二维码的隐患

很高兴你再次阅读我的文章，亲爱的朋友们！看起来，二维码会带来什么危险？事实证明，由于基于二维码机制的多次攻击，您甚至可能丢失您的加密货币以及法定货币和互联网登录信息。

让我们研究一下这些攻击，看看我们如何成功防御它们！

在本文中，我将参考各种令人惊叹的作者和资源，我强烈建议您单独研究它们。参考文献列表在文末，尽情阅读吧！

特别感谢：

• 本文的封面由我的好朋友和艺术家——RegulLion .我们彼此很了解，所以万一我消失了，他会知道我的详细信息。认为这是我的金丝雀.在这篇文章中你会看到其他作品，它们没有科学意义，但我想把它们包括在内，以帮助你更清楚地想象我们在说什么，让你有正确的心态！也非常感谢您在编辑方面的帮助！

• 非常感谢桃子寻求编辑和校对的帮助！

• 非常感谢 Telegram 的 Deer 帮助校对！

I - 什么是二维码？

二维码是一种二维条码可以存储7,089 位数字或 4,296 个字符.可以使用内置于大多数移动设备默认相机中的 QR 码扫描仪或阅读器对其进行扫描，以破译编码到其中的数据。

这是一串文本，通常是指向网站或支付系统上商家官方帐户的 URL 或链接。扫描二维码可以让用户省去在网络浏览器中输入长地址或在支付应用程序中手动输入商家用户名或号码的麻烦，以及其他优势。

根据科迪·金齐, 安全研究员, 线性条形码限制的答案是二维条码具有更强的存储阻力，可防止物理损坏影响其中包含的信息。一些第一个二维码看起来像下面的那个，今天仍然被广泛使用。

阿兹台克代码是一种二维或矩阵式机器可读代码，在许多方面与 QR 代码相似，并且可以比线性条形码包含更多信息。最初是为物流开发的，当需要存储的数据多于线性条形码所能提供的数据时，您可能会看到它用于包裹和信封。

其他类型的二维条码可能包含极其密集的数据量。例如，美国大多数驾驶执照背面的 PDF417 格式最多可以编码 1800 个 ASCII 字符。

像上面这样的 PDF417 代码可以对文本、数字、文件和实际数据字节进行编码，并且它们比线性条形码更能抵抗错误。 FedEx 等公司在装箱单上使用 PDF417 和其他条形码的组合来自动交付和跟踪。

二维码起源于汽车行业，作为一种在汽车制造过程中跟踪汽车的方式，但在该行业之外迅速普及。与其他二维码类似，二维码可以打包大量数据，甚至在分辨率降低或损坏时也能正常工作。

QR 码的一个引人入胜的应用是通过其更大的数据容量来实现管理无线上网连接无需以纯文本形式共享密码。通过对以下字符串进行编码，您可以创建一个二维码，将 Android 用户自动登录到 Wi-Fi 网络。

二维码提供的便利和移动设备的普及极大地促进了这些二维条码的广泛使用。然而，它们的流行也为恶意行为者美化自己创造了肥沃的土壤。

QR 码恶意软件工具包不仅可以窃取个人信息，还可以窃取一旦丢失就无法恢复的来之不易的资产。涉及二维码的威胁变得如此普遍和狡猾，以至于联邦调查局最近发布了警告关于他们。

正如该机构所描述的那样，诈骗者会联系他们的受害者，并以某种方式说服他们需要汇款，或者承诺爱、进一步致富，或者冒充银行或公用事业公司等实际机构。

在确信标记后，骗子会让他们获得现金（有时从投资或退休账户中取出），然后前往出售加密货币并支持读取二维码的 ATM。一旦受害者在那里，他们将扫描诈骗者发送给他们的二维码，这将告诉机器将购买的任何加密货币发送到诈骗者的地址。

