Nguy cơ tiềm ẩn của mã QR

Tôi rất vui vì các bạn đang đọc lại bài viết của tôi, các bạn thân mến! Có vẻ như, mã QR có thể gây ra nguy hiểm gì? Nó chỉ ra rằng bạn thậm chí có thể mất tiền điện tử của mình cũng như tiền fiat và thông tin đăng nhập internet vì một số cuộc tấn công, dựa trên cơ chế của mã QR.

Hãy cùng nghiên cứu những cuộc tấn công này và xem chúng ta có thể bảo vệ thành công chúng như thế nào!

Trong bài viết này, tôi sẽ đề cập đến các Tác giả tuyệt vời khác nhau và các nguồn tài liệu mà tôi thực sự khuyên bạn nên tự nghiên cứu chúng một cách riêng biệt. Danh sách tài liệu tham khảo ở cuối bài viết, chúc các bạn đón đọc!

Cảm tạ:

• Bìa cho bài báo này được thực hiện bởi người bạn tốt và nghệ sĩ của tôi - RegulLion . Chúng tôi biết rõ về nhau nên trong trường hợp tôi biến mất, anh ấy sẽ có thông tin chi tiết chính xác về tôi. Coi đây là của tôi chim hoàng yến . Trong bài viết này, bạn sẽ thấy những tác phẩm khác, chúng không có ý nghĩa khoa học, nhưng tôi muốn đưa chúng vào để giúp bạn hình dung những gì chúng ta đang nói đến rõ ràng hơn và đưa bạn vào đúng tâm trí! Cảm ơn rất nhiều vì sự giúp đỡ trong việc chỉnh sửa!

• Cảm ơn rất nhiều Đào để được trợ giúp về chỉnh sửa và hiệu đính!

• Rất cảm ơn một Deer từ Telegram đã giúp hiệu đính!

I - Mã QR là gì?

Mã QR là một mã vạch hai chiều có thể lưu trữ 7.089 chữ số hoặc 4.296 ký tự . Nó có thể được quét bằng máy quét hoặc đầu đọc mã QR, được tích hợp trong máy ảnh mặc định của hầu hết các thiết bị di động, để giải mã dữ liệu được mã hóa trong đó.

Đây là một chuỗi văn bản và nó thường là một URL hoặc liên kết đến một trang web hoặc tài khoản chính thức của người bán trên hệ thống thanh toán. Quét mã QR giúp người dùng không gặp rắc rối khi gõ một địa chỉ dài trong trình duyệt web hoặc nhập tên người dùng hoặc số của người bán vào ứng dụng thanh toán theo cách thủ công, trong số các lợi thế khác.

Dựa theo Kody Kinzie , một nhà nghiên cứu bảo mật, câu trả lời cho hạn chế của mã vạch tuyến tính là Mã vạch 2D, cung cấp khả năng lưu trữ nhiều hơn để tránh bị hư hỏng vật lý ảnh hưởng đến thông tin chứa bên trong. Một số mã 2D đầu tiên trông giống như mã bên dưới, vẫn được sử dụng rộng rãi cho đến ngày nay.

Mã Aztec là mã 2D, hoặc ma trận, có thể đọc được bằng máy, giống mã QR theo nhiều cách và có thể chứa nhiều thông tin hơn mã vạch tuyến tính. Ban đầu được phát triển cho dịch vụ hậu cần, bạn có thể thấy nó được sử dụng trên các gói và phong bì khi cần lưu trữ nhiều dữ liệu hơn mã vạch tuyến tính có thể cung cấp.

Các loại mã vạch 2D khác có thể chứa một lượng dữ liệu cực kỳ dày đặc. Ví dụ: định dạng PDF417 được tìm thấy ở mặt sau của hầu hết các giấy phép lái xe ở Hoa Kỳ, có thể mã hóa tối đa 1800 ký tự ASCII.

Các mã PDF417 như trên có thể mã hóa văn bản, số, tệp và byte dữ liệu thực tế và chúng có khả năng chống lỗi cao hơn mã vạch tuyến tính. Các công ty như FedEx sử dụng kết hợp PDF417 và các mã vạch khác trên phiếu đóng gói để tự động hóa việc phân phối và theo dõi.

Mã QR bắt đầu xuất hiện trong ngành ô tô như một cách để theo dõi ô tô khi chúng đang được sản xuất nhưng nhanh chóng trở nên phổ biến bên ngoài ngành đó. Tương tự như các mã 2D khác, mã QR có thể đóng gói rất nhiều dữ liệu và thậm chí có thể hoạt động khi bị giảm độ phân giải hoặc bị hỏng.

Một ứng dụng hấp dẫn của mã QR được kích hoạt bởi dung lượng dữ liệu lớn hơn của chúng là sử dụng chúng để quản lý Wifi kết nối mà không cần chia sẻ mật khẩu dưới dạng văn bản thuần túy. Bằng cách mã hóa chuỗi sau, bạn có thể tạo mã QR đăng nhập tự động người dùng Android vào mạng Wi-Fi.

