Tôi rất vui vì các bạn đang đọc lại bài viết của tôi, các bạn thân mến! Có vẻ như, mã QR có thể gây ra nguy hiểm gì? Nó chỉ ra rằng bạn thậm chí có thể mất tiền điện tử của mình cũng như tiền fiat và thông tin đăng nhập internet vì một số cuộc tấn công, dựa trên cơ chế của mã QR.
Hãy cùng nghiên cứu những cuộc tấn công này và xem chúng ta có thể bảo vệ thành công chúng như thế nào!
Trong bài viết này, tôi sẽ đề cập đến các Tác giả tuyệt vời khác nhau và các nguồn tài liệu mà tôi thực sự khuyên bạn nên tự nghiên cứu chúng một cách riêng biệt. Danh sách tài liệu tham khảo ở cuối bài viết, chúc các bạn đón đọc!
Mã QR là một
Đây là một chuỗi văn bản và nó thường là một URL hoặc liên kết đến một trang web hoặc tài khoản chính thức của người bán trên hệ thống thanh toán. Quét mã QR giúp người dùng không gặp rắc rối khi gõ một địa chỉ dài trong trình duyệt web hoặc nhập tên người dùng hoặc số của người bán vào ứng dụng thanh toán theo cách thủ công, trong số các lợi thế khác.
Dựa theo
Mã Aztec là mã 2D, hoặc ma trận, có thể đọc được bằng máy, giống mã QR theo nhiều cách và có thể chứa nhiều thông tin hơn mã vạch tuyến tính. Ban đầu được phát triển cho dịch vụ hậu cần, bạn có thể thấy nó được sử dụng trên các gói và phong bì khi cần lưu trữ nhiều dữ liệu hơn mã vạch tuyến tính có thể cung cấp.
Các loại mã vạch 2D khác có thể chứa một lượng dữ liệu cực kỳ dày đặc. Ví dụ: định dạng PDF417 được tìm thấy ở mặt sau của hầu hết các giấy phép lái xe ở Hoa Kỳ, có thể mã hóa tối đa 1800 ký tự ASCII.
Các mã PDF417 như trên có thể mã hóa văn bản, số, tệp và byte dữ liệu thực tế và chúng có khả năng chống lỗi cao hơn mã vạch tuyến tính. Các công ty như FedEx sử dụng kết hợp PDF417 và các mã vạch khác trên phiếu đóng gói để tự động hóa việc phân phối và theo dõi.
Mã QR bắt đầu xuất hiện trong ngành ô tô như một cách để theo dõi ô tô khi chúng đang được sản xuất nhưng nhanh chóng trở nên phổ biến bên ngoài ngành đó. Tương tự như các mã 2D khác, mã QR có thể đóng gói rất nhiều dữ liệu và thậm chí có thể hoạt động khi bị giảm độ phân giải hoặc bị hỏng.
Một ứng dụng hấp dẫn của mã QR được kích hoạt bởi dung lượng dữ liệu lớn hơn của chúng là sử dụng chúng để
Sự tiện lợi của mã QR mang lại và sự phổ biến của các thiết bị di động đã góp phần rất lớn vào việc sử dụng rộng rãi các mã vạch hai chiều này. Tuy nhiên, sự nổi tiếng của họ cũng đã tạo ra mảnh đất màu mỡ cho những kẻ ác ý tung hoành
Bộ công cụ phần mềm độc hại mã QR để đánh cắp không chỉ thông tin cá nhân mà còn cả tài sản khó kiếm được sau khi bị mất. Các mối đe dọa liên quan đến mã QR đã trở nên đầy rẫy và ranh mãnh đến mức FBI gần đây đã ban hành
Như cơ quan này mô tả, kẻ lừa đảo sẽ liên hệ với nạn nhân của họ và bằng cách nào đó thuyết phục họ rằng họ cần gửi tiền, với những lời hứa về tình yêu, sự giàu có hơn nữa hoặc bằng cách mạo danh một tổ chức thực tế như ngân hàng hoặc công ty tiện ích.
Sau khi bị thuyết phục, kẻ lừa đảo sẽ yêu cầu họ nhận tiền mặt (đôi khi từ tài khoản đầu tư hoặc tài khoản hưu trí) và đến một máy ATM bán tiền điện tử và hỗ trợ đọc mã QR. Khi nạn nhân ở đó, họ sẽ quét mã QR mà kẻ lừa đảo đã gửi cho họ, mã này sẽ yêu cầu máy gửi bất kỳ loại tiền điện tử nào đã mua đến địa chỉ của kẻ lừa đảo.
