возможно ли подделать qr код
Как QR-коды с криптовалютными адресами используются мошенниками
Увидев QR-код, вряд ли вы сможете сказать, какая запись в ней зашифрована. Именно это используют мошенники, чтобы украсть ваши биткоины.
Когда разработчики кошелька ZenGo хотели добавить в него поддержку QR-кода, они решили сначала провести исследование по безопасности этой технологии.
Они пришли к тревожному выводу, хотя это не стало для них неожиданностью.
QR-код – это графическое изображение, которое пользователи могут отсканировать, чтобы сообщить смартфону, на какой кошелёк нужно отправлять биткоин или какую-либо другую криптовалюту.
QR-код считается простым, быстрым и безопасным способом передачи адреса при совершении криптовалютной транзакции между двумя устройствами. Его удобно использовать в точках продаж, в то время как копирование и вставка адреса, а также набор символов на клавиатуре стали бы лишней проблемой во время тех или иных сделок.
Подделать QR код? Легко!
Разработчики ZenGo использовали сайт, найденный в Google, чтобы сгенерировать QR-кода для адреса 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4
Однако вместо этого они получили QR-код, который отправил средства на мошеннический адрес: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx
Мошенники становятся креативными
Разработчики ZenGo также заметили, что некоторые мошенники используют дополнительные хитрости.
Некоторые сайты поддельных QR-кодов делают так, чтобы при проверке адрес выглядел как правильный, судя по первым буквам или цифрам.
Другие сайты, обнаружив вашу попытку скопировать адрес в буфер обмена и проверить его, подсунут вам верный адрес, а не мошеннический.
Несколько советов для защиты ваших средств
Разработчики ZenGo рекомендуют пользователям:
Не ищите «генераторы QR-кодов» в поисковиках. Используйте известные обозреватели блоков, или сайты, которые вам порекомендовали надёжные люди.
Прежде чем установить QR-код на своём сайте, отправьте небольшую тестовую транзакцию на этот адрес.
QR коды – пространство для мошенничества?
Разработчики ZenGo говорят:
«Мошенничество может быть на стороне получателя при генерации кода, как показано в данном случае. Однако оно может оказаться и на стороне отправителя, если у него мошеннический кошелёк или мошенническая реализация функции QR-кода на хорошем кошельке».
«В будущем мы ещё столкнёмся с проблемой мошенничества, связанного с QR-кодами. Сообщество криптовалют должно решить эту проблему и предложить более эффективные способы защиты от мошенников».
Распространённые виды QR мошенничества
Как только QR-код предоставлял мошенникам доступ к банковским аккаунтам тех автовладельцев, деньги с них быстро исчезали.
В Канаде мошенники «работают» около биткоин-банкоматов с наклейками, извещающими об их неисправности. Они предлагают пользователям совершать транзакции с использованием QR-кода и заставляют их отправлять средства на мошеннические кошельки.
В общественных местах всегда стоит проверить, не наклеен ли мошеннический QR-код поверх настоящего.
Вкуриваем QR. Как сделать QR-код с сюрпризом
Содержание статьи
QR-код (англ. Quick Response Code — код быстрого реагирования) — это матричный или двумерный штрих-код, который может содержать до 4296 символов ASCII. То есть, проще говоря, картинка, в которой зашифрован текст.
История вектора атаки
В мае 2013 года специалисты компании по сетевой безопасности Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Исследователи сообщили в Google о данной уязвимости, и ее закрыли буквально за несколько недель. К счастью, исправить успели до того, как ее можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам.
В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплоит, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.
Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов.
Вот как это выглядело.
Вариант кода, который блокировался защитным механизмом сканера 
Модифицированный URI, который программа не могла отфильтровать 
Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).
Самое опасное здесь — что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности. Поэтому всегда будь внимателен!
Если у тебя нет сканера кодов, но уйма свободного времени — можно попробовать расшифровать код вручную. Инструкция есть на Хабре.
QRGen — каждому по коду
Для демонстрации средств работы с QR-кодами я буду использовать Kali Linux 2019.2 с установленным Python версии 3.7 — это необходимо для корректной работы утилит.
WARNING
Не забывай про уголовную ответственность за создание и распространение вредоносных программ, к которым в широком смысле относятся и наши «заряженные» QR-коды.
