![Search icon](https://hackernoon.imgix.net/search-new.png?w=19&h=19)
很高兴你再次阅读我的文章,亲爱的朋友们!看起来,二维码会带来什么危险?事实证明,由于基于二维码机制的多次攻击,您甚至可能丢失您的加密货币以及法定货币和互联网登录信息。
让我们研究一下这些攻击,看看我们如何成功防御它们!
在本文中,我将参考各种令人惊叹的作者和资源,我强烈建议您单独研究它们。参考文献列表在文末,尽情阅读吧!
二维码是一种
这是一串文本,通常是指向网站或支付系统上商家官方帐户的 URL 或链接。扫描二维码可以让用户省去在网络浏览器中输入长地址或在支付应用程序中手动输入商家用户名或号码的麻烦,以及其他优势。
根据
阿兹台克代码是一种二维或矩阵式机器可读代码,在许多方面与 QR 代码相似,并且可以比线性条形码包含更多信息。最初是为物流开发的,当需要存储的数据多于线性条形码所能提供的数据时,您可能会看到它用于包裹和信封。
其他类型的二维条码可能包含极其密集的数据量。例如,美国大多数驾驶执照背面的 PDF417 格式最多可以编码 1800 个 ASCII 字符。
像上面这样的 PDF417 代码可以对文本、数字、文件和实际数据字节进行编码,并且它们比线性条形码更能抵抗错误。 FedEx 等公司在装箱单上使用 PDF417 和其他条形码的组合来自动交付和跟踪。
二维码起源于汽车行业,作为一种在汽车制造过程中跟踪汽车的方式,但在该行业之外迅速普及。与其他二维码类似,二维码可以打包大量数据,甚至在分辨率降低或损坏时也能正常工作。
QR 码的一个引人入胜的应用是通过其更大的数据容量来实现
二维码提供的便利和移动设备的普及极大地促进了这些二维条码的广泛使用。然而,它们的流行也为恶意行为者美化自己创造了肥沃的土壤。
QR 码恶意软件工具包不仅可以窃取个人信息,还可以窃取一旦丢失就无法恢复的来之不易的资产。涉及二维码的威胁变得如此普遍和狡猾,以至于联邦调查局最近发布了
正如该机构所描述的那样,诈骗者会联系他们的受害者,并以某种方式说服他们需要汇款,或者承诺爱、进一步致富,或者冒充银行或公用事业公司等实际机构。
在确信标记后,骗子会让他们获得现金(有时从投资或退休账户中取出),然后前往出售加密货币并支持读取二维码的 ATM。一旦受害者在那里,他们将扫描诈骗者发送给他们的二维码,这将告诉机器将购买的任何加密货币发送到诈骗者的地址。
就这样,受害者失去了他们的钱,骗子成功地利用了他们。
恶意行为者会寻找对 QR 码安全知之甚少的普通、毫无戒心的人。那么,如何避免二维码诈骗呢?
在本文中,我将与您讨论欺诈者使用二维码欺骗用户的各种方式,并推荐用户如何保护自己免受二维码诈骗的提示。
首先,让我们定义存在哪些攻击,我们将从想到的第一个开始 - 对银行账户中的资金的攻击,其中加密货币和 QR 只是一种工具。
不要气馁——还有更严重的攻击即将到来,但我想让你明白,政府机构很少对这种看似微不足道的骗局给予如此多的关注。也许有理由在一开始就杀死这种类型,并通过 QR 让人们意识到这种攻击。
让我们弄清楚这一切是从哪里开始的!值得注意的是,恶意行为者已投入大量时间和资源,使他们的二维码诈骗看起来合法且有用,如下例所示:
依赖物理领域的 QR 码骗局的一个主要例子是恶意行为者打印出 QR 码贴纸并将其实际放置在真实的贴纸上。人们通常认为商店和公共场所中带有二维码的标志或海报是安全的,因此可能不知道恶意行为者可以将合法的二维码替换为虚假二维码作为其欺诈计划的一部分。
在涉及支付的计划中就是这种情况
结果,毫无戒心的用户的付款被转移到了恶意行为者的账户中,而用户却无法解锁自行车供他们使用。
就在最近,美国几个城市的执法部门就类似计划发出警告,恶意行为者将欺诈性二维码粘贴到停车收费表上的合法二维码上,以诱骗用户在其网络钓鱼网站中输入支付凭证。