就这样，受害者失去了他们的钱，骗子成功地利用了他们。

恶意行为者会寻找对 QR 码安全知之甚少的普通、毫无戒心的人。那么，如何避免二维码诈骗呢？

在本文中，我将与您讨论欺诈者使用二维码欺骗用户的各种方式，并推荐用户如何保护自己免受二维码诈骗的提示。

首先，让我们定义存在哪些攻击，我们将从想到的第一个开始 - 对银行账户中的资金的攻击，其中加密货币和 QR 只是一种工具。

不要气馁——还有更严重的攻击即将到来，但我想让你明白，政府机构很少对这种看似微不足道的骗局给予如此多的关注。也许有理由在一开始就杀死这种类型，并通过 QR 让人们意识到这种攻击。

让我们弄清楚这一切是从哪里开始的！值得注意的是，恶意行为者已投入大量时间和资源，使他们的二维码诈骗看起来合法且有用，如下例所示：

叠加二维码

依赖物理领域的 QR 码骗局的一个主要例子是恶意行为者打印出 QR 码贴纸并将其实际放置在真实的贴纸上。人们通常认为商店和公共场所中带有二维码的标志或海报是安全的，因此可能不知道恶意行为者可以将合法的二维码替换为虚假二维码作为其欺诈计划的一部分。

在涉及支付的计划中就是这种情况中国的共享单车.据报道，恶意行为者替换了用户需要扫描以支付使用自行车费用的二维码，然后才能解锁。

结果，毫无戒心的用户的付款被转移到了恶意行为者的账户中，而用户却无法解锁自行车供他们使用。

就在最近，美国几个城市的执法部门就类似计划发出警告，恶意行为者将欺诈性二维码粘贴到停车收费表上的合法二维码上，以诱骗用户在其网络钓鱼网站中输入支付凭证。

现实社会工程中使用的二维码

另一个利用物理领域的 QR 码诈骗的例子是在荷兰人这导致了数千欧元的盗窃。

据报道，恶意行为者接近个人支付停车费，而不是通过停车场的指定机器据称是因为它被打破了。为了看起来更可信，诈骗者穿着职业装，诱使受害者扫描他们拥有的二维码，从而将付款转移到他们的账户。

钓鱼邮件中的二维码

诈骗者已经知道加入二维码进入他们的网络钓鱼攻击，这种做法被称为“quishing”。他们这样做主要是为了绕过传统的安全解决方案，这些解决方案可以在恶意 URL 出现在电子邮件中时对其进行标记，但在它们链接到（或隐藏在）QR 码时却不能。

2021 年 12 月，有人报告了一场使用二维码窃取德国用户银行凭证的网络钓鱼活动。在该活动中，恶意行为者冒充银行发送电子邮件，并通过扫描电子邮件中的二维码，要求收件人查看并同意银行隐私政策的更改。但二维码链接到一个网络钓鱼站点，受害者可以在该站点无意中输入他们的银行凭据，以供恶意行为者收集。

获取 Microsoft 365 的 quishing 计划去年底还报告了证书。该活动以一封来自先前被盗的电子邮件帐户的电子邮件开始，其中包含一条语音邮件消息，收件人可以通过扫描电子邮件中的二维码来收听该消息。然而，二维码会导致一个旨在窃取 Microsoft 365 凭据的虚假登录页面。

订阅高级服务的二维码

恶意行为者可以使用二维码为毫无戒心的用户订阅高级服务，并窃取每月向这些用户收取的资金。该方案被用于 Android 特洛伊木马活动，称为格里夫马，截至 2021 年 9 月，全球已有超过 1000 万用户受害。

QR 码和条形码扫描仪应用程序

2021 年年中，与Anatsa 恶意软件出现在 Google Play 上。 （他们已经从商店下架了。）感染这样的应用程序开始强制用户在安装时更新应用程序，显然是为了让用户可以继续使用它。

成功下载假定更新后，应用程序会提示用户允许安装来自未知来源的应用程序。由于用户之前认为更新是应用程序正常工作所必需的，因此用户授予该权限。更新完成后，恶意软件会在设备上运行，并立即要求用户授予无障碍服务权限。

恶意行为者获得对设备的完全控制权，并且可以在用户启用无障碍服务权限后代表用户执行操作。此时，受恶意软件感染的应用程序作为合法应用程序运行和运行。因此，恶意行为者可以窃取登录凭据并访问显示在毫无戒心的用户设备上的所有信息。