Sự tiện lợi của mã QR mang lại và sự phổ biến của các thiết bị di động đã góp phần rất lớn vào việc sử dụng rộng rãi các mã vạch hai chiều này. Tuy nhiên, sự nổi tiếng của họ cũng đã tạo ra mảnh đất màu mỡ cho những kẻ ác ý tung hoành

Bộ công cụ phần mềm độc hại mã QR để đánh cắp không chỉ thông tin cá nhân mà còn cả tài sản khó kiếm được sau khi bị mất. Các mối đe dọa liên quan đến mã QR đã trở nên đầy rẫy và ranh mãnh đến mức FBI gần đây đã ban hành cảnh báo về họ.

Như cơ quan này mô tả, kẻ lừa đảo sẽ liên hệ với nạn nhân của họ và bằng cách nào đó thuyết phục họ rằng họ cần gửi tiền, với những lời hứa về tình yêu, sự giàu có hơn nữa hoặc bằng cách mạo danh một tổ chức thực tế như ngân hàng hoặc công ty tiện ích.

Sau khi bị thuyết phục, kẻ lừa đảo sẽ yêu cầu họ nhận tiền mặt (đôi khi từ tài khoản đầu tư hoặc tài khoản hưu trí) và đến một máy ATM bán tiền điện tử và hỗ trợ đọc mã QR. Khi nạn nhân ở đó, họ sẽ quét mã QR mà kẻ lừa đảo đã gửi cho họ, mã này sẽ yêu cầu máy gửi bất kỳ loại tiền điện tử nào đã mua đến địa chỉ của kẻ lừa đảo.

Cứ như vậy, nạn nhân mất sạch tiền, kẻ lừa đảo đã lợi dụng thành công.

Những kẻ độc hại tìm kiếm những người bình thường, không nghi ngờ, những người không biết nhiều, nếu có, về sự an toàn của mã QR. Vì vậy, làm thế nào để ngăn chặn lừa đảo mã QR?

Trong bài viết này, tôi sẽ thảo luận với bạn về các cách khác nhau mà kẻ gian sử dụng mã QR để đánh lừa người dùng và đề xuất các mẹo về cách người dùng có thể tự bảo vệ mình khỏi các trò gian lận bằng mã QR.

Trước hết, chúng ta hãy xác định những cuộc tấn công nào tồn tại và chúng ta sẽ bắt đầu với cuộc tấn công đầu tiên mà chúng ta nghĩ đến - một cuộc tấn công vào tiền trong tài khoản ngân hàng nơi tiền điện tử và QR chỉ là một công cụ.

Đừng nản lòng - sẽ có nhiều cuộc tấn công nghiêm trọng hơn xảy ra, nhưng tôi muốn bạn hiểu rằng các cơ quan chính phủ hiếm khi chú ý nhiều đến một kiểu lừa đảo dường như không đáng kể như vậy. Có thể có lý do để tiêu diệt loại hình này ngay từ khi mới ra đời và làm cho mọi người biết về một cuộc tấn công như vậy, thông qua QR.

Hãy tìm hiểu xem tất cả bắt đầu từ đâu! Điều quan trọng cần lưu ý là các phần tử độc hại đã đầu tư rất nhiều thời gian và nguồn lực để làm cho các trò gian lận kích hoạt mã QR của họ có vẻ hợp pháp và hữu ích, như được minh họa bằng các ví dụ sau:

Mã QR được phủ

Một ví dụ điển hình về trò lừa đảo mã QR dựa trên lĩnh vực vật lý là những kẻ độc hại in ra các nhãn dán mã QR và đặt chúng lên trên các nhãn chính hãng. Mọi người thường cho rằng các bảng hiệu hoặc áp phích có mã QR trong các cửa hàng và không gian công cộng là an toàn và do đó có thể không biết rằng những kẻ xấu có thể thay thế mã QR hợp pháp bằng mã giả như một phần trong kế hoạch lừa đảo của chúng.

Đây là trường hợp trong một kế hoạch liên quan đến các khoản thanh toán cho chia sẻ xe đạp ở Trung Quốc . Các phần tử độc hại được cho là đã thay thế mã QR mà người dùng cần quét để thanh toán cho việc sử dụng xe đạp trước khi chúng có thể được mở khóa.

Kết quả là, các khoản thanh toán của những người dùng không nghi ngờ đã được chuyển vào tài khoản của những kẻ độc hại, mà người dùng không thể mở khóa xe để sử dụng.

Gần đây, cơ quan thực thi pháp luật ở một số thành phố của Hoa Kỳ đã đưa ra cảnh báo về một âm mưu tương tự, trong đó các kẻ xấu đã dán mã QR gian lận của họ vào những mã QR hợp pháp trên _đồng hồ đỗ xe __ để lừa người dùng nhập thông tin xác thực thanh toán của họ vào các trang web lừa đảo của họ.

