![Search icon](https://hackernoon.imgix.net/search-new.png?w=19&h=19)
Estou muito feliz por você estar lendo meu artigo novamente, queridos amigos! Ao que parece, que perigo pode representar um código QR? Acontece que você pode até perder sua criptomoeda, bem como dinheiro fiduciário e logins da Internet por causa de vários ataques, que são baseados na mecânica dos códigos QR.
Vamos estudar esses ataques e ver como podemos nos defender com sucesso contra eles!
Neste artigo, vou me referir a vários autores e recursos incríveis. Recomendo fortemente que você os estude separadamente por conta própria. A lista de referências está no final do artigo, boa leitura!
Um código QR é um
Trata-se de uma sequência de texto e, normalmente, é um URL ou link para um site ou para a conta oficial de um comerciante em um sistema de pagamento. Escanear um código QR poupa o usuário do trabalho de digitar um endereço longo em um navegador da web ou inserir manualmente o nome de usuário ou número de um comerciante em um aplicativo de pagamento, entre outras vantagens.
De acordo com
O código asteca é um código 2D, ou matricial, legível por máquina que é semelhante em muitos aspectos a um código QR e pode conter mais informações do que um código de barras linear. Inicialmente desenvolvido para logística, você pode vê-lo usado em pacotes e envelopes quando mais dados precisam ser armazenados do que um código de barras linear pode fornecer.
Outros tipos de códigos de barras 2D podem conter uma quantidade extremamente densa de dados. O formato PDF417 encontrado no verso da maioria das carteiras de motorista nos Estados Unidos, por exemplo, pode codificar até 1800 caracteres ASCII.
Códigos PDF417 como o acima podem codificar texto, números, arquivos e bytes de dados reais e são mais resistentes a erros do que códigos de barras lineares. Empresas como a FedEx usam uma combinação de PDF417 e outros códigos de barras em guias de remessa para automatizar a entrega e o rastreamento.
Os códigos QR começaram na indústria automotiva como uma forma de acompanhar os carros enquanto eles estavam sendo fabricados, mas rapidamente cresceram em popularidade fora dessa indústria. Semelhante a outros códigos 2D, os códigos QR podem conter uma tonelada de dados e podem até funcionar quando reduzidos em resolução ou danificados.
Uma aplicação fascinante dos códigos QR possibilitada por sua maior capacidade de dados é usá-los para
A conveniência dos códigos QR e a onipresença dos dispositivos móveis contribuíram muito para o uso generalizado desses códigos de barras bidimensionais. No entanto, sua popularidade também criou um terreno fértil para atores mal-intencionados aprimorarem seus
Kit de ferramentas de malware de código QR para roubar não apenas informações pessoais, mas também ativos suados que são impossíveis de recuperar depois de perdidos. Ameaças envolvendo códigos QR tornaram-se tão comuns e astutas que o FBI emitiu recentemente um
Como a agência descreve, o golpista entrará em contato com a vítima e de alguma forma a convencerá de que ela precisa enviar dinheiro, seja com promessas de amor, mais riquezas ou se passando por uma instituição real, como um banco ou empresa de serviços públicos.
Depois que a marca é convencida, o golpista fará com que eles peguem dinheiro (às vezes de contas de investimento ou aposentadoria) e se dirijam a um caixa eletrônico que vende criptomoedas e oferece suporte à leitura de códigos QR. Assim que a vítima estiver lá, ela digitalizará um código QR enviado pelo golpista, que instruirá a máquina a enviar qualquer criptomoeda comprada para o endereço do golpista.
Assim, a vítima perde seu dinheiro e o golpista os explora com sucesso.
Atores mal-intencionados procuram pessoas comuns e inocentes que não sabem muito, se é que sabem, sobre a segurança do código QR. Então, como evitar golpes de código QR?
Neste artigo, discutirei com você as várias maneiras pelas quais os fraudadores usam códigos QR para enganar os usuários e recomendarei dicas sobre como os usuários podem se proteger de golpes de código QR.