二维码创建者应用

木马应用程序可以伪装成二维码创建者应用程序。在恶意行为者集团实施的计划中布伦希尔达，这样的应用程序要求用户注册。完成注册并获取详细的设备信息后，该应用程序会下载并安装木马有效负载，该有效负载可以窃取敏感的个人信息，例如登录凭据或银行帐户详细信息。

Doxxing 中使用的二维码

首先，任何人都可以创建跟踪像素，链接到页面，然后将其链接到二维码。任何流行的记录器（ canarytokens.org , iplogger.com ) 如果启用了在记录器设置中接收扩展数据，则可用于此目的。

创建的像素也可以放置在外部站点上。它可能是一个博客（电报,媒体网,电传打字机) 甚至是 OSINT 源页面 (开始我) 这又可能与二维码相关联。

III - 二维码错误和问题

苹果IOS 11

在 iOS 11 中，Apple 推出了一项新功能这使用户能够使用 iPhone 的本机相机应用程序自动读取 QR 码，而无需任何第三方 QR 码阅读器应用程序。

您需要在 iPhone 或 iPad 上打开相机应用程序并将设备指向 QR 码。如果代码包含任何 URL，它将给您一个带有链接地址的通知，要求您点击以在 Safari 浏览器中访问它。但是，请注意——您可能不会访问显示给您的 URL，安全研究员 Roman Mueller发现.

根据 Mueller 的说法，iOS 相机应用程序的内置二维码阅读器的 URL 解析器无法检测到 URL 中的主机名，这使得攻击者可以操纵通知中显示的 URL，从而诱使用户访问恶意网站。

对于演示，研究人员使用以下 URL 创建了一个二维码（如上所示）：

https://xxx\\@facebook.com:[email protected]/

If you scan it with the iOS camera app, it will show following notification:

Open "facebook.com" in Safari

When you tap it to open the site, it will instead open:

https://infosec.rm-it.de/

还有一种工具叫做QRGen - 它可以创建恶意二维码，甚至可以对定制的有效载荷进行编码。这些攻击非常有效，因为人类不扫描就无法读取或理解 QR 码中包含的信息，这可能会使任何用于尝试破译代码的设备暴露于其中包含的漏洞。

甚至像智能手机这样的二维码扫描仪也容易受到这类攻击，因为二维码被发现是能够引诱 iPhone 用户访问恶意网站.看看这篇很棒的文章，它描述了该工具的详细工作原理。

Discord 二维码登录

2020 年 12 月，游戏社区广泛使用的语音和文本聊天应用程序 Discord 的开发人员宣布推出一款二维码功能这使用户能够通过扫描屏幕上显示的代码，使用手机登录桌面 Web 客户端。

• 在有报道称该机制被试图访问用户帐户的诈骗者滥用后，Discord 对其二维码登录系统进行了一些更改。

虽然此功能旨在简化桌面用户的 Discord 登录过程，但有消息称欺诈者一直在利用该系统未经授权访问帐户。

根据各种 Discord 服务器和社交媒体上的讨论，诈骗者一直在发布带有免费承诺的二维码硝基，该平台的订阅包，提供众多特权和其他赠品。

然而，在扫描代码时，用户无意中为攻击者提供了对其帐户的访问权限。

“通过 QR 登录方法无需任何用户名/密码和 2FA 即可工作，虽然它使 Discord 更方便地在任何地方登录，但不幸的是，它正以假 Nitro 礼物（可能还有其他形式）的形式被利用，”一位 Discord 用户说。

对该漏洞的潜在严重性意见分歧。对于某些用户来说，他们的帐户被盗可能只会带来挫败感——尽管任何人都不太可能对有人能够在网上冒充他们感到满意。

然而，发布后概念证明为了证明明显易于利用，Twitch 合作伙伴 Pirate Software 表示，如果用户是 Nitro 订阅者，攻击者可以访问他们的姓名、地址和未混淆的 PayPal 电子邮件地址.