Cứ như vậy, nạn nhân mất sạch tiền, kẻ lừa đảo đã lợi dụng thành công.
Những kẻ độc hại tìm kiếm những người bình thường, không nghi ngờ, những người không biết nhiều, nếu có, về sự an toàn của mã QR. Vì vậy, làm thế nào để ngăn chặn lừa đảo mã QR?
Trong bài viết này, tôi sẽ thảo luận với bạn về các cách khác nhau mà kẻ gian sử dụng mã QR để đánh lừa người dùng và đề xuất các mẹo về cách người dùng có thể tự bảo vệ mình khỏi các trò gian lận bằng mã QR.
Trước hết, chúng ta hãy xác định những cuộc tấn công nào tồn tại và chúng ta sẽ bắt đầu với cuộc tấn công đầu tiên mà chúng ta nghĩ đến - một cuộc tấn công vào tiền trong tài khoản ngân hàng nơi tiền điện tử và QR chỉ là một công cụ.
Đừng nản lòng - sẽ có nhiều cuộc tấn công nghiêm trọng hơn xảy ra, nhưng tôi muốn bạn hiểu rằng các cơ quan chính phủ hiếm khi chú ý nhiều đến một kiểu lừa đảo dường như không đáng kể như vậy. Có thể có lý do để tiêu diệt loại hình này ngay từ khi mới ra đời và làm cho mọi người biết về một cuộc tấn công như vậy, thông qua QR.
Hãy tìm hiểu xem tất cả bắt đầu từ đâu! Điều quan trọng cần lưu ý là các phần tử độc hại đã đầu tư rất nhiều thời gian và nguồn lực để làm cho các trò gian lận kích hoạt mã QR của họ có vẻ hợp pháp và hữu ích, như được minh họa bằng các ví dụ sau:
Một ví dụ điển hình về trò lừa đảo mã QR dựa trên lĩnh vực vật lý là những kẻ độc hại in ra các nhãn dán mã QR và đặt chúng lên trên các nhãn chính hãng. Mọi người thường cho rằng các bảng hiệu hoặc áp phích có mã QR trong các cửa hàng và không gian công cộng là an toàn và do đó có thể không biết rằng những kẻ xấu có thể thay thế mã QR hợp pháp bằng mã giả như một phần trong kế hoạch lừa đảo của chúng.
Đây là trường hợp trong một kế hoạch liên quan đến các khoản thanh toán cho
Kết quả là, các khoản thanh toán của những người dùng không nghi ngờ đã được chuyển vào tài khoản của những kẻ độc hại, mà người dùng không thể mở khóa xe để sử dụng.
Gần đây, cơ quan thực thi pháp luật ở một số thành phố của Hoa Kỳ đã đưa ra cảnh báo về một âm mưu tương tự, trong đó các kẻ xấu đã dán mã QR gian lận của họ vào những mã QR hợp pháp trên _đồng hồ đỗ xe __ để lừa người dùng nhập thông tin xác thực thanh toán của họ vào các trang web lừa đảo của họ.
Một ví dụ khác về trò lừa đảo mã QR lợi dụng lĩnh vực vật lý là một kế hoạch được thực hiện trong một bãi đậu xe ở
Các tác nhân độc hại được cho là đã tiếp cận các cá nhân để trả phí đậu xe mà không thông qua máy được chỉ định trong bãi đậu xe với mục đích cố ý vì nó bị hỏng. Mặc trang phục chuyên nghiệp để trông đáng tin hơn, những kẻ lừa đảo đã dụ dỗ nạn nhân quét mã QR mà chúng có, do đó chuyển các khoản thanh toán đến tài khoản của chúng.
Những kẻ lừa đảo đã được biết đến
Vào tháng 12 năm 2021, một chiến dịch lừa đảo sử dụng mã QR để đánh cắp thông tin đăng nhập ngân hàng của người dùng ở Đức đã được báo cáo. Trong chiến dịch, những kẻ xấu gửi email mạo danh một ngân hàng và yêu cầu người nhận xem xét và đồng ý với những thay đổi trong chính sách bảo mật của ngân hàng bằng cách quét mã QR trong email. Nhưng mã QR liên kết đến một trang web lừa đảo, nơi nạn nhân có thể vô tình nhập thông tin đăng nhập ngân hàng của họ để những kẻ độc hại thu thập.