Antes de tudo, vamos definir quais ataques existem e começaremos com o primeiro que vier à mente - um ataque ao dinheiro na conta bancária onde criptomoedas e QR são apenas uma ferramenta.
Não desanime - há ataques mais sérios por vir, mas quero que você entenda que as agências governamentais raramente prestam tanta atenção a um tipo de golpe aparentemente insignificante. Talvez haja uma razão para matar esse tipo logo no início e alertar as pessoas sobre esse ataque, por meio do QR.
Vamos descobrir onde tudo começou! É importante observar que os agentes mal-intencionados investiram muito tempo e recursos para fazer com que seus golpes ativados por código QR parecessem legítimos e úteis, conforme ilustrado pelos exemplos a seguir:
Um excelente exemplo de um golpe de código QR que depende do reino físico tem atores mal-intencionados imprimindo adesivos de código QR e colocando-os fisicamente sobre os genuínos. As pessoas geralmente assumem que os sinais ou cartazes com códigos QR em lojas e espaços públicos são seguros e, portanto, podem não saber que agentes mal-intencionados podem substituir códigos QR legítimos por falsos como parte de seus esquemas fraudulentos.
Este foi o caso de um esquema envolvendo pagamentos de
Como resultado, os pagamentos de usuários desavisados foram transferidos para as contas dos agentes maliciosos, sem que os usuários pudessem desbloquear as bicicletas para seu uso.
Recentemente, a aplicação da lei em várias cidades dos EUA emitiu avisos sobre um esquema semelhante, em que agentes mal-intencionados inseriram seus códigos QR fraudulentos em códigos legítimos em __ parquímetros __ para induzir os usuários a inserir suas credenciais de pagamento em seus sites de phishing.
Outro exemplo de golpe de código QR que se aproveita do mundo físico é um esquema executado em um estacionamento em
Atores mal-intencionados abordaram indivíduos para pagar a taxa de estacionamento, não por meio da máquina designada no estacionamento, supostamente porque estava quebrada. Vestindo trajes de aparência profissional para parecerem mais confiáveis, os fraudadores persuadiram suas vítimas a escanear o código QR que tinham, desviando assim os pagamentos para sua conta.
Os golpistas são conhecidos por
Em dezembro de 2021, foi relatada uma campanha de phishing que usava códigos QR para roubar as credenciais bancárias de usuários na Alemanha. Na campanha, agentes mal-intencionados enviam um e-mail se passando por um banco e pedindo ao destinatário que revise e concorde com as mudanças na política de privacidade do banco, escaneando o código QR no e-mail. Mas o código QR está vinculado a um site de phishing, onde a vítima pode inserir involuntariamente suas credenciais bancárias para que os agentes mal-intencionados as coletem.
Atores mal-intencionados podem usar códigos QR para inscrever usuários desavisados em serviços premium e roubar os fundos cobrados desses usuários mensalmente. Este esquema foi usado na campanha de trojan do Android conhecida como
Em meados de 2021, os aplicativos de código QR e leitor de código de barras vinculados ao
Após o download bem-sucedido da suposta atualização, o aplicativo solicita que o usuário permita a instalação de aplicativos de fontes desconhecidas. Como o usuário foi previamente levado a acreditar que a atualização era necessária para que o aplicativo funcionasse corretamente, o usuário concede a permissão. Assim que a atualização é concluída, o malware é executado no dispositivo e solicita imediatamente que o usuário conceda privilégios de serviço de acessibilidade.
Atores mal-intencionados obtêm controle total sobre o dispositivo e podem executar ações em nome do usuário depois que o usuário habilita os privilégios do serviço de acessibilidade. Nesse ponto, o aplicativo infestado de malware é executado e funciona como um aplicativo legítimo. Assim, o cenário foi montado para que atores mal-intencionados roubem credenciais de login e obtenham acesso a todas as informações exibidas no dispositivo do usuário desavisado.
