Ao que parece ser o perigo escondido em um código QR ?
acontece que você pode perder acesso a sua crypto, bem como dinheiro fiduciário, logins por causa desse tipo de ataque baseado em mecânicas QRCode.
vamos ver como esses ataques podem acontecer é nos defender com sucesso deles.
O que é um Qr Code ?
um código QR é um codigo de barra bidimencional que pode armazenar 7.089 digitos ou 4.296 caracteres. ele pode ser digitalizadso usando um scanner ou um leitor QR, itegrado às cameras padrão do seu smartphone, para decifrar os dados codificados nele.
é uma sequencia do que chamamos de "strings" (textos) é normalmente e uma URL ou link para um site ou conto oficial em um sistema de pagamento. A digitalização de um QR evita que o usuário precise digitar manualmente o nome de usuário ou numero de registro em um aplicativo em em endereço em um navegador.
De acordo com Kody Kinzie, pesquisador de segurança, a resposta para a limitação dos códigos de barras lineares foram os códigos de barras 2D, que oferecem mais resistência ao armazenamento para que danos físicos afetem as informações contidas. Alguns dos primeiros códigos 2D se pareciam com o abaixo, que ainda é amplamente utilizado hoje.
O código asteca é um código 2D, ou matriz, legível por máquina que é semelhante em muitos aspectos a um código QR e pode conter mais informações do que um código de barras linear. Inicialmente desenvolvido para logística, você pode vê-lo usado em pacotes e envelopes quando mais dados precisam ser armazenados do que um código de barras linear pode fornecer.
Outros tipos de códigos de barras 2D podem conter uma quantidade extremamente densa de dados. O formato PDF417 por exemplo, pode codificar até 1800 caracteres ASCII.
Códigos PDF417 podem codificar texto, números, arquivos e bytes de dados reais, e são mais resistentes a erros do que códigos de barras lineares.
empresa como a FedEx usam uma combinação PDF417 e outras códigos de barras em guias de remessa para automatizar a entrega e o rastreamento.
Os códigos QR começaram na indústria automotiva como uma maneira de acompanhar os carros enquanto eles eram fabricados, mas rapidamente cresceram em popularidade fora dessa indústria. Semelhante a outros códigos 2D, os códigos QR podem conter uma tonelada de dados e podem até funcionar quando a resolução estiver reduzida ou danificadas.
Uma aplicação fascinante de códigos QR habilitada por sua maior capacidade de dados é usá-los para gerenciar conexões Wi-Fi sem compartilhar a senha em texto simples. Ao codificar a sequência a seguir, você pode criar um código QR que registre os usuários Android em uma rede Wi-Fi automaticamente.
A conveniência que os códigos QR oferecem e a onipresença dos dispositivos móveis contribuíram muito para o uso generalizado desses códigos de barras bidimensionais. No entanto, sua popularidade também criou um terreno fértil.
Kit de ferramentas de malware de código QR para roubar não apenas informações pessoais, mas também ativos conquistados com muito esforço que são impossíveis de recuperar uma vez perdidos. Ameaças envolvendo códigos QR tornaram-se tão abundantes e astutas que o FBI emitiu recentemente um aviso sobre elas.
Atores maliciosos procuram pessoas comuns e desavisadas que não sabem muito, se é que sabem, sobre a segurança do código QR. Então, como evitar fraudes de código QR?
Fatores de Ameaça
Antes de tudo, vamos definir quais ataques existem e vamos começar com o primeiro que vem à mente - um ataque ao dinheiro na conta bancária.
Não desanime - há ataques mais sérios por vir, mas quero que você entenda que as agências governamentais raramente prestam tanta atenção a um tipo de golpe aparentemente tão insignificante.
conscientizar as pessoas de tal ataque, por meio de QR, durante meu tempo trabalhando como vendedor técnico vi dezenas de clientes que sofreram com esses tipos de ataques ao longo dos anos.