Discord 没有立即回应我们的置评请求。工作人员称重Reddit 讨论帖，注意到二维码登录窗口已缩小，以阻止任何可能的诈骗者。

“我们最近将二维码的有效期从 10 分钟缩短到 2 分钟，” 说一位 Discord 工程师补充说：

我们……注意到越来越多的人试图对用户进行社交工程，让他们扫描二维码，试图诱骗他们登录另一个他们无法控制的设备。

我们最初的想法是屏幕上的措辞足以阻止社会工程攻击，但是，我们同意可以提供更清晰的措辞和警告。

在我们的移动应用发布渠道中，我们修改了确认屏幕中的措辞，以更清楚地强调您正在登录另一台设备，并在“登录”按钮激活之前施加延迟（希望让人们阅读红色文本.) 你可以看到这个新屏幕这里.

除了在多个 Discord 服务器上进行讨论之外，该问题已经在社交媒体上找到了途径，其中一位用户发推文：“PSA：如果有人通过 Discord 向您发送二维码，请不要扫描它。他们可以使用它来即时访问您的帐户。”

“这里制造了大量的错误信息，”他们说. “Discord 要求您在攻击者访问之前确认登录。如果您只是忽略 Discord 给您的警告，那是您的错。聪明点，不要上当受骗。”

然而，在 Reddit 上，“不要上当受攻击”的论点落空了。

“我不明白‘如果你被钓鱼，那是你的错，现在滚开，不和谐应该不会改变任何事情，’的精英主义。” 写了一位用户。 “创造一些安全可靠的东西，而不是，'是的，那个二维码可以用来登录，它明明这么说，但你没注意……'”

• 阅读如何在 Discord 上避免区块链黑帽

我们是否知道有多少其他使用 QR 的应用程序存在此漏洞？例如，在电报？当然，这个问题是修辞性的。

IV - QR + 加密 = ?..

确保您的狐狸安全！

诈骗者可能会使用二维码欺骗用户下载伪造的加密货币钱包通过承诺这样做，他们将获得奖励，这些奖励是虚假的代币。另一种诱饵涉及使用二维码下载承诺降低矿工费用的假加密货币钱包。

另一个相关的骗局是使用二维码来获得对代币的未经授权的批准，这些代币用于促进资产从一个加密货币钱包转移到另一个。事故报告已将此计划列为损失大量资金的主要原因。

此外，与加密货币相关的二维码诈骗涉及 MetaMask，这是一种用于与以太坊区块链交互的加密货币钱包。恶意行为者可以通过二维码侵入 MetaMask 扩展账户，在没有账户所有者私钥的情况下转移资金。

• 了解多只猿被盗后，MetaMask 何时对其移动二维码同步进行了更改

“这在某些层面上令人难以置信的尴尬，尼古拉斯在推特上写道。 “在其他人身上，令人难以置信的创伤。是的，我打开了二维码并在账本上签名。但我受到了严重的操纵，直到为时已晚才意识到发生了什么。我被骗了，被钓鱼了，被抢劫了。一些混蛋会说'这就是你得到的。也许他们是对的。但让我们明确一点，骗局就是骗局，盗窃就是盗窃，我无意转移或出售这些资产。所以现在我正在努力想办法拿回我的财产。”

• 了解网站如何攻击您的 MetaMask 的 6 种方式！

看看一种新的诈骗方法！不要将其与津贴混淆批准骗局（为了防止它，你可以使用撤销.cash / unrekt.net )，其目标是 ERC20 代币，而不是以太币。 ( 1 , 2 , 3 , 4 ）。

• 阅读黑客如何窃取您的以太币以及 eth_sign 函数为何重要。

当 ZenGo 钱包背后的人想要添加二维码支持时，他们决定先对安全方面进行一些研究。他们的发现令人不安——但并非完全出乎意料。任何人都可以简单地生成一个 QR 码，将钱发送到他们的地址而不是预期的地址。没有人能说出几乎所有的二维码看起来都一样。

ZenGo 的调查：

例如， ZenGo 使用了一个谷歌网站请求地址的二维码： 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4 ，他们收到了一个二维码，将资金发送到诈骗者的地址： 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

