizem códigos QR com engenharia social, na tentativa de induzi-los a fazer login em outro dispositivo que não controlam.

Nosso pensamento original era que o palavreado na tela seria suficiente para deter os ataques de engenharia social, no entanto, concordamos que um palavreado mais claro e um aviso poderiam estar em vigor.





Em nossos canais de lançamento de aplicativos móveis, modificamos o palavreado na tela de confirmação para enfatizar mais claramente que você está fazendo login em outro dispositivo e impomos um atraso antes que o botão 'fazer login' esteja ativo (espero que as pessoas leiam o texto em vermelho .) Você pode ver esta nova tela aqui .





Além de ser discutido em vários servidores do Discord, o problema já chegou às redes sociais, com um usuário twittando : “PSA: Se alguém enviar um código QR para você pelo Discord, não o escaneie. Eles podem usá-lo para obter acesso instantâneo à sua conta.”









“Uma boa quantidade de desinformação sendo feita aqui”, eles disse . “O Discord exige que você confirme o login antes que o invasor tenha acesso. Se você simplesmente ignorar os avisos que o Discord lhe dá, a culpa é sua. Apenas seja esperto e não caia nesses ataques.”





No Reddit, no entanto, o argumento 'não caia em ataques' foi insuficiente.





“Eu não entendo o elitismo de, 'Se você está sendo phishing, a culpa é sua, agora vá embora, a discórdia não deve mudar nada' escreveu um usuário. “Crie algo são e salvo, não, 'Sim, esse código QR pode ser usado para fazer login, ele disse claramente, mas você não prestou atenção…'”









Sabemos quantos outros aplicativos que usam QR têm essa vulnerabilidade? Por exemplo, no Telegram? Claro, a pergunta é retórica.

IV - QR + Crypto = ?..

Mantenha sua raposa segura!

Os golpistas podem usar códigos QR para induzir os usuários a fazer o download carteiras de criptomoedas falsificadas prometendo que, ao fazê-lo, obteriam recompensas, que são tokens falsos. Outro tipo de isca envolve o uso de códigos QR para baixar carteiras falsas de criptomoedas que prometem reduções nas taxas dos mineradores.





Outro golpe relacionado é o uso de códigos QR para obter aprovação não autorizada de tokens, que são usados para facilitar a transferência de ativos de uma carteira de criptomoeda para outra. Relatórios de incidentes citaram este esquema como a principal razão para a perda de fundos significativos.





Além disso, golpes de código QR relacionados a criptomoedas envolvendo MetaMask, que é uma carteira de criptomoedas para interagir com o blockchain Ethereum. Atores maliciosos podem invadir contas de extensão MetaMask por meio de códigos QR para transferir fundos sem as chaves privadas do proprietário da conta.









“Isso é incrivelmente embaraçoso em alguns níveis, Nicholas twittou. “Em outros, incrivelmente traumatizante. Sim, abri o código QR e assinei o livro. Mas eu estava sendo severamente manipulado e não percebi o que estava acontecendo até que fosse tarde demais. Fui enganado, phishing e roubado. Alguns idiotas vão dizer 'isso é o que você tem'. E talvez eles estejam certos. Mas vamos ser claros, golpe é golpe, roubo é roubo, e eu não tinha intenção de transferir ou vender esses ativos. Então agora estou tentando encontrar maneiras de recuperar minha propriedade.









Dê uma olhada em um novo método de golpe! Não confunda com um subsídio aprovar golpe (para prevenir você pode usar revogar.dinheiro / irrekt.net ) que visa tokens ERC20, mas não Ethers. ( 1 , 2 , 3 , 4 ).









Quando as pessoas por trás da carteira ZenGo quiseram adicionar suporte ao código QR, eles decidiram primeiro pesquisar um pouco sobre os aspectos de segurança. O que eles descobriram foi perturbador – mas não totalmente inesperado. Qualquer pessoa pode simplesmente gerar um código QR que envie dinheiro para seu endereço em vez do pretendido. E ninguém pode dizer que praticamente todos os códigos QR são parecidos.

Uma investigação da ZenGo:

Por exemplo, ZenGo usou um site Googled para solicitar um código QR para o endereço: 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 , eles receberam um código QR que enviou fundos para o endereço do golpista: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx





Curiosamente, eles notaram que alguns golpistas aumentaram a aposta com alguns truques. Alguns dos sites falsos de código QR manipularam o código QR para que, se você verificasse, ele se parecesse superficialmente com o endereço correto, correspondendo à primeira letra ou numeral, como '1', '3' ou 'bc'.





Outros mexem no código para que, se você tentar copiar e colar o endereço para verificá-lo novamente, o site copie seu endereço para a área de transferência em vez do deles, para que você ache que corresponde. A ZenGo rastreou cerca de $ 20.000 em Bitcoins fraudulentos usando os endereços que eles examinaram e acreditavam que era apenas a ponta do iceberg!





Eu acrescentaria que, na minha opinião, aqui ajudará o princípio da separação de dispositivos - com um dispositivo limpo com airgap.it você pode digitalizar o QR, com outro apenas sentar no navegador e, no terceiro armazenamento frio ou de papel mais seguro - armazenar economias básicas. Nada impede que você armazene sua "soma quente" principal no mesmo cofre dividido. Fique seguro!