Mã QR được sử dụng trong kỹ thuật xã hội thế giới thực

Một ví dụ khác về trò lừa đảo mã QR lợi dụng lĩnh vực vật lý là một kế hoạch được thực hiện trong một bãi đậu xe ở hà lan và điều đó đã dẫn đến việc đánh cắp hàng nghìn euro.

Các tác nhân độc hại được cho là đã tiếp cận các cá nhân để trả phí đậu xe mà không thông qua máy được chỉ định trong bãi đậu xe với mục đích cố ý vì nó bị hỏng. Mặc trang phục chuyên nghiệp để trông đáng tin hơn, những kẻ lừa đảo đã dụ dỗ nạn nhân quét mã QR mà chúng có, do đó chuyển các khoản thanh toán đến tài khoản của chúng.

Mã QR trong email lừa đảo

Những kẻ lừa đảo đã được biết đến kết hợp mã QR vào các cuộc tấn công lừa đảo của họ, một phương pháp được gọi là “đánh lừa”. Họ làm điều này chủ yếu để có thể vượt qua các giải pháp bảo mật truyền thống có thể gắn cờ các URL độc hại khi chúng xuất hiện trong email nhưng không phải khi chúng được liên kết với (hoặc ẩn sau) mã QR.

Vào tháng 12 năm 2021, một chiến dịch lừa đảo sử dụng mã QR để đánh cắp thông tin đăng nhập ngân hàng của người dùng ở Đức đã được báo cáo. Trong chiến dịch, những kẻ xấu gửi email mạo danh một ngân hàng và yêu cầu người nhận xem xét và đồng ý với những thay đổi trong chính sách bảo mật của ngân hàng bằng cách quét mã QR trong email. Nhưng mã QR liên kết đến một trang web lừa đảo, nơi nạn nhân có thể vô tình nhập thông tin đăng nhập ngân hàng của họ để những kẻ độc hại thu thập.

Một kế hoạch tìm kiếm để có được Microsoft 365 thông tin xác thực cũng đã được báo cáo vào cuối năm ngoái. Chiến dịch này bắt đầu với một email đến từ một tài khoản email đã bị xâm nhập trước đó và chứa một thông điệp thư thoại mà người nhận được cho là có thể nghe bằng cách quét mã QR trong email. Tuy nhiên, mã QR dẫn đến một trang đăng nhập không có thật được thiết kế để lấy cắp thông tin đăng nhập Microsoft 365.

Mã QR để đăng ký các dịch vụ cao cấp

Những kẻ độc hại có thể sử dụng mã QR để đăng ký những người dùng không nghi ngờ vào các dịch vụ cao cấp và ăn cắp số tiền được tính cho những người dùng này hàng tháng. Lược đồ này đã được sử dụng trong chiến dịch trojan Android được gọi là GriftHorse , đã trở thành nạn nhân của hơn 10 triệu người dùng trên khắp thế giới vào tháng 9 năm 2021.

Mã QR và ứng dụng máy quét mã vạch

Vào giữa năm 2021, các ứng dụng quét mã QR và mã vạch được liên kết với Phần mềm độc hại Anatsa đã xuất hiện trên Google Play. (Chúng đã bị gỡ xuống khỏi cửa hàng.) Việc lây nhiễm một ứng dụng như vậy bắt đầu bằng việc buộc người dùng phải cập nhật ứng dụng khi cài đặt, dường như để người dùng có thể tiếp tục sử dụng nó.

Sau khi tải xuống thành công bản cập nhật được cho là, ứng dụng sẽ nhắc người dùng cho phép cài đặt ứng dụng từ các nguồn không xác định. Vì trước đó người dùng được yêu cầu tin rằng bản cập nhật là cần thiết để ứng dụng hoạt động bình thường, nên người dùng sẽ cấp quyền. Sau khi cập nhật xong, phần mềm độc hại sẽ chạy trên thiết bị và ngay lập tức yêu cầu người dùng cấp đặc quyền dịch vụ trợ năng.

Các tác nhân độc hại có toàn quyền kiểm soát thiết bị và có thể thực hiện các hành động thay mặt người dùng sau khi người dùng bật các đặc quyền của dịch vụ hỗ trợ tiếp cận. Tại thời điểm này, ứng dụng bị nhiễm phần mềm độc hại chạy và hoạt động như một ứng dụng hợp pháp. Do đó, giai đoạn này đã được thiết lập để các kẻ xấu ăn cắp thông tin đăng nhập và giành quyền truy cập vào tất cả thông tin được hiển thị trên thiết bị của người dùng không nghi ngờ.

Ứng dụng tạo mã QR

Các ứng dụng trojanized có thể giả dạng ứng dụng tạo mã QR. Trong một kế hoạch được thực hiện bởi nhóm diễn viên độc hại Brunhilda, một ứng dụng như vậy yêu cầu người dùng đăng ký. Sau khi đăng ký xong và nhận được thông tin chi tiết về thiết bị, ứng dụng sẽ tải xuống và cài đặt trojan, có thể thực hiện hành vi đánh cắp thông tin cá nhân nhạy cảm như thông tin đăng nhập hoặc chi tiết tài khoản ngân hàng.