有趣的是，他们注意到一些骗子用一些技巧提高了赌注。一些假二维码网站会操纵二维码，因此如果您检查，通过匹配“1”、“3”或“bc”等第一个字母或数字，从表面上看，它看起来像是正确的地址。

其他人乱用代码，因此如果您尝试复制并粘贴地址以仔细检查它，该站点会将您的地址而不是他们的地址复制到剪贴板，以便您认为它匹配。 ZenGo 使用他们检查的地址跟踪了价值约 20,000 美元的诈骗比特币，并认为这只是冰山一角！

我要补充一点，在我看来，这将有助于设备分离的原则 - 使用一个干净的设备气隙.it您可以扫描 QR，另一个只坐在浏览器上，并在第三个最安全的冷存储或纸质存储上 - 存储基本储蓄。没有什么能阻止您将主要的“热总和”存储在同一个拆分库中。注意安全！

V - QRLJacking：来自 OWASP 社区的评论

QRLJacking 或快速响应代码登录劫持是一种简单的社会工程攻击向量，能够进行会话劫持，影响所有依赖“使用二维码登录”功能作为登录帐户的安全方式的应用程序。简单来说，就是受害者扫描攻击者会话劫持的二维码结果。

以下是 QRLJacking 攻击在幕后的工作原理：

1. 攻击者初始化客户端二维码会话并将登录二维码克隆到钓鱼网站。 “现在，一个精心设计的网络钓鱼页面，带有有效且定期更新的二维码，已准备好发送给受害者。”
2. 攻击者将网络钓鱼页面发送给受害者。 （参考QRLJacking 现实生活中的攻击向量)
3. 受害者使用特定的目标移动应用程序扫描二维码。
4. 攻击者获得对受害者帐户的控制权。
5. 该服务正在与攻击者的会话交换所有受害者的数据。

QRL劫持攻击流程

有关 QRLJacking 工具等的更多信息，请访问Github 上的 QRL 劫持

概念证明示例（视频）

• WhatsApp QRHijacking漏洞
• WhatsApp 帐户劫持和 ARPpoisoning
• AirDroid 易受 QRLJackingVulnerability 攻击
• 易受攻击的 Web 应用程序和服务使用通过 QR 码登录功能部分 #1
• 易受攻击的 Web 应用程序和服务使用通过 QR 码登录功能部分 #2

VI - 确保二维码安全的提示

虽然本文中讨论的方案可能看起来令人担忧，但用户可以通过遵循趋势科技：

• 在提供您的个人信息之前，请确保政府机构或其他官方服务提供商的链接网站是合法的。检查 URL 本身是否有任何拼写错误。
• 在扫描发送给您的电子邮件中的二维码之前，请三思而后行，即使它们似乎来自您认识的组织或个人。对您的银行、企业和其他帐户启用多因素身份验证，以防止登录凭据被盗。
• 在商家或服务提供商的场所进行交易时，请检查 QR 码以确保它没有粘贴在原始的合法代码上。
• 仅当您直接与受信任的商家、服务提供商或您认识的人进行交易时，才使用二维码付款。
• 在应用程序请求权限时要小心授予权限，因为某些请求的权限可能很危险。

二维码可以编码很多信息，正如我们今天所了解的，它们甚至可以被格式化以使设备执行诸如连接到 Wi-Fi 网络之类的操作。这使得扫描二维码有风险，因为在将您的设备暴露于其中包含的任何有效负载之前，人们无法阅读信息。

如果您扫描看起来可疑的 QR 码，请注意该代码试图启动的内容，并且不要连接到 Wi-Fi 网络或导航到缩短的链接。一些研究人员甚至注意到QR 表示区块链中的整体匿名性！这意味着这项技术在 Web3.0 和 Web2.0 中都有未来。

虽然大多数二维码应该可以安全地在智能手机上扫描，但扫描我们今天在设备上生成的用于扫描机票或登机牌的有效载荷可能会导致设备出现一些奇怪的行为。不要扫描您需要在事件或工作之后立即工作的扫描仪上的有效负载 - 或您无权测试的任何扫描仪 - 因为其中一些有效负载可能会导致扫描仪停止工作。

