Jednoduchý trik s QR kódem, který podvodníci používají ke krádeži vašich bitcoinů

Technika

Nikdo nedokáže rozpoznat rozdíl mezi jedním QR kódem a druhým, který umožňuje podvodníkům použít záludný trik ke krádeži vašich bitcoinů.

Když lidé za peněženkou ZenGo chtěli přidat podporu QR kódů, rozhodli se nejprve trochu prozkoumat bezpečnostní aspekty.

To, co našli, bylo znepokojivé – ale ne zcela neočekávané.

QR kódy jsou ty grafiky, které mohou uživatelé naskenovat a které sdělují telefonu nebo zařízení, do které peněženky má poslat bitcoiny nebo jinou kryptoměnu.

Podle Cryptocurrencyfacts.com:

QR kód je jednoduchý, rychlý a bezpečný způsob sdílení adresy při převodu kryptoměny mezi dvěma zařízeními.

To je užitečné zejména při transakcích tváří v tvář v místě prodeje, protože kopírování a vkládání není možné a vyhnete se nutnosti zadávat velmi dlouhé kódy ručně (pokud se spletete byť jen jeden znak, nebude práce).

Falšovat QR kód je docela snadné

Chyba v tom je zřejmá: kdokoli může jednoduše vygenerovat QR kód, který pošle peníze na jeho adresu místo na zamýšlenou. A nikdo nemůže říct, že všechny QR kódy vypadají stejně.

Například, ZenGo použil web Googled požádat o QR kód pro adresu 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4

Místo toho obdrželi QR kód, který poslal peníze na adresu podvodníka: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

Podvodníci jsou kreativní

Zajímavé je, že si všimli, že někteří podvodníci zvýšili ante pomocí několika triků.

Některé weby s falešnými QR kódy manipulovaly s QR kódem tak, že pokud jste to zkontrolovali, povrchně vypadal jako správná adresa podle shody s prvním písmenem nebo číslicí, jako je ‚1‘, ‚3‘ nebo ‚bc‘.

Jiní se motají s kódem, takže když se pokusíte zkopírovat a vložit adresu, abyste ji znovu zkontrolovali, web zkopíruje vaši vlastní adresu do schránky místo jejich, takže si myslíte, že se shoduje.

ZenGo sledoval podvodné bitcoiny v hodnotě asi 20 000 $ pomocí adres, které zkoumali, a věří, že je to jen špička ledovce.

Několik tipů, jak chránit své bitcoiny

Doporučují uživatelům:

NeGoogle generátory QR kódů. Místo toho použijte známý web, jako je váš oblíbený průzkumník bloků, nebo požádejte přítele o doporučení.

Před sdílením QR kódu na vašem webu odešlete malou testovací transakci a uvidíte, kde skončí.

Můžete také použít „službu zpravodajství o hrozbách“, jako je doplněk prohlížeče, jako je Cryptonite společnosti MetaCert. Ty vyvolají upozornění na podvodné stránky a adresy. Nejsou však stříbrnou kulkou a nepokrývají všechny hrozby.

Otevírá cestu pro podvody

Tal Be’ery ze ZenGo píše: QR kód je velmi snadný způsob sdílení dat. Avšak vzhledem k tomu, že kódy nejsou lidsky čitelné, otevírá cestu k podvodům.

Podvod může být na straně příjemce při generování, jak je znázorněno zde, ale také na straně odesílatele, pokud odesílatel používá podvodnou peněženku nebo dokonce dobrou peněženku využívající nepoctivou implementaci QR.

Věříme, že v budoucnu uslyšíme o dalších podvodech souvisejících s QR a že komunita kryptoměn musí tyto problémy řešit a přijít s lepší ochranou.

QR podvody jsou v kryptoměnách dobře známé

Malwarebytes v červenci informoval o podvodnících jít za lidmi na parkovištích ve dvou městech v Nizozemsku a nabídnout jim 5 dolarů, pokud by ‚zaplatili za své parkoviště‘ pomocí QR kódu a své bankovní aplikace.

QR kód jim umožnil přístup k bankovnímu účtu oběti, který okamžitě vyčerpali.

V Číně je známo, že podvodníci nahrazují QR kódy ve schématech sdílení kol svými vlastními.

To přináší velký objem malých transakcí, na které uživatelé obvykle pokrčí rameny, když se kolo neodemkne, za předpokladu, že transakce nefungovala, a přesunou se na další kolo.

V Kanadě se podvodníci zaměřili na bitcoinové bankomaty se znaky, které naznačují, že jsou mimo provoz, a naznačují, že uživatelé mohou místo toho dokončit transakce zasláním prostředků do své peněženky s QR kódem.

Na veřejnosti se vždy vyplatí dvakrát zkontrolovat, zda nebyl QR kód umístěn přes jiný existující QR kód.