Mã QR được sử dụng trong Doxxing

Trước hết, bất kỳ ai cũng có thể tạo pixel theo dõi, liên kết đến một trang và sau đó liên kết nó với mã QR. Bất kỳ trình ghi nhật ký phổ biến nào ( canarytokens.org , iplogger.com ) có thể được sử dụng cho mục đích này nếu tính năng nhận dữ liệu mở rộng trong cài đặt trình ghi nhật ký được bật.

Pixel đã tạo cũng có thể được đặt trên một trang web bên ngoài. Nó có thể là một blog ( telegra.ph , medium.com , teletype.in ) hoặc thậm chí là một trang nguồn OSINT ( start.me ) đến lượt nó có thể được liên kết với mã QR.

III - Các vấn đề & lỗi mã QR

Apple iOS 11

Với iOS 11, Apple đã giới thiệu một tính năng mới cung cấp cho người dùng khả năng tự động đọc mã QR bằng ứng dụng máy ảnh gốc trên iPhone của họ mà không yêu cầu bất kỳ ứng dụng đọc mã QR nào của bên thứ ba.

Bạn cần mở ứng dụng Máy ảnh trên iPhone hoặc iPad của mình và hướng thiết bị vào mã QR. Nếu mã chứa bất kỳ URL nào, nó sẽ cung cấp cho bạn thông báo kèm theo địa chỉ liên kết, yêu cầu bạn nhấn để truy cập vào nó trong trình duyệt Safari. Tuy nhiên, hãy cẩn thận - bạn có thể không truy cập vào URL được hiển thị cho bạn, nhà nghiên cứu bảo mật Roman Mueller đã phát hiện .

Theo Mueller, trình phân tích cú pháp URL của trình đọc mã QR tích hợp cho ứng dụng camera iOS không phát hiện được tên máy chủ trong URL, điều này cho phép kẻ tấn công thao túng URL hiển thị trong thông báo, lừa người dùng truy cập các trang web độc hại.

Đối với bản demo, nhà nghiên cứu đã tạo mã QR (được hiển thị ở trên) với URL sau:

https://xxx\\@facebook.com:[email protected]/

If you scan it with the iOS camera app, it will show following notification:

Open "facebook.com" in Safari

When you tap it to open the site, it will instead open:

https://infosec.rm-it.de/

Ngoài ra còn có một công cụ được gọi là QRGen - nó có thể tạo mã QR độc hại và thậm chí mã hóa tải trọng tùy chỉnh. Các cuộc tấn công này rất mạnh vì con người không thể đọc hoặc hiểu thông tin có trong mã QR mà không quét mã đó, có khả năng làm lộ bất kỳ thiết bị nào được sử dụng để cố gắng giải mã mã này cho mục đích khai thác bên trong.

Ngay cả những máy quét mã QR như điện thoại thông minh cũng có thể dễ bị tấn công bởi những kiểu tấn công này, vì mã QR được phát hiện là có khả năng thu hút người dùng iPhone đến các trang web độc hại . Kiểm tra bài viết tuyệt vời này mô tả cách thức hoạt động chi tiết của công cụ này.

Đăng nhập QR Discord

Vào tháng 12 năm 2020, các nhà phát triển tại Discord - một ứng dụng trò chuyện thoại và văn bản được cộng đồng game thủ sử dụng rộng rãi - đã thông báo về việc ra mắt một Tính năng mã QR cho phép người dùng đăng nhập vào ứng dụng web trên máy tính để bàn bằng điện thoại của họ, bằng cách quét mã xuất hiện trên màn hình.

• Discord đã thực hiện một số thay đổi đối với hệ thống đăng nhập bằng mã QR của mình sau các báo cáo rằng cơ chế này đang bị lạm dụng bởi những kẻ lừa đảo cố gắng giành quyền truy cập vào tài khoản của người dùng.

Mặc dù tính năng này nhằm mục đích đơn giản hóa quy trình đăng nhập Discord cho người dùng máy tính để bàn, nhưng đã xuất hiện tin tức cho thấy những kẻ gian lận đã khai thác hệ thống để có được quyền truy cập trái phép vào tài khoản.

Theo các cuộc thảo luận trên các máy chủ Discord khác nhau và trên phương tiện truyền thông xã hội, những kẻ lừa đảo đã đăng mã QR với lời hứa miễn phí Nitro , gói đăng ký của nền tảng cung cấp nhiều đặc quyền và các quà tặng khác.

Tuy nhiên, khi quét mã, người dùng vô tình cung cấp cho kẻ tấn công quyền truy cập vào tài khoản của họ.

“Phương thức đăng nhập bằng QR hoạt động mà không cần bất kỳ tên người dùng / mật khẩu và 2FA nào, và mặc dù nó làm cho Discord theo cách thuận tiện hơn để đăng nhập ở mọi nơi, nhưng thật không may, nó đang bị khai thác dưới dạng quà tặng Nitro giả (và có thể là các hình thức khác) , ”Một người dùng Discord cho biết.