Vamos descobrir onde tudo começou! É importante observar que os atores mal-intencionados investiram muito tempo e recursos para fazer com que seus golpes pareçam legítimos e úteis, conforme ilustrado pelos exemplos a seguir:
Códigos QR sobrepostos
Um excelente exemplo de uma fraude de código QR que se baseia no domínio físico tem atores mal-intencionados imprimindo adesivos de código QR e colocando-os fisicamente sobre os genuínos. As pessoas geralmente assumem que as placas ou cartazes com códigos QR em lojas e espaços públicos são seguros e, portanto, podem não saber que atores maliciosos podem substituir códigos QR legítimos por falsos como parte de seus esquemas fraudulentos.
Este foi o caso de um esquema envolvendo pagamentos para compartilhamento de bicicletas na China. Atores maliciosos supostamente substituíram os códigos QR que os usuários precisavam digitalizar para pagar pelo uso das bicicletas antes que elas pudessem ser desbloqueadas.
Como resultado, os pagamentos de usuários desavisados foram transferidos para as contas dos atores mal-intencionados, sem que os usuários conseguissem desbloquear as bicicletas para uso compartilhado.
Códigos QR usados na engenharia social do mundo real
Outro exemplo de esquema de QR code que tira partido do meio físico é um esquema que foi realizado num parque de estacionamento na Holanda e que levou ao furto de milhares de euros.
Atores maliciosos supostamente abordaram indivíduos para pagar a taxa de estacionamento não através da máquina designada no estacionamento, supostamente porque estava quebrada. Vestindo roupas de aparência profissional para parecerem mais credíveis, os fraudadores persuadiram suas vítimas a escanear o código QR que tinham, desviando os pagamentos para sua conta.
Códigos QR em e-mails de phishing
Os golpistas são conhecidos por incorporar códigos QR em seus ataques de phishing, uma prática conhecida como “quishing”. Eles fazem isso principalmente para que possam contornar as soluções de segurança tradicionais que podem sinalizar URLs maliciosos quando aparecem em e-mails, mas não quando estão vinculados (ou ocultos) a códigos QR.
Em dezembro de 2021, foi relatada uma campanha de phishing que usava códigos QR para roubar as credenciais bancárias de usuários na Alemanha. Na campanha, atores mal-intencionados enviam um e-mail se passando por um banco e solicitando ao destinatário que revise e concorde com as alterações na política de privacidade do banco digitalizando o código QR no e-mail. Mas o código QR leva a um site de phishing onde a vítima pode inserir involuntariamente suas credenciais bancárias para que os agentes mal-intencionados as coletem.
Um esquema de quishing para obter credenciais do Microsoft 365 também foi relatado no final do ano passado. Esta campanha começa com um e-mail vindo de uma conta de e-mail previamente comprometida e contendo uma mensagem de correio de voz que o destinatário pode ouvir digitalizando o código QR no e-mail. O código QR, no entanto, leva a uma página de login falsa projetada para roubar credenciais do Microsoft 365.
Códigos QR para assinar serviços premium
Atores maliciosos podem usar códigos QR para inscrever usuários desavisados em serviços premium e roubar os fundos cobrados desses usuários mensalmente. Esse esquema foi usado na campanha de trojan do Android conhecida como GriftHorse, que vitimou mais de 10 milhões de usuários em todo o mundo até setembro de 2021.
Aplicativos QR Code e scanner de código de barras
Em meados de 2021, aplicativos de código QR e scanner de código de barras vinculados ao malware Anatsa apareceram no Google Play. (Desde então, eles foram retirados da loja.) A infecção por um aplicativo desse tipo começa forçando o usuário a atualizar o aplicativo após a instalação, aparentemente para que o usuário possa continuar a usá-lo.
Após o download bem-sucedido da suposta atualização, o aplicativo solicita ao usuário que permita a instalação de aplicativos de fontes desconhecidas. Como o usuário foi levado a acreditar anteriormente que a atualização era necessária para que o aplicativo funcionasse corretamente, o usuário concede a permissão. Após a atualização, o malware é executado no dispositivo e imediatamente solicita ao usuário que conceda privilégios de serviço de acessibilidade.