Начнем с утилиты QRGen, которая позволяет создавать QR-коды с закодированными в них скриптами. Копируем репозиторий и переходим в папку с содержимым.
QRGen требует Python версии 3.6 и выше. Если возникает ошибка, попробуй обновить интерпретатор.
Устанавливаем все зависимости и запускаем сам скрипт.
Возможные атаки
Теперь давай посмотрим на примеры из каждой категории, а также разберемся, какой урон и каким устройствам они могут нанести.
Посмотреть текстовые файлы со всеми вариантами «начинки» QR-кодов ты можешь в папке words (они разделены по категориям, указанным выше).
Теперь пара слов о последствиях атак подобными нагрузками.
Первый класс атак — SQL-инъекции — используют при взломе БД и нарушении работы веб-сайтов. Например, запрос может вызывать зависание сайта.
Следующий пример (под номером 2) демонстрирует эксплуатацию XSS-уязвимости при атаке на веб-приложения с использованием SVG (Scalable Vector Graphic). К чему может привести XSS, ты, думаю, и без меня прекрасно знаешь, так что подробно на этом останавливаться не буду.
Третий пункт выводит на экран жертвы содержимое файла /etc/passwd : список аккаунтов Linux-based-систем и дополнительную информацию о них (раньше — хеши паролей этих учетных записей). В подобных случаях обычно стараются получить /etc/shadow и конфигурацию сервера, но все очень сильно зависит от цели, так что какие файлы читать — решай сам.
Четвертый пример представляет собой выражение, которое вызовет переполнение буфера (buffer overflow). Оно возникает, когда объем данных для записи или чтения больше, чем вмещает буфер, и способно вызвать аварийное завершение или зависание программы, ведущее к отказу в обслуживании (denial of service, DoS). Отдельные виды переполнений дают злоумышленнику возможность загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется, что делает эту ошибку довольно опасной.
Атаки форматной строки (пример 6) — это класс уязвимостей, который включает в себя предоставление «специфичных для языка маркеров формата» для выполнения произвольного кода или сбоя программы. Говоря человеческим языком, это класс атак, при которых приложение некорректно очищает пользовательский ввод от управляющих конструкций, из-за чего эти конструкции в результате исполняются. Если ты программировал на С, то, конечно, помнишь те интересности с выводом переменных через printf : надо было в первом аргументе (который строка) указать на тип выводимого значения ( %d для десятичного числа и так далее).
Обрати внимание, что в качестве тестового веб-приложения используется DVWA (Damn Vulnerable Web Application), который был специально разработан для обучения пентесту. Многие атаки на веб-приложения можно отработать на нем.
Практика
А сейчас перейдем к практике — протестируем эту утилиту сами.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
QR-код, да не тот
Рассказываем, как не попасться на удочку киберпреступников при сканировании QR-кодов.
QR-коды есть на йогурте и музейной табличке, квитанции за коммунальные услуги и лотерейном билете. С их помощью открывают сайты, скачивают приложения, копят бонусы в программах лояльности, отправляют денежные переводы и даже просят милостыню. Эта доступная и практичная технология понравилась многим — и, как это часто бывает, киберпреступникам тоже: они уже вовсю применяют QR-коды в своих схемах. Рассказываем, что может пойти не так с черно-белыми квадратами и как их использовать без вреда для себя.
Что такое QR-коды и как ими пользоваться
В наше время смартфон есть уже почти у всех. Во многих современных моделях есть встроенный QR-сканер. На остальные можно скачать приложение — для чтения всех кодов вообще или какое-нибудь специализированное, например — разработанное музеем.
Если включить QR-сканер и навести камеру телефона на код, запустится некий процесс. Чаще всего смартфон предложит вам перейти на тот или иной сайт или откроет страницу определенного приложения в магазине. Есть и другие варианты, о них — чуть позже.
Специализированные сканеры отличаются от собратьев тем, что лучше «работают в паре» со «своими» QR-кодами. Допустим, вы видите табличку перед выдающимся деревом в парке, и на ней есть квадрат QR. Если вы загрузили себе официальное приложение этого парка, QR-коды на таких табличках превратятся для вас в цельную экскурсию, а стандартный сканер, распознав их, просто предложит перейти на сайт парка и прочесть описание каждого экспоната на отдельной странице.