Ý kiến chia rẽ về mức độ nghiêm trọng tiềm ẩn của việc khai thác này. Đối với một số người dùng, việc tài khoản của họ bị xâm phạm có thể gây ra nhiều điều hơn là thất vọng - mặc dù không có khả năng ai sẽ hài lòng với việc ai đó có thể mạo danh họ trực tuyến.

Tuy nhiên, sau khi phát hành một bằng chứng của khái niệm để chứng minh sự dễ dàng khai thác rõ ràng, Pirate Software đối tác của Twitch nói rằng nếu người dùng là người đăng ký Nitro, kẻ tấn công có thể truy cập vào tên, địa chỉ và địa chỉ email PayPal không bị xáo trộn .

Discord đã không trả lời ngay lập tức yêu cầu bình luận của chúng tôi. Các nhân viên đã cân nhắc về một Chuỗi thảo luận trên Reddit , lưu ý rằng cửa sổ đăng nhập mã QR đã được giảm bớt, để ngăn chặn bất kỳ kẻ lừa đảo nào.

“Gần đây, chúng tôi đã giảm thời hạn hiệu lực của mã QR từ 10 phút xuống còn 2 phút” nói một kỹ sư Discord, người đã thêm:

Chúng tôi… nhận thấy sự gia tăng ở những người cố gắng thiết kế xã hội người dùng quét mã QR để lừa họ đăng nhập vào một thiết bị khác mà họ không kiểm soát.

Suy nghĩ ban đầu của chúng tôi là xung quanh trên màn hình sẽ đủ để ngăn chặn các cuộc tấn công kỹ thuật xã hội, tuy nhiên, chúng tôi đồng ý rằng có thể đưa ra cảnh báo rõ ràng hơn và đưa ra cảnh báo.

Trên các kênh phát hành ứng dụng dành cho thiết bị di động của chúng tôi, chúng tôi đã sửa đổi xung quanh trong màn hình xác nhận để nhấn mạnh rõ ràng hơn rằng bạn đang đăng nhập vào một thiết bị khác và áp dụng độ trễ trước khi nút 'đăng nhập tôi' hoạt động (hy vọng sẽ khiến mọi người đọc được dòng chữ màu đỏ .) Bạn có thể thấy màn hình mới này nơi đây .

Ngoài việc được thảo luận trên nhiều máy chủ Discord, vấn đề đã được tìm thấy trên phương tiện truyền thông xã hội, với một người dùng tweet : “PSA: Nếu ai đó gửi cho bạn mã QR qua Discord, đừng quét nó. Họ có thể sử dụng nó để truy cập ngay vào tài khoản của bạn ”.

“Có rất nhiều thông tin sai lệch được đưa ra ở đây,” họ nói . “Discord yêu cầu bạn xác nhận thông tin đăng nhập trước khi kẻ tấn công có quyền truy cập. Nếu bạn chỉ phớt lờ những cảnh báo mà Discord đưa ra cho bạn, thì đó là lỗi của bạn. Chỉ cần thông minh và đừng gục ngã trước những cuộc tấn công đó ”.

Tuy nhiên, trên Reddit, lập luận 'đừng để bị tấn công' đã bị rút ngắn.

"Tôi không hiểu chủ nghĩa 'Nếu bạn bị lừa đảo, đó là lỗi của bạn, bây giờ đã bùng phát, bất hòa sẽ không thay đổi được gì'," đã viết một người dùng. “Tạo ra thứ gì đó an toàn và lành mạnh, không phải, 'Đúng vậy, mã QR đó có thể được sử dụng để đăng nhập, nó đã nói rõ ràng như vậy, nhưng bạn không chú ý…'”

• Đọc Cách tránh Blackhats trong Blockchain khi bất hòa

Chúng ta có biết có bao nhiêu ứng dụng khác sử dụng QR có lỗ hổng này không? Ví dụ, trong Telegram? Tất nhiên, câu hỏi là tu từ.

IV - QR + Tiền điện tử =? ..

Giữ cho Fox của bạn an toàn!

Những kẻ lừa đảo có thể sử dụng mã QR để lừa người dùng tải xuống ví tiền điện tử giả mạo bằng cách hứa rằng, khi làm như vậy, họ sẽ nhận được phần thưởng, đó là những mã thông báo giả mạo. Một loại mồi nhử khác liên quan đến việc sử dụng mã QR để tải xuống các ví tiền điện tử giả mạo hứa hẹn giảm phí khai thác.

Một trò lừa đảo khác có liên quan là việc sử dụng mã QR để nhận được sự chấp thuận trái phép đối với các mã thông báo, được sử dụng để tạo điều kiện thuận lợi cho việc chuyển tài sản từ ví tiền điện tử này sang ví tiền điện tử khác. Báo cáo sự cố đã trích dẫn chương trình này là lý do chính dẫn đến việc mất các khoản tiền đáng kể.

Ngoài ra, các trò gian lận mã QR liên quan đến tiền điện tử liên quan đến MetaMask, một ví tiền điện tử để tương tác với chuỗi khối Ethereum. Những kẻ độc hại có thể xâm nhập vào tài khoản tiện ích mở rộng MetaMask thông qua mã QR để chuyển tiền mà không cần khóa riêng của chủ sở hữu tài khoản.