我不是要求你遵守所有这些，但你必须记住在这种特殊情况下的主要规则：

• 您的 OpSec 级别通常取决于您的威胁模型以及您所面对的对手。所以很难定义你的 OpSec 有多好。

如果我们最终想让人们有机会成为他们的银行，我们必须意识到，在这种情况下，人们必须能够取代传统银行获得资金的所有服务和行为！

跟着25条规则在这组中，前 10 条规则与个人安全有关，其余规则与公司安全有关，还要注意最新趋势在加密 OpSec 中，这总是有意义的。不要害怕链接，您不需要所有这些，但您应该能够挑选出您对您的 Pathway 最感兴趣的内容。

• DarkNet-DeepWeb OpSec 指南
• 威胁建模
• 阅读有关定时攻击 |通过代表性样本进行攻击

利用广泛的措施处理文件时，总是关注最新安全即使您所在的地区远离趋势。拿着这个子版块还有这个令人敬畏的古老而值得信赖的资源作为第一步。在我们这个危险的世界里，任何人都可能成为目标，尤其是在加密领域。

也就是说，您从事哪个行业并不重要。如果您有任何敏感的专有信息，那么您很可能成为目标。始终牢记这一点是件好事。另外，谁知道二维码中还隐藏着多少漏洞？只需 google QR Code 0day、QR Code 1 day 或 QR code CVE，您就会看到很多有趣的东西 - 例如， 1 , 2 .

了解最新攻击技术, 白帽备忘单,和防御方法，并加入黑客社区——因为只有知识才能战胜黑客的知识。在这场智力战中，准备最充分的人将获胜，我相信这将是你，Anon。听起来很吓人，但有可能，最重要的是始终提前想好.

有备则无患！注意安全！

参考：

• www.trendmicro.com/vinfo/hk-en/security/news/cybercrime-and-digital-threats/hidden-scams-in-malicious-scans-how-to-use-QR-codes-safely
• null-byte.wonderhowto.com/how-to/create-malicious-QR-codes-hack-phones-other-scanners-0197416/
• micky.com.au/how-scammers-are-using-QR-codes-to-steal-your-bitcoin/
• threatpost.com/qr-code-scammers-bitcoin-atms/168621/
• www.zdnet.com/article/fbi-warning-crooks-are-using-fake-QR-codes-to-steal-your-passwords-and-money/
• www.coindesk.com/business/2021/11/05/fbi-warns-of-scams-using-crypto-ATMs-and-QR-codes/
• www.theverge.com/2021/11/5/22765900/crypto-scam-FBI-PSA-atm-QR-code-wire-transfer-con-artist
• tech.hindustantimes.com/tech/news/iphone-user-beware-of-fake-QR-codes-71651747604570.html
• securityaffairs.co/wordpress/70739/hacking/qr-code-ios-bug.html
• github.com/h0nus/QRGen

看看我的文章：

• 存储加密的关键原则，冷钱包安全
• Crypto 中的 2 个暴力攻击向量：仔细观察
• 中央情报局特工的隐写术指南，愚弄克格勃和保护你的加密货币
• 加密和 Web3.0 中的 OpSec：思考
• 透过时间的棱镜看 OpSec
• Web3.0、Defi、NFT 和 Metaverse 中所有已知的智能合约端和用户端攻击和漏洞

支持我：

支持对我来说非常重要，有了它我可以花更少的时间在工作上，做我喜欢做的事——教育 Defi 和 Crypto 用户！ ❤️

• 查看我的 GitHub
• 跟踪我的所有活动
• 我所有的社交
• 加入我的TG频道

如果你想支持我的作品，你可以给我捐款到地址：

• 0xB25C5E8fA1E53eEb9bE3421C59F6A66B786ED77A或者officecia.eth — ETH、BSC、Polygon、Optimism、Zk、Fantom 等
• 17Ydx9m7vrhnx4XjZPuGPMqrhw3sDviNTU — 比特币
• 4AhpUrDtfVSWZMJcRMJkZoPwDSdVG6puYBE3ajQABQo6T533cVvx5vJRc5fX7sktJe67mXu1CcDmr7orn1CrGrqsT3ptfds — Monero XMR