Кроме того, некоторые приложения могут создавать QR-коды, чтобы передать тому, кто их отсканирует, какую-то вашу информацию — например, имя и пароль вашей сети Wi-Fi или даже платежные реквизиты счета в банке.
Как киберпреступники используют QR-коды
Что может пойти не так, спросите вы? Очень и очень многое. Поскольку содержимое QR-кода обычному человеку не понять, фактически мы полагаемся на честность тех, кто загружает в них информацию. Мы не можем заранее проверить, что произойдет, когда мы отсканируем заветный квадрат, — или что именно на самом деле записало туда приложение, в котором мы создавали свой квадрат. Это открывает массу возможностей для злоупотребления.
Фальшивые ссылки
Так, созданный преступниками QR-код может привести вас на фишинговый сайт, имитирующий, например, страницу входа в социальную сеть или личный кабинет в банке, чтобы вы ввели там свои данные на радость преступникам. Обычно мы советуем смотреть на ссылку, прежде чем переходить по ней, — но в самом QR-коде шанса заметить странные символы нет, а для пущей надежности злоумышленники часто используют короткие ссылки — так сложнее распознать подделку, когда смартфон просит подтвердить переход.
Похожая схема существует и с QR-кодами для быстрой загрузки приложений. Вместо игры или полезного сервиса, которые вы ожидаете получить при взгляде на рекламный плакат, есть шанс скачать зловред, который позже, например, украдет ваши пароли или начнет рассылать что-нибудь непотребное вашим контактам.
Закодированные в QR-коде команды
Но и это не все: QR-код может служить не только ссылкой на сайт, но и командой для выполнения определенных действий. Вот лишь неполный их список:
Все это задумывалось для автоматизации мелких действий. Например, считав QR-код, можно добавить в телефонную книгу всю контактную информацию с визитки, отправить сообщение об оплате парковки по нужному шаблону или выдать доступ к гостевому Wi-Fi.
Но эти же возможности делают QR-код эффективным средством для незаметных манипуляций. Например, мошенники могут внести в адресную книгу свой номер под именем «Банк», чтобы придать вес звонку с попыткой выманить ваши деньги. Или, например, позвонить на платный номер за ваш счет. Или узнать, где вы находитесь… Малоприятные перспективы.
Как киберпреступники маскируют QR-коды
Безусловно, для того чтобы злоумышленники вам навредили, им нужно, чтобы вы отсканировали именно их QR-коды. И для этого у них есть пара любимых приемов.
Мошеннические источники QR-кодов. Чаще всего к этому способу прибегают, чтобы убедить жертву скачать зловредное приложение. Его создатели могут разместить QR-код со ссылкой на свое детище на сайте, в баннере, электронном письме или даже на бумажном объявлении. Часто рядом для большей достоверности размещают логотипы Google Play или App Store.
Подмена QR-кода. Нередко злоумышленники пользуются чужим трудом и репутацией и просто заклеивают настоящий QR-код на плакате или табличке подложным.
Кстати, подменой QR-кодов в последнее время стали пользоваться не только киберпреступники, но и беспринципные активисты общественных течений — для распространения своих идей. В Австралии недавно был арестован мужчина, который переклеил несколько QR-кодов на табличках службы по контролю за COVID-19, чтобы вместо сервиса для записи посетителей общественных мест люди попадали на сайт с агитацией антипрививочников.
QR-код, в который запакованы банковские реквизиты, можно подменить при его отправке будущему плательщику — например, распечатав и разложив по почтовым ящикам фальшивые квитанции на оплату коммунальных услуг. Вместо настоящего получателя деньги придут на счет злоумышленника.
Как не попасть в беду с QR-кодом
Чтобы не стать жертвой киберпреступников, при использовании QR-кодов соблюдайте несколько простых правил:
Также стоит помнить о еще одной опасности, связанной с QR-кодами: злоумышленники могут воровать коды, в которые зашита какая-то ценная информация — например, номер электронного билета. Поэтому не стоит публиковать в соцсетях документы с QR-кодами или их фотографии.
Кто кого обманывает
Любопытно, что гражданин и сам стал жертвой обмана. Как рассказывают в пресс-службе столичной полиции, он заказал фальшивый QR-код, перевел на указанный продавцом счет девять тысяч рублей, однако услугу так и не получил, поэтому пришел в полицию. Но заявление о преступлении фактически приравнялось к явке с повинной.