另一个利用物理领域的 QR 码诈骗的例子是在
据报道,恶意行为者接近个人支付停车费,而不是通过停车场的指定机器据称是因为它被打破了。为了看起来更可信,诈骗者穿着职业装,诱使受害者扫描他们拥有的二维码,从而将付款转移到他们的账户。
诈骗者已经知道
2021 年 12 月,有人报告了一场使用二维码窃取德国用户银行凭证的网络钓鱼活动。在该活动中,恶意行为者冒充银行发送电子邮件,并通过扫描电子邮件中的二维码,要求收件人查看并同意银行隐私政策的更改。但二维码链接到一个网络钓鱼站点,受害者可以在该站点无意中输入他们的银行凭据,以供恶意行为者收集。
恶意行为者可以使用二维码为毫无戒心的用户订阅高级服务,并窃取每月向这些用户收取的资金。该方案被用于 Android 特洛伊木马活动,称为
2021 年年中,与
成功下载假定更新后,应用程序会提示用户允许安装来自未知来源的应用程序。由于用户之前认为更新是应用程序正常工作所必需的,因此用户授予该权限。更新完成后,恶意软件会在设备上运行,并立即要求用户授予无障碍服务权限。
恶意行为者获得对设备的完全控制权,并且可以在用户启用无障碍服务权限后代表用户执行操作。此时,受恶意软件感染的应用程序作为合法应用程序运行和运行。因此,恶意行为者可以窃取登录凭据并访问显示在毫无戒心的用户设备上的所有信息。
木马应用程序可以伪装成二维码创建者应用程序。在恶意行为者集团实施的计划中
首先,任何人都可以创建跟踪像素,链接到页面,然后将其链接到二维码。任何流行的记录器(
创建的像素也可以放置在外部站点上。它可能是一个博客(
您需要在 iPhone 或 iPad 上打开相机应用程序并将设备指向 QR 码。如果代码包含任何 URL,它将给您一个带有链接地址的通知,要求您点击以在 Safari 浏览器中访问它。但是,请注意——您可能不会访问显示给您的 URL,安全研究员 Roman Mueller
根据 Mueller 的说法,iOS 相机应用程序的内置二维码阅读器的 URL 解析器无法检测到 URL 中的主机名,这使得攻击者可以操纵通知中显示的 URL,从而诱使用户访问恶意网站。
对于演示,研究人员使用以下 URL 创建了一个二维码(如上所示):
https://xxx\\@facebook.com:[email protected]/
If you scan it with the iOS camera app, it will show following notification:
Open "facebook.com" in Safari
When you tap it to open the site, it will instead open:
https://infosec.rm-it.de/
还有一种工具叫做
甚至像智能手机这样的二维码扫描仪也容易受到这类攻击,因为二维码被发现是
2020 年 12 月,游戏社区广泛使用的语音和文本聊天应用程序 Discord 的开发人员宣布推出一款
虽然此功能旨在简化桌面用户的 Discord 登录过程,但有消息称欺诈者一直在利用该系统未经授权访问帐户。
根据各种 Discord 服务器和社交媒体上的讨论,诈骗者一直在发布带有免费承诺的二维码
然而,在扫描代码时,用户无意中为攻击者提供了对其帐户的访问权限。
“通过 QR 登录方法无需任何用户名/密码和 2FA 即可工作,虽然它使 Discord 更方便地在任何地方登录,但不幸的是,它正以假 Nitro 礼物(可能还有其他形式)的形式被利用,”一位 Discord 用户说。
对该漏洞的潜在严重性意见分歧。对于某些用户来说,他们的帐户被盗可能只会带来挫败感——尽管任何人都不太可能对有人能够在网上冒充他们感到满意。
然而,发布后
Discord 没有立即回应我们的置评请求。工作人员称重
“我们最近将二维码的有效期从 10 分钟缩短到 2 分钟,”