• Đọc về thời điểm sau khi nhiều Khỉ bị đánh cắp, MetaMask đã thực hiện các thay đổi đối với đồng bộ hóa Mã QR trên thiết bị di động của nó

“Điều này cực kỳ đáng xấu hổ ở một số cấp độ, Nicholas đã tweet. “Đối với những người khác, cực kỳ chấn thương. Có, tôi đã mở mã QR và ký vào sổ cái. Nhưng tôi đã bị thao túng nghiêm trọng và không nhận ra điều gì đang xảy ra cho đến khi quá muộn. Tôi đã bị lừa đảo, bị lừa đảo và bị cướp. Một số thằng khốn sẽ nói 'đó là những gì bạn nhận được.' Và có lẽ họ đúng. Nhưng hãy nói rõ, lừa đảo là lừa đảo, trộm cắp là trộm cắp, và tôi không có ý định chuyển nhượng hoặc bán những tài sản đó. Vì vậy, hiện tôi đang cố gắng tìm mọi cách để lấy lại tài sản của mình ”.

• Đọc về 6 cách một trang web có thể tấn công MetaMask của bạn!

Hãy xem một phương pháp lừa đảo mới! Đừng nhầm nó với một khoản trợ cấp phê duyệt lừa đảo (để ngăn chặn nó, bạn có thể sử dụng revoke.cash / unkt.net ) nhắm mục tiêu đến mã thông báo ERC20 chứ không phải Ethers. ( 1 , 2 , 3 , 4 ).

• Đọc cách tin tặc có thể ăn cắp Ethers của bạn và tại sao hàm eth_sign lại quan trọng.

Khi những người đứng sau ví ZenGo muốn thêm hỗ trợ mã QR, họ đã quyết định thực hiện một chút nghiên cứu về các khía cạnh bảo mật trước tiên. Những gì họ thấy là đáng lo ngại - nhưng không hoàn toàn bất ngờ. Bất kỳ ai cũng có thể chỉ cần tạo mã QR để gửi tiền đến địa chỉ của họ thay vì địa chỉ đã định. Và không ai có thể nói rằng tất cả các mã QR đều giống nhau.

Một cuộc điều tra từ ZenGo:

Ví dụ, ZenGo đã sử dụng trang web Googled để yêu cầu mã QR cho địa chỉ: 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 , thay vào đó, họ đã nhận được mã QR gửi tiền đến địa chỉ của kẻ lừa đảo: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

Điều thú vị là họ nhận thấy rằng một số kẻ lừa đảo đã nâng cao ante bằng một vài thủ thuật. Một số trang web mã QR giả đã thao túng mã QR để nếu bạn kiểm tra, bề ngoài nó trông giống như đúng địa chỉ bằng cách khớp với chữ cái đầu tiên hoặc chữ số như '1', '3' hoặc 'bc'.

Những người khác sử dụng mã để nếu bạn cố gắng sao chép và dán địa chỉ để kiểm tra lại, trang web sẽ sao chép địa chỉ của bạn vào khay nhớ tạm thay vì của họ để bạn nghĩ rằng nó trùng khớp. ZenGo đã theo dõi khoảng 20.000 đô la Bitcoin bị lừa bằng cách sử dụng các địa chỉ mà họ đã kiểm tra và tin rằng đó chỉ là phần nổi của tảng băng chìm!

Tôi muốn nói thêm rằng theo ý kiến của tôi ở đây sẽ giúp ích cho nguyên tắc tách biệt các thiết bị - với một thiết bị sạch sẽ có airgap.it bạn có thể quét QR, chỉ với một vị trí khác trên trình duyệt và trên kho lưu trữ lạnh hoặc giấy an toàn thứ ba - lưu trữ các khoản tiết kiệm cơ bản. Không có gì ngăn cản bạn lưu trữ "số tiền nóng" chính của mình trên cùng một kho tiền phân chia. Giữ an toàn!

V - QRLJacking: Đánh giá từ cộng đồng OWASP

QRLJacking hoặc Quick Response Code Login Jacking là một vectơ tấn công kỹ thuật xã hội đơn giản có khả năng chiếm quyền điều khiển phiên ảnh hưởng đến tất cả các ứng dụng dựa vào tính năng “Đăng nhập bằng mã QR” như một cách an toàn để đăng nhập vào tài khoản. Nói một cách ngắn gọn, nạn nhân quét mã QR của kẻ tấn công kết quả của việc chiếm quyền điều khiển phiên.