Những kẻ độc hại có thể sử dụng mã QR để đăng ký những người dùng không nghi ngờ vào các dịch vụ cao cấp và ăn cắp số tiền được tính cho những người dùng này hàng tháng. Lược đồ này đã được sử dụng trong chiến dịch trojan Android được gọi là
Vào giữa năm 2021, các ứng dụng quét mã QR và mã vạch được liên kết với
Sau khi tải xuống thành công bản cập nhật được cho là, ứng dụng sẽ nhắc người dùng cho phép cài đặt ứng dụng từ các nguồn không xác định. Vì trước đó người dùng được yêu cầu tin rằng bản cập nhật là cần thiết để ứng dụng hoạt động bình thường, nên người dùng sẽ cấp quyền. Sau khi cập nhật xong, phần mềm độc hại sẽ chạy trên thiết bị và ngay lập tức yêu cầu người dùng cấp đặc quyền dịch vụ trợ năng.
Các tác nhân độc hại có toàn quyền kiểm soát thiết bị và có thể thực hiện các hành động thay mặt người dùng sau khi người dùng bật các đặc quyền của dịch vụ hỗ trợ tiếp cận. Tại thời điểm này, ứng dụng bị nhiễm phần mềm độc hại chạy và hoạt động như một ứng dụng hợp pháp. Do đó, giai đoạn này đã được thiết lập để các kẻ xấu ăn cắp thông tin đăng nhập và giành quyền truy cập vào tất cả thông tin được hiển thị trên thiết bị của người dùng không nghi ngờ.
Các ứng dụng trojanized có thể giả dạng ứng dụng tạo mã QR. Trong một kế hoạch được thực hiện bởi nhóm diễn viên độc hại
Trước hết, bất kỳ ai cũng có thể tạo pixel theo dõi, liên kết đến một trang và sau đó liên kết nó với mã QR. Bất kỳ trình ghi nhật ký phổ biến nào (
Pixel đã tạo cũng có thể được đặt trên một trang web bên ngoài. Nó có thể là một blog (
Bạn cần mở ứng dụng Máy ảnh trên iPhone hoặc iPad của mình và hướng thiết bị vào mã QR. Nếu mã chứa bất kỳ URL nào, nó sẽ cung cấp cho bạn thông báo kèm theo địa chỉ liên kết, yêu cầu bạn nhấn để truy cập vào nó trong trình duyệt Safari. Tuy nhiên, hãy cẩn thận - bạn có thể không truy cập vào URL được hiển thị cho bạn, nhà nghiên cứu bảo mật Roman Mueller
Theo Mueller, trình phân tích cú pháp URL của trình đọc mã QR tích hợp cho ứng dụng camera iOS không phát hiện được tên máy chủ trong URL, điều này cho phép kẻ tấn công thao túng URL hiển thị trong thông báo, lừa người dùng truy cập các trang web độc hại.
Đối với bản demo, nhà nghiên cứu đã tạo mã QR (được hiển thị ở trên) với URL sau:
https://xxx\\@facebook.com:[email protected]/
If you scan it with the iOS camera app, it will show following notification:
Open "facebook.com" in Safari
When you tap it to open the site, it will instead open:
https://infosec.rm-it.de/
Ngoài ra còn có một công cụ được gọi là
Ngay cả những máy quét mã QR như điện thoại thông minh cũng có thể dễ bị tấn công bởi những kiểu tấn công này, vì mã QR được phát hiện là
Vào tháng 12 năm 2020, các nhà phát triển tại Discord - một ứng dụng trò chuyện thoại và văn bản được cộng đồng game thủ sử dụng rộng rãi - đã thông báo về việc ra mắt một
Mặc dù tính năng này nhằm mục đích đơn giản hóa quy trình đăng nhập Discord cho người dùng máy tính để bàn, nhưng đã xuất hiện tin tức cho thấy những kẻ gian lận đã khai thác hệ thống để có được quyền truy cập trái phép vào tài khoản.
Theo các cuộc thảo luận trên các máy chủ Discord khác nhau và trên phương tiện truyền thông xã hội, những kẻ lừa đảo đã đăng mã QR với lời hứa miễn phí
Tuy nhiên, khi quét mã, người dùng vô tình cung cấp cho kẻ tấn công quyền truy cập vào tài khoản của họ.
“Phương thức đăng nhập bằng QR hoạt động mà không cần bất kỳ tên người dùng / mật khẩu và 2FA nào, và mặc dù nó làm cho Discord theo cách thuận tiện hơn để đăng nhập ở mọi nơi, nhưng thật không may, nó đang bị khai thác dưới dạng quà tặng Nitro giả (và có thể là các hình thức khác) , ”Một người dùng Discord cho biết.
Ý kiến chia rẽ về mức độ nghiêm trọng tiềm ẩn của việc khai thác này. Đối với một số người dùng, việc tài khoản của họ bị xâm phạm có thể gây ra nhiều điều hơn là thất vọng - mặc dù không có khả năng ai sẽ hài lòng với việc ai đó có thể mạo danh họ trực tuyến.
Tuy nhiên, sau khi phát hành một
Discord đã không trả lời ngay lập tức yêu cầu bình luận của chúng tôi. Các nhân viên đã cân nhắc về một
“Gần đây, chúng tôi đã giảm thời hạn hiệu lực của mã QR từ 10 phút xuống còn 2 phút”
Chúng tôi… nhận thấy sự gia tăng ở những người cố gắng thiết kế xã hội người dùng quét mã QR để lừa họ đăng nhập vào một thiết bị khác mà họ không kiểm soát.
Suy nghĩ ban đầu của chúng tôi là xung quanh trên màn hình sẽ đủ để ngăn chặn các cuộc tấn công kỹ thuật xã hội, tuy nhiên, chúng tôi đồng ý rằng có thể đưa ra cảnh báo rõ ràng hơn và đưa ra cảnh báo.
Trên các kênh phát hành ứng dụng dành cho thiết bị di động của chúng tôi, chúng tôi đã sửa đổi xung quanh trong màn hình xác nhận để nhấn mạnh rõ ràng hơn rằng bạn đang đăng nhập vào một thiết bị khác và áp dụng độ trễ trước khi nút 'đăng nhập tôi' hoạt động (hy vọng sẽ khiến mọi người đọc được dòng chữ màu đỏ .) Bạn có thể thấy màn hình mới này
Ngoài việc được thảo luận trên nhiều máy chủ Discord, vấn đề đã được tìm thấy trên phương tiện truyền thông xã hội, với một người dùng
“Có rất nhiều thông tin sai lệch được đưa ra ở đây,” họ
Tuy nhiên, trên Reddit, lập luận 'đừng để bị tấn công' đã bị rút ngắn.
"Tôi không hiểu chủ nghĩa 'Nếu bạn bị lừa đảo, đó là lỗi của bạn, bây giờ đã bùng phát, bất hòa sẽ không thay đổi được gì',"
Chúng ta có biết có bao nhiêu ứng dụng khác sử dụng QR có lỗ hổng này không? Ví dụ, trong Telegram? Tất nhiên, câu hỏi là tu từ.
Những kẻ lừa đảo có thể sử dụng mã QR để lừa người dùng tải xuống
Một trò lừa đảo khác có liên quan là việc sử dụng mã QR để nhận được sự chấp thuận trái phép đối với các mã thông báo, được sử dụng để tạo điều kiện thuận lợi cho việc chuyển tài sản từ ví tiền điện tử này sang ví tiền điện tử khác.
Ngoài ra, các trò gian lận mã QR liên quan đến tiền điện tử liên quan đến MetaMask, một ví tiền điện tử để tương tác với chuỗi khối Ethereum. Những kẻ độc hại có thể xâm nhập vào tài khoản tiện ích mở rộng MetaMask thông qua mã QR để chuyển tiền mà không cần khóa riêng của chủ sở hữu tài khoản.
“Điều này cực kỳ đáng xấu hổ ở một số cấp độ, Nicholas đã tweet. “Đối với những người khác, cực kỳ chấn thương. Có, tôi đã mở mã QR và ký vào sổ cái. Nhưng tôi đã bị thao túng nghiêm trọng và không nhận ra điều gì đang xảy ra cho đến khi quá muộn. Tôi đã bị lừa đảo, bị lừa đảo và bị cướp. Một số thằng khốn sẽ nói 'đó là những gì bạn nhận được.' Và có lẽ họ đúng. Nhưng hãy nói rõ, lừa đảo là lừa đảo, trộm cắp là trộm cắp, và tôi không có ý định chuyển nhượng hoặc bán những tài sản đó. Vì vậy, hiện tôi đang cố gắng tìm mọi cách để lấy lại tài sản của mình ”.