V - QRLJacking: Uma revisão da comunidade OWASP

QRLJacking ou Quick Response Code Login Jacking é um vetor de ataque de engenharia social simples capaz de seqüestro de sessão afetando todos os aplicativos que dependem do recurso “Login com código QR” como uma forma segura de fazer login em contas. Simplesmente, em poucas palavras, a vítima verifica os resultados do código QR do invasor do seqüestro de sessão.





Veja como o ataque QRLJacking funciona nos bastidores:





O invasor inicializa uma sessão QR do lado do cliente e clona o código QR de login em um site de phishing. “Agora, uma página de phishing bem elaborada com um QR Code válido e atualizado regularmente está pronta para ser enviada a uma vítima.” O atacante envia a página de phishing para a vítima. (referir-se QRLJacking vetores de ataque da vida real ) A vítima digitaliza o código QR com um aplicativo móvel direcionado específico. O atacante ganha controle sobre a conta da vítima. O serviço está trocando todos os dados da vítima com a sessão do atacante.

Fluxo de Ataque de QRLJacking









Para obter mais informações sobre as ferramentas QRLJacking e extras, visite o QRLJacking no Github

Exemplos de prova de conceito (vídeos)

VI - Dicas para garantir a segurança do código QR

Embora os esquemas discutidos neste artigo possam parecer preocupantes, os usuários podem evitar os golpes de código QR seguindo estas práticas recomendadas por TrendMicro :





Certifique-se de que o site vinculado de uma agência governamental ou outro provedor de serviços oficial seja legítimo antes de fornecer suas informações pessoais. Verifique se há erros ortográficos no próprio URL.

Pense duas vezes antes de digitalizar um código QR encontrado em e-mails enviados a você, mesmo que pareçam vir de organizações ou pessoas que você conhece. Ative a autenticação multifator com suas contas bancárias, corporativas e outras para evitar o roubo de credenciais de login.

Ao fazer transações nas instalações de um comerciante ou provedor de serviços, verifique o código QR para garantir que não esteja colado sobre um código original e legítimo.

Use os códigos QR para pagar apenas quando estiver fazendo transações diretamente com comerciantes confiáveis, provedores de serviços ou pessoas que você conhece.

Tenha cuidado ao conceder permissões quando um aplicativo as solicitar, pois algumas das permissões solicitadas podem ser perigosas.





Os códigos QR podem codificar muitas informações, e como aprendemos hoje, eles podem até ser formatados para fazer com que um dispositivo execute ações como conectar-se a uma rede Wi-Fi. Isso torna a digitalização de um código QR arriscada, pois uma pessoa não tem como ler as informações antes de expor seu dispositivo a qualquer carga útil contida nele.





Se você digitalizar um código QR que pareça suspeito, preste atenção ao que o código está tentando iniciar e não se conecte a uma rede Wi-Fi nem navegue até um link encurtado. Alguns pesquisadores ainda notam o benefício de QR para anonimato geral em blockchain! Isso significa que essa tecnologia tem futuro na Web 3.0, assim como já tem na Web 2.0.





Embora a maioria dos códigos QR deva ser segura para escanear em um smartphone, escanear cargas úteis que geramos hoje em um dispositivo para escanear bilhetes ou cartões de embarque pode resultar em algum comportamento bizarro do dispositivo. Não digitalize cargas em um scanner que você precisa trabalhar imediatamente após um evento ou trabalho - ou qualquer scanner que você não tenha permissão para testar - pois algumas dessas cargas podem fazer com que o scanner pare de funcionar.





Não estou pedindo que cumpra tudo isso, mas lembre-se da regra principal neste caso específico:









Se finalmente queremos dar às pessoas a oportunidade de serem seus bancos, devemos perceber que, neste caso, as pessoas devem poder substituir todos aqueles serviços e ações pelos quais os bancos tradicionais recebem dinheiro!





Segue o 25 regras neste conjunto, as 10 primeiras regras dizem respeito à segurança pessoal e as demais à segurança corporativa, fique de olho também no últimas tendências em cripto OpSec, isso sempre faz sentido. Não tenha medo de links , você não precisa de todos eles, mas deve ser capaz de escolher o que mais lhe interessar para o seu Caminho.









Usar medidas extensivas ao trabalhar com arquivos e sempre fique de olho na segurança mais recente tendências, mesmo que sua área esteja longe disso. Pegue isso subreddit e este incrível velho e confiável recurso como primeiro passo. Em nosso mundo perigoso, qualquer um pode se tornar um alvo, especialmente em criptomoedas.





Dito isso, não importa em que setor você esteja. Se você tiver alguma informação confidencial e proprietária, poderá muito bem ser um alvo. Isso é bom para se ter sempre em mente. Além disso, quem sabe quantas outras vulnerabilidades se escondem nos códigos QR? Basta pesquisar no Google QR Code 0day, QR Code 1 day ou QR code CVE e você verá muitas coisas interessantes - por exemplo, 1 , 2 .





Aprenda o mais recente técnicas de ataque , folhas de dicas de chapéu branco , e métodos de defesa, e junte-se ao hacker comunidades - porque somente com conhecimento podemos derrotar o conhecimento dos hackers. Nessa batalha intelectual, vencerá o mais preparado e acredito que será você, Anon. Parece assustador mas é possível, o principal é sempre pense à frente .





Prevenido é armado! Fique seguro!