Đây là cách cuộc tấn công QRLJacking hoạt động đằng sau hậu trường:

1. Kẻ tấn công bắt đầu phiên QR phía máy khách và sao chép Mã QR đăng nhập vào một trang web lừa đảo. “Giờ đây, một trang lừa đảo được chế tạo tốt với Mã QR hợp lệ và được cập nhật thường xuyên đã sẵn sàng được gửi đến Nạn nhân.”
2. Kẻ tấn công Gửi trang lừa đảo đến nạn nhân. (tham khảoQRLJacking vectơ tấn công trong đời thực )
3. Nạn nhân quét mã QR bằng một ứng dụng di động được nhắm mục tiêu cụ thể.
4. Kẻ tấn công giành quyền kiểm soát Tài khoản của nạn nhân.
5. Dịch vụ đang trao đổi tất cả dữ liệu của nạn nhân với phiên của kẻ tấn công.

QRLJacking Attack Flow

Để biết thêm thông tin về các công cụ QRLJacking và các công cụ bổ sung, vui lòng truy cập QRLJacking trên Github

Ví dụ về Proof of Concept (Video)

• WhatsApp QRHijackingVulnerability
• Đánh cắp tài khoản WhatsApp và ARPpoisoning
• AirDroid dễ bị QRLJackingVulnerability
• Các ứng dụng và dịch vụ web dễ bị tổn thương sử dụng Đăng nhập bằng mã QR Tính năng phần # 1
• Các ứng dụng và dịch vụ web dễ bị tổn thương sử dụng Đăng nhập bằng mã QR Tính năng phần # 2

VI - Mẹo để đảm bảo an toàn cho mã QR

Mặc dù các kế hoạch được thảo luận trong bài viết này có vẻ đáng lo ngại, nhưng người dùng có thể ngăn chặn các trò gian lận mã QR bằng cách làm theo các phương pháp hay nhất được đề xuất bởi Xu hướng micro :

• Đảm bảo rằng trang web được liên kết của cơ quan chính phủ hoặc nhà cung cấp dịch vụ chính thức khác là hợp pháp trước khi bạn cung cấp thông tin cá nhân của mình. Kiểm tra bất kỳ lỗi chính tả nào trên chính URL.
• Hãy suy nghĩ kỹ trước khi quét mã QR được tìm thấy trong các email được gửi cho bạn ngay cả khi chúng dường như đến từ các tổ chức hoặc những người bạn biết. Bật xác thực đa yếu tố với tài khoản ngân hàng, doanh nghiệp và các tài khoản khác của bạn để ngăn chặn hành vi trộm cắp thông tin đăng nhập.
• Khi giao dịch tại cơ sở của người bán hoặc nhà cung cấp dịch vụ, hãy kiểm tra mã QR để đảm bảo mã không bị dán lên mã gốc, hợp pháp.
• Chỉ sử dụng mã QR để thanh toán khi bạn đang giao dịch trực tiếp với những người bán, nhà cung cấp dịch vụ đáng tin cậy hoặc những người mà bạn biết.
• Hãy cẩn thận về việc cấp quyền khi ứng dụng yêu cầu chúng, vì một số quyền được yêu cầu có thể nguy hiểm.

Mã QR có thể mã hóa nhiều thông tin, và như chúng ta đã học hôm nay, chúng thậm chí có thể được định dạng để khiến thiết bị thực hiện các hành động như kết nối với mạng Wi-Fi. Điều đó làm cho việc quét mã QR trở nên rủi ro, vì một người không có cách nào đọc thông tin trước khi để thiết bị của bạn tiếp xúc với bất kỳ tải trọng nào được chứa bên trong.

Nếu bạn quét mã QR có vẻ đáng ngờ, hãy chú ý đến những gì mã đang cố gắng khởi chạy và không kết nối với mạng Wi-Fi hoặc điều hướng đến một liên kết đã được rút gọn. Một số nhà nghiên cứu thậm chí còn lưu ý đến lợi ích của QR để ẩn danh tổng thể trong blockchain! Điều này có nghĩa là công nghệ này có tương lai trong Web3.0 cũng như nó đã có trong Web2.0.

Mặc dù hầu hết các mã QR đều an toàn khi quét trên điện thoại thông minh, nhưng việc quét tải trọng mà chúng tôi đã tạo ngày nay trên thiết bị quét vé hoặc thẻ lên máy bay có thể dẫn đến một số hành vi kỳ lạ từ thiết bị. Không quét tải trọng trên máy quét mà bạn cần làm việc ngay sau đó cho một sự kiện hoặc công việc - hoặc bất kỳ máy quét nào mà bạn không có quyền kiểm tra - vì một số tải trọng này có thể khiến máy quét ngừng hoạt động.

Tôi không yêu cầu bạn tuân thủ tất cả những điều này, nhưng bạn phải nhớ quy tắc chính trong trường hợp cụ thể này:

• Mức độ OpSec của bạn thường phụ thuộc vào mô hình mối đe dọa của bạn và đối thủ mà bạn đang chống lại. Vì vậy, thật khó để xác định OpSec của bạn tốt như thế nào.

Nếu cuối cùng chúng ta muốn cho mọi người cơ hội trở thành ngân hàng của họ, chúng ta phải nhận ra rằng trong trường hợp này, mọi người phải có khả năng thay thế tất cả các dịch vụ và hành động mà các ngân hàng truyền thống thu được tiền!