Hãy xem một phương pháp lừa đảo mới! Đừng nhầm nó với một khoản trợ cấp
Khi những người đứng sau ví ZenGo muốn thêm hỗ trợ mã QR, họ đã quyết định thực hiện một chút nghiên cứu về các khía cạnh bảo mật trước tiên. Những gì họ thấy là đáng lo ngại - nhưng không hoàn toàn bất ngờ. Bất kỳ ai cũng có thể chỉ cần tạo mã QR để gửi tiền đến địa chỉ của họ thay vì địa chỉ đã định. Và không ai có thể nói rằng tất cả các mã QR đều giống nhau.
Ví dụ,
Điều thú vị là họ nhận thấy rằng một số
Những người khác sử dụng mã để nếu bạn cố gắng sao chép và dán địa chỉ để kiểm tra lại, trang web sẽ sao chép địa chỉ của bạn vào khay nhớ tạm thay vì của họ để bạn nghĩ rằng nó trùng khớp. ZenGo đã theo dõi khoảng 20.000 đô la Bitcoin bị lừa bằng cách sử dụng các địa chỉ mà họ đã kiểm tra và tin rằng đó chỉ là phần nổi của tảng băng chìm!
Tôi muốn nói thêm rằng theo ý kiến của tôi ở đây sẽ giúp ích cho nguyên tắc tách biệt các thiết bị - với một thiết bị sạch sẽ có
Đây là cách cuộc tấn công QRLJacking hoạt động đằng sau hậu trường:
Để biết thêm thông tin về các công cụ QRLJacking và các công cụ bổ sung, vui lòng truy cập
Mặc dù các kế hoạch được thảo luận trong bài viết này có vẻ đáng lo ngại, nhưng người dùng có thể ngăn chặn các trò gian lận mã QR bằng cách làm theo các phương pháp hay nhất được đề xuất bởi
Nếu bạn quét mã QR có vẻ đáng ngờ, hãy chú ý đến những gì mã đang cố gắng khởi chạy và không kết nối với mạng Wi-Fi hoặc điều hướng đến một liên kết đã được rút gọn. Một số nhà nghiên cứu thậm chí còn lưu ý đến lợi ích của
Mặc dù hầu hết các mã QR đều an toàn khi quét trên điện thoại thông minh, nhưng việc quét tải trọng mà chúng tôi đã tạo ngày nay trên thiết bị quét vé hoặc thẻ lên máy bay có thể dẫn đến một số hành vi kỳ lạ từ thiết bị. Không quét tải trọng trên máy quét mà bạn cần làm việc ngay sau đó cho một sự kiện hoặc công việc - hoặc bất kỳ máy quét nào mà bạn không có quyền kiểm tra - vì một số tải trọng này có thể khiến máy quét ngừng hoạt động.
Tôi không yêu cầu bạn tuân thủ tất cả những điều này, nhưng bạn phải nhớ quy tắc chính trong trường hợp cụ thể này:
Nếu cuối cùng chúng ta muốn cho mọi người cơ hội trở thành ngân hàng của họ, chúng ta phải nhận ra rằng trong trường hợp này, mọi người phải có khả năng thay thế tất cả các dịch vụ và hành động mà các ngân hàng truyền thống thu được tiền!
Theo
Sử dụng
Điều đó nói rằng, không quan trọng bạn đang ở trong ngành nào. Nếu bạn có bất kỳ thông tin nhạy cảm, độc quyền nào, thì bạn rất có thể trở thành mục tiêu. Đây là một điều tốt cần luôn ghi nhớ. Ngoài ra, ai biết có bao nhiêu lỗ hổng khác ẩn trong mã QR? Chỉ cần google QR Code 0 ngày, QR Code 1 ngày, hoặc mã QR CVE và bạn sẽ thấy nhiều điều thú vị - ví dụ:
Tìm hiểu thông tin mới nhất
Đã báo trước là báo trước! Giữ an toàn!
Hỗ trợ rất quan trọng đối với tôi, với nó, tôi có thể dành ít thời gian hơn cho công việc và làm những gì tôi yêu thích - giáo dục người dùng Defi & Crypto! ❤️
Nếu bạn muốn