Aplicativos trojanizados podem se disfarçar como aplicativos criadores de código QR. Em um esquema perpetrado pelo grupo de atores maliciosos
Em primeiro lugar, qualquer pessoa pode criar um pixel de rastreamento, vincular a uma página e, em seguida, vinculá-la a um código QR. Qualquer registrador popular (
O pixel criado também pode ser colocado em um site externo. Pode ser um blog (
Você precisa abrir o aplicativo Câmera no seu iPhone ou iPad e apontar o dispositivo para um código QR. Se o código contiver algum URL, ele enviará uma notificação com o endereço do link, solicitando que você toque para visitá-lo no navegador Safari. No entanto, tenha cuidado - você pode não estar visitando o URL exibido para você, pesquisador de segurança Roman Mueller
De acordo com Mueller, o analisador de URL do leitor de código QR embutido para o aplicativo de câmera do iOS falha ao detectar o nome do host no URL, o que permite que os invasores manipulem o URL exibido na notificação, enganando os usuários a visitar sites maliciosos.
Para a demonstração, o pesquisador criou um código QR (mostrado acima) com a seguinte URL:
https://xxx\\@facebook.com:[email protected]/
If you scan it with the iOS camera app, it will show following notification:
Open "facebook.com" in Safari
When you tap it to open the site, it will instead open:
https://infosec.rm-it.de/
Existe também uma ferramenta chamada
Mesmo leitores de código QR, como smartphones, podem ser vulneráveis a esses tipos de ataques, já que os códigos QR foram
Em dezembro de 2020, os desenvolvedores do Discord – um aplicativo de bate-papo por voz e texto amplamente utilizado pela comunidade de jogos – anunciaram o lançamento de um
Embora esse recurso tenha como objetivo simplificar o processo de login do Discord para usuários de desktop, surgiram notícias de que fraudadores estão explorando o sistema para obter acesso não autorizado às contas.
De acordo com discussões em vários servidores do Discord e nas mídias sociais, os golpistas têm postado códigos QR com a promessa de
Ao escanear o código, no entanto, os usuários inadvertidamente fornecem ao invasor acesso à sua conta.
“O método de login por QR funciona sem nenhum nome de usuário/senha e 2FA e, embora torne o Discord muito mais conveniente para fazer login em qualquer lugar, infelizmente está sendo explorado na forma de presentes Nitro falsos (e possivelmente outras formas) ”, disse um usuário do Discord.
As opiniões se dividiram sobre a gravidade potencial dessa exploração. Para alguns usuários, ter suas contas comprometidas pode resultar em pouco mais do que frustração – embora seja improvável que alguém fique feliz com a possibilidade de alguém se passar por eles online.
No entanto, depois de lançar um
Discord não respondeu imediatamente ao nosso pedido de comentário. A equipe ponderou sobre
“Recentemente, reduzimos a janela de validade do código QR de 10 minutos para 2 minutos”,
Notamos um aumento nas pessoas que tentam fazer com que os usuários digitalizem códigos QR com engenharia social, na tentativa de induzi-los a fazer login em outro dispositivo que não controlam.
Nosso pensamento original era que o palavreado na tela seria suficiente para deter os ataques de engenharia social, no entanto, concordamos que um palavreado mais claro e um aviso poderiam estar em vigor.
Em nossos canais de lançamento de aplicativos móveis, modificamos o palavreado na tela de confirmação para enfatizar mais claramente que você está fazendo login em outro dispositivo e impomos um atraso antes que o botão 'fazer login' esteja ativo (espero que as pessoas leiam o texto em vermelho .) Você pode ver esta nova tela
Além de ser discutido em vários servidores do Discord, o problema já chegou às redes sociais, com um usuário
“Uma boa quantidade de desinformação sendo feita aqui”, eles
No Reddit, no entanto, o argumento 'não caia em ataques' foi insuficiente.
“Eu não entendo o elitismo de, 'Se você está sendo phishing, a culpa é sua, agora vá embora, a discórdia não deve mudar nada'
Sabemos quantos outros aplicativos que usam QR têm essa vulnerabilidade? Por exemplo, no Telegram? Claro, a pergunta é retórica.
Os golpistas podem usar códigos QR para induzir os usuários a fazer o download
Outro golpe relacionado é o uso de códigos QR para obter aprovação não autorizada de tokens, que são usados para facilitar a transferência de ativos de uma carteira de criptomoeda para outra.