Theo 25 quy tắc trong tập hợp này, 10 quy tắc đầu tiên liên quan đến bảo mật cá nhân và phần còn lại liên quan đến bảo mật doanh nghiệp, cũng để ý đến xu hướng mới nhất trong OpSec tiền điện tử, điều đó luôn có ý nghĩa. Đừng sợ liên kết , bạn không cần tất cả chúng nhưng bạn sẽ có thể chọn cái nào bạn sẽ quan tâm nhất cho Con đường của bạn.

• Hướng dẫn OpSec DarkNet-DeepWeb
• Đe doạ
• Đọc về Timing Attack | Tấn công thông qua một mẫu đại diện

Sử dụng các biện pháp rộng rãi khi làm việc với tệp và luôn theo dõi bảo mật mới nhất xu hướng ngay cả khi khu vực của bạn ở xa nó. Thực hiện việc này subreddit và điều này tuyệt vời cũ và đáng tin cậy nguồn như bước đầu tiên. Trong thế giới nguy hiểm của chúng ta, bất kỳ ai cũng có thể trở thành mục tiêu, đặc biệt là trong tiền điện tử.

Điều đó nói rằng, không quan trọng bạn đang ở trong ngành nào. Nếu bạn có bất kỳ thông tin nhạy cảm, độc quyền nào, thì bạn rất có thể trở thành mục tiêu. Đây là một điều tốt cần luôn ghi nhớ. Ngoài ra, ai biết có bao nhiêu lỗ hổng khác ẩn trong mã QR? Chỉ cần google QR Code 0 ngày, QR Code 1 ngày, hoặc mã QR CVE và bạn sẽ thấy nhiều điều thú vị - ví dụ: 1 , 2 .

Tìm hiểu thông tin mới nhất kỹ thuật tấn công , mũ trắng cheatsheets , và các phương pháp phòng thủ, và tham gia hacker cộng đồng - bởi vì chỉ có kiến thức, chúng ta mới có thể đánh bại kiến thức của tin tặc. Trong cuộc đấu trí này, người chuẩn bị kỹ càng nhất sẽ chiến thắng và tôi tin rằng đó sẽ là bạn, Anon. Nghe có vẻ đáng sợ nhưng hoàn toàn có thể, cái chính là luôn suy nghĩ trước .

Đã báo trước là báo trước! Giữ an toàn!

Người giới thiệu:

• www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/hiised-scams-in-malicious-scans-how-to-use-QR-codes-safely
• null-byte.wonderhowto.com/how-to/create-malicious-QR-codes-hack-phones-other-scanners-0197416/
• micky.com.au/how-scammers-are-using-QR-codes-to-steal-your-bitcoin/
• reatpost.com/qr-code-scammers-bitcoin-atms/168621/
• www.zdnet.com/article/fbi-warning-crooks-are-using-fake-QR-codes-to-steal-your-passwords-and-money/
• www.coindesk.com/business/2021/11/05/fbi-warns-of-scams-using-crypto-ATMs-and-QR-codes/
• www.theverge.com/2021/11/5/22765900/crypto-scam-FBI-PSA-atm-QR-code-wire-transfer-con-artist
• tech.hindustantimes.com/tech/news/iphone-user-beware-of-fake-QR-codes-71651747604570.html
• securityaffairs.co/wordpress/70739/hacking/qr-code-ios-bug.html
• github.com/h0nus/QRGen

Kiểm tra các bài viết của tôi:

• Các nguyên tắc chính của việc lưu trữ tiền điện tử, bảo mật ví lạnh
• 2 vectơ tấn công bạo lực trong Crypto: xem xét kỹ hơn
• Hướng dẫn của Đặc vụ CIA về Steganography, Đánh lừa KGB và Bảo vệ tiền điện tử của bạn
• OpSec trong Crypto & Web3.0: Suy nghĩ
• Góc nhìn về OpSec qua lăng kính thời gian
• Tất cả các cuộc tấn công và lỗ hổng từ phía hợp đồng thông minh và phía người dùng đã biết trong Web3.0, Defi, NFT và Metaverse

Hỗ trợ tôi:

Hỗ trợ rất quan trọng đối với tôi, với nó, tôi có thể dành ít thời gian hơn cho công việc và làm những gì tôi yêu thích - giáo dục người dùng Defi & Crypto! ❤️

• Kiểm tra GitHub của tôi
• Theo dõi tất cả các hoạt động của tôi
• Tất cả mạng xã hội của tôi
• Tham gia kênh TG của tôi

Nếu bạn muốn ủng hộ công việc của tôi, bạn có thể gửi đóng góp cho tôi theo địa chỉ:

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A hoặc Officercia.eth - ETH, BSC, Đa giác, Lạc quan, Zk, Fantom, v.v.
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU - BTC
• 4AhpUrDtfVSWZMJcRMJkZoPwDSdVG6puYBE3ajQABQo6T533cVvx5vJRc5fX7sktJe67mXu1CcDmr7orn1CrGrqsT3ptfds - Monero XMR