Atores maliciosos obtêm controle total sobre o dispositivo e podem realizar ações em nome do usuário depois que o usuário habilita os privilégios do serviço de acessibilidade. Nesse ponto, o aplicativo infestado de malware é executado e funciona como um aplicativo legítimo. Assim, o cenário está montado para que atores mal-intencionados roubem credenciais de login e obtenham acesso a todas as informações exibidas no dispositivo do usuário desavisado.
Aplicativos criadores de QR Code
Aplicativos trojanizados podem se passar por aplicativos criadores de código QR. Em um esquema perpetrado pelo grupo de atores mal-intencionados Brunhilda, esse aplicativo solicita que o usuário se registre. Depois que o registro é feito e obtém informações detalhadas do dispositivo, o aplicativo baixa e instala uma carga de trojan, que pode realizar o roubo de informações pessoais confidenciais, como credenciais de login ou detalhes da conta bancária.
Códigos QR usados em Doxxing
Em primeiro lugar, qualquer pessoa pode criar um pixel de rastreamento, vincular a uma página e vinculá-lo a um código QR. Qualquer registrador popular (canarytokens.org, iplogger.com) pode ser usado para essa finalidade se o recebimento de dados estendidos nas configurações do registrador estiver ativado.
O pixel criado também pode ser colocado em um site externo. Pode ser um blog (telegra.ph, medium.com, teletype.in) ou mesmo uma página de origem OSINT (start.me) que por sua vez pode estar vinculada a um código QR.
Discord QR Login
Em dezembro de 2020, os desenvolvedores do Discord anunciaram o lançamento de um recurso de código QR que permite aos usuários fazer login no cliente da Web de desktop usando o telefone, digitalizando o código que aparece na tela.
Embora esse recurso tenha como objetivo simplificar o processo de login do Discord para usuários de desktop, surgiram notícias de que fraudadores estão explorando o sistema para obter acesso não autorizado a contas.
De acordo com discussões em vários servidores Discord e nas redes sociais, os golpistas têm postado códigos QR com a promessa de Nitro grátis, o pacote de assinatura da plataforma que oferece inúmeras vantagens e outros brindes.
Ao escanear o código, no entanto, os usuários inadvertidamente fornecem ao invasor acesso à sua conta.
“O método de login por QR funciona sem qualquer nome de usuário/senha e 2FA e, embora torne o Discord muito mais conveniente para fazer login em todos os lugares, infelizmente, está sendo explorado na forma de presentes falsos do Nitro (e possivelmente outras formas) ”, disse um usuário do Discord.
Opinião dividida sobre a gravidade potencial desta exploração. Para alguns usuários, ter suas contas comprometidas pode resultar em pouco mais do que frustração – embora seja improvável que alguém fique feliz com alguém sendo capaz de se passar por eles online.
No entanto, depois de lançar uma prova de conceito para demonstrar a aparente facilidade de exploração, a Pirate Software, parceira do Twitch, disse que, se o usuário fosse um assinante do Nitro, um invasor poderia obter acesso ao seu nome, endereço e endereço de e-mail não ofuscado do PayPal.
Crypto é Qr code
Mantenha-se seguro!
Os golpistas podem usar códigos QR para enganar os usuários e fazer o download de carteiras de criptomoedas falsificadas, prometendo que, ao fazê-lo, receberiam recompensas, que são tokens falsos. Outro tipo de isca envolve o uso de códigos QR para baixar carteiras de criptomoedas falsas que prometem reduções nas taxas de mineração.
Outro golpe relacionado é o uso de códigos QR para obter aprovação não autorizada de tokens, que são usados para facilitar a transferência de ativos de uma carteira de criptomoedas para outra. Relatórios de incidentes citaram este esquema como a principal razão para a perda de fundos significativos.
Além disso, fraudes de código QR relacionadas a criptomoedas envolvendo MetaMask, que é uma carteira de criptomoedas para interagir com o blockchain Ethereum. Atores maliciosos podem invadir contas de extensão MetaMask por meio de códigos QR para transferir fundos sem as chaves privadas do proprietário da conta.
Read about when after multiple Apes were stolen, MetaMask made changes to its mobile QR Code sync
Top comments (0)
Some comments may only be visible to logged-in visitors. Sign in to view all comments.