Наказание за подделку
В случае использования поддельных QR-кодов гражданам также может грозить уголовная ответственность по статье УК «Нарушение санитарно-эпидемиологических правил». Юрист подчеркивает: «Использование QR-кода с привязкой к домену ложного портала Госуслуг является нарушением, но в области исключительно санитарно-эпидемиологических правил, поскольку в данном случае человек умышленно нарушает установленные правила посещения общественных мест. В зависимости от последствий может наступать либо уголовная, либо административная ответственность».
В частности, продолжает Мария Спиридонова, ч. 1 ст. 236 УК РФ предусмотрено, что за нарушение санитарно-эпидемиологических правил, повлекших по неосторожности массовое заболевание или отравление людей, либо создавших угрозу таких последствий, нарушитель может быть подвергнут штрафу в 500-700 тысяч рублей. Либо отправиться на принудительные работы на срок до двух лет. Либо получить какое-то иное наказание.
Наказывают не только тех, кто изготавливает и продает поддельные документы, но и тех, кто их приобретает. Ответственность может наступить по ч. 3 ст. 327 УК РФ, предусматривающей наказание (ограничение свободы, принудительные работы или лишение свободы на срок до одного года) за приобретение, хранение, перевозку в целях использования или сбыта, либо использование заведомо поддельного официального документа, предоставляющего права или освобождающего от обязанностей, пояснил «РГ» доктор юридических наук, заслуженный юрист России Иван Соловьев.
В большинстве случаев изготовление поддельной справки представляет собой более сложный механизм. Это невозможно без участия в схеме нескольких звеньев: как правило, это продавец и недобросовестные работники сферы здравоохранения, которые имитируют процедуру прохождения гражданином всего цикла вакцинации, внося сведения в документы и базы данных.
С точки зрения здравого смысла логику людей, которые покупают поддельные сертификаты и QR-коды, понять сложно. Зачем тратить большие деньги и переходить черту закона, рискуя испортить себе биографию, когда в любое удобное время и в любом удобном месте можно вакцинироваться бесплатно.
Эксперт призвал сдавать ПЦР-тесты вместо подделки QR-кодов
Подделать QR-код теоретически можно, но гораздо проще и надежнее сделать ПЦР-тест, заявил «Известиям» во вторник, 29 июня, эксперт сервиса «Битрикс24» Сергей Кулешов.
По словам специалиста, теоретически QR-код можно подделать с помощью перебора специальных символов, в которые преображается информация, содержащаяся в коде.
«И если долго их перебирать, то можно найти полного тезку. Но все равно у человека вряд ли будут совпадать первые цифры в серии и номере паспорта. Чтобы воспользоваться таким способом подбора, нужно потратить невероятное количество времени, и нет никаких гарантий, что это получится осуществить. Вряд ли кто-то будет это делать, чтобы посещать кафе и рестораны», — добавил Кулешов.
По его мнению, гораздо проще и надежнее сделать ПЦР-тест на наличие коронавируса или вакцинироваться.
Как отметил директор благотворительного учреждения «Право и порядок» Олег Иванников, с указом мэрии Москвы о введении QR-кодов активизировалось и мошенническое интернет-сообщество, которое предлагает плохо осведомленным гражданам приобрести поддельные QR-коды, внешне похожие на оригинал.
«К этой категории в большинстве относится молодежь, которая в силу юного возраста и небольшого жизненного опыта воспринимает все происходящее как некий игровой квест и не осознает в полной мере степень ответственности за происходящее. Как показывает практика борьбы с мошенничеством, явление это временное», — сказал он.
28 июня работа столичных заведений общественного питания перешла на «бесковидный» формат. Так, кафе и рестораны могут принимать только вакцинированных клиентов, а также тех, кто переболел COVID-19 в течение последних шести месяцев либо имеет при себе отрицательный результат ПЦР-теста, действительный в течение трех дней.
Подтвердить защиту от коронавируса посетители заведений могут специальным QR-кодом. Вместе с этим бумажные справки или сертификаты приниматься не будут. Сотрудники столичных заведений общепита смогут проверить QR-коды посетителей в том числе с помощью приложений департамента транспорта Москвы.
В России в настоящий момент идет масштабная вакцинация от COVID-19, которая началась в январе 2021 года. Прививку делают бесