Прост трик с QR код, който измамниците използват, за да откраднат вашите биткойни

Технология

Никой не може да направи разликата между един QR код и друг, което позволява на измамниците да използват подъл трик, за да откраднат вашите биткойни.

Когато хората зад портфейла ZenGo искаха да добавят поддръжка за QR кодове, те решиха първо да направят малко проучване на аспектите на сигурността.

Това, което откриха, беше обезпокоително – но не съвсем неочаквано.

QR кодовете са онези графики, които потребителите могат да сканират, които казват на телефона или устройството на кой портфейл да изпрати биткойн или друга криптовалута.

Според Cryptocurrencyfacts.com:

QR кодът е прост, бърз и сигурен начин за споделяне на адрес при прехвърляне на криптовалута между две устройства.

Това е особено полезно при транзакции лице в лице на място на продажба, тъй като копирането и поставянето не е опция и избягва да въвеждате много дълги кодове на ръка (ако сбъркате дори един знак, няма да работа).

Доста лесно е да фалшифицирате QR код

Недостатъкът в това е очевиден: всеки може просто да генерира QR код, който изпраща пари на неговия адрес, вместо на предназначения. И никой не може да каже, че почти всички QR кодове си приличат.

Например, ZenGo използва сайт в Google да поискате QR код за адрес 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4

Вместо това те получиха QR код, който изпрати средства на адреса на измамника: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

Измамниците стават креативни

Интересното е, че те забелязаха, че някои измамници повишиха ставката с няколко трика.

Някои от сайтовете за фалшиви QR кодове манипулираха QR кода, така че ако сте проверили, той повърхностно изглежда като правилния адрес, като съвпада с първата буква или цифра като „1“, „3“ или „bc“.

Други се занимават с код, така че ако се опитате да копирате и поставите адреса, за да го проверите, сайтът ще копира вашия собствен адрес в клипборда вместо техния, така че да мислите, че съвпада.

ZenGo проследи измамени биткойни на стойност около 20 000 долара, използвайки адресите, които са проверили, и вярват, че това е само върхът на айсберга.

Няколко съвета за защита на вашите биткойни

Те препоръчват на потребителите:

Не Google генератори на QR кодове. Вместо това използвайте известен сайт, като любимия ви блок Explorer, или помолете приятел за препоръка.

Преди да споделите QR кода на вашия сайт, изпратете малка тестова транзакция и вижте къде се озовава.

Можете също да използвате „услуга за разузнаване на заплахи“, като добавка за браузър като Cryptonite на MetaCert. Те ще изведат сигнал за измамни сайтове и адреси. Те обаче не са сребърен куршум и не покриват всички заплахи.

Отваря път за измами

Тал Биери от ZenGo пише: QR кодът е много лесен начин за споделяне на данни. Въпреки това, поради факта, че кодовете не са четими от човека, това отваря път за измами.

Измамата може да бъде от страна на получателя, когато генерира, както е показано тук, но също и от страна на подателя, ако подателят използва фалшив портфейл или дори добър портфейл, използващ измамна QR реализация.

Вярваме, че ще чуем за повече измами, свързани с QR в бъдеще, и че общността на криптовалутите трябва да се справи с тези проблеми и да предложи по-добри защити.

QR измами са добре познати в криптовалутата

Malwarebytes съобщено през юли за измамници отива при хора на паркинги в два града в Холандия, като им предлага , ако „платят за паркинга си“ с помощта на QR код и тяхното банково приложение.

QR кодът им даде достъп до банковата сметка на жертвата, която те незабавно източиха.

В Китай е известно, че измамниците заменят QR кодовете на схемите за споделяне на велосипеди със свои собствени.

Това води до голям обем малки транзакции, които потребителите обикновено отхвърлят, когато моторът не се отключи, ако се приеме, че транзакцията не е работила, и преминават към следващия велосипед

В Канада измамниците са се насочили към биткойн банкомати със знаци, които подсказват, че те не са в строя и подсказващи, че вместо това потребителите могат да извършват транзакции, като изпращат средства в портфейла си с QR код.

На публично място винаги си струва да проверите дали QR код е поставен върху друг съществуващ QR код.