我们……注意到越来越多的人试图对用户进行社交工程,让他们扫描二维码,试图诱骗他们登录另一个他们无法控制的设备。
我们最初的想法是屏幕上的措辞足以阻止社会工程攻击,但是,我们同意可以提供更清晰的措辞和警告。
在我们的移动应用发布渠道中,我们修改了确认屏幕中的措辞,以更清楚地强调您正在登录另一台设备,并在“登录”按钮激活之前施加延迟(希望让人们阅读红色文本.) 你可以看到这个新屏幕
除了在多个 Discord 服务器上进行讨论之外,该问题已经在社交媒体上找到了途径,其中一位用户
“这里制造了大量的错误信息,”他们
然而,在 Reddit 上,“不要上当受攻击”的论点落空了。
“我不明白‘如果你被钓鱼,那是你的错,现在滚开,不和谐应该不会改变任何事情,’的精英主义。”
我们是否知道有多少其他使用 QR 的应用程序存在此漏洞?例如,在电报?当然,这个问题是修辞性的。
诈骗者可能会使用二维码欺骗用户下载
另一个相关的骗局是使用二维码来获得对代币的未经授权的批准,这些代币用于促进资产从一个加密货币钱包转移到另一个。
此外,与加密货币相关的二维码诈骗涉及 MetaMask,这是一种用于与以太坊区块链交互的加密货币钱包。恶意行为者可以通过二维码侵入 MetaMask 扩展账户,在没有账户所有者私钥的情况下转移资金。
“这在某些层面上令人难以置信的尴尬,尼古拉斯在推特上写道。 “在其他人身上,令人难以置信的创伤。是的,我打开了二维码并在账本上签名。但我受到了严重的操纵,直到为时已晚才意识到发生了什么。我被骗了,被钓鱼了,被抢劫了。一些混蛋会说'这就是你得到的。也许他们是对的。但让我们明确一点,骗局就是骗局,盗窃就是盗窃,我无意转移或出售这些资产。所以现在我正在努力想办法拿回我的财产。”
看看一种新的诈骗方法!不要将其与津贴混淆
当 ZenGo 钱包背后的人想要添加二维码支持时,他们决定先对安全方面进行一些研究。他们的发现令人不安——但并非完全出乎意料。任何人都可以简单地生成一个 QR 码,将钱发送到他们的地址而不是预期的地址。没有人能说出几乎所有的二维码看起来都一样。
例如,
有趣的是,他们注意到一些
其他人乱用代码,因此如果您尝试复制并粘贴地址以仔细检查它,该站点会将您的地址而不是他们的地址复制到剪贴板,以便您认为它匹配。 ZenGo 使用他们检查的地址跟踪了价值约 20,000 美元的诈骗比特币,并认为这只是冰山一角!
我要补充一点,在我看来,这将有助于设备分离的原则 - 使用一个干净的设备
以下是 QRLJacking 攻击在幕后的工作原理:
有关 QRLJacking 工具等的更多信息,请访问
虽然本文中讨论的方案可能看起来令人担忧,但用户可以通过遵循
如果您扫描看起来可疑的 QR 码,请注意该代码试图启动的内容,并且不要连接到 Wi-Fi 网络或导航到缩短的链接。一些研究人员甚至注意到
虽然大多数二维码应该可以安全地在智能手机上扫描,但扫描我们今天在设备上生成的用于扫描机票或登机牌的有效载荷可能会导致设备出现一些奇怪的行为。不要扫描您需要在事件或工作之后立即工作的扫描仪上的有效负载 - 或您无权测试的任何扫描仪 - 因为其中一些有效负载可能会导致扫描仪停止工作。
我不是要求你遵守所有这些,但你必须记住在这种特殊情况下的主要规则:
如果我们最终想让人们有机会成为他们的银行,我们必须意识到,在这种情况下,人们必须能够取代传统银行获得资金的所有服务和行为!
跟着
利用
也就是说,您从事哪个行业并不重要。如果您有任何敏感的专有信息,那么您很可能成为目标。始终牢记这一点是件好事。另外,谁知道二维码中还隐藏着多少漏洞?只需 google QR Code 0day、QR Code 1 day 或 QR code CVE,您就会看到很多有趣的东西 - 例如,
了解最新
有备则无患!注意安全!
支持对我来说非常重要,有了它我可以花更少的时间在工作上,做我喜欢做的事——教育 Defi 和 Crypto 用户! ❤️
如果你想