Além disso, golpes de código QR relacionados a criptomoedas envolvendo MetaMask, que é uma carteira de criptomoedas para interagir com o blockchain Ethereum. Atores maliciosos podem invadir contas de extensão MetaMask por meio de códigos QR para transferir fundos sem as chaves privadas do proprietário da conta.
“Isso é incrivelmente embaraçoso em alguns níveis, Nicholas twittou. “Em outros, incrivelmente traumatizante. Sim, abri o código QR e assinei o livro. Mas eu estava sendo severamente manipulado e não percebi o que estava acontecendo até que fosse tarde demais. Fui enganado, phishing e roubado. Alguns idiotas vão dizer 'isso é o que você tem'. E talvez eles estejam certos. Mas vamos ser claros, golpe é golpe, roubo é roubo, e eu não tinha intenção de transferir ou vender esses ativos. Então agora estou tentando encontrar maneiras de recuperar minha propriedade.
Dê uma olhada em um novo método de golpe! Não confunda com um subsídio
Quando as pessoas por trás da carteira ZenGo quiseram adicionar suporte ao código QR, eles decidiram primeiro pesquisar um pouco sobre os aspectos de segurança. O que eles descobriram foi perturbador – mas não totalmente inesperado. Qualquer pessoa pode simplesmente gerar um código QR que envie dinheiro para seu endereço em vez do pretendido. E ninguém pode dizer que praticamente todos os códigos QR são parecidos.
Por exemplo,
Curiosamente, eles notaram que alguns
Outros mexem no código para que, se você tentar copiar e colar o endereço para verificá-lo novamente, o site copie seu endereço para a área de transferência em vez do deles, para que você ache que corresponde. A ZenGo rastreou cerca de $ 20.000 em Bitcoins fraudulentos usando os endereços que eles examinaram e acreditavam que era apenas a ponta do iceberg!
Eu acrescentaria que, na minha opinião, aqui ajudará o princípio da separação de dispositivos - com um dispositivo limpo com
Veja como o ataque QRLJacking funciona nos bastidores:
Para obter mais informações sobre as ferramentas QRLJacking e extras, visite o
Embora os esquemas discutidos neste artigo possam parecer preocupantes, os usuários podem evitar os golpes de código QR seguindo estas práticas recomendadas por
Se você digitalizar um código QR que pareça suspeito, preste atenção ao que o código está tentando iniciar e não se conecte a uma rede Wi-Fi nem navegue até um link encurtado. Alguns pesquisadores ainda notam o benefício de
Embora a maioria dos códigos QR deva ser segura para escanear em um smartphone, escanear cargas úteis que geramos hoje em um dispositivo para escanear bilhetes ou cartões de embarque pode resultar em algum comportamento bizarro do dispositivo. Não digitalize cargas em um scanner que você precisa trabalhar imediatamente após um evento ou trabalho - ou qualquer scanner que você não tenha permissão para testar - pois algumas dessas cargas podem fazer com que o scanner pare de funcionar.
Não estou pedindo que cumpra tudo isso, mas lembre-se da regra principal neste caso específico:
Se finalmente queremos dar às pessoas a oportunidade de serem seus bancos, devemos perceber que, neste caso, as pessoas devem poder substituir todos aqueles serviços e ações pelos quais os bancos tradicionais recebem dinheiro!
Segue o
Usar
Dito isso, não importa em que setor você esteja. Se você tiver alguma informação confidencial e proprietária, poderá muito bem ser um alvo. Isso é bom para se ter sempre em mente. Além disso, quem sabe quantas outras vulnerabilidades se escondem nos códigos QR? Basta pesquisar no Google QR Code 0day, QR Code 1 day ou QR code CVE e você verá muitas coisas interessantes - por exemplo,
Aprenda o mais recente
Prevenido é armado! Fique seguro!
O suporte é muito importante para mim, com ele posso passar menos tempo no trabalho e fazer o que amo - educar usuários de Defi & Crypto! ❤️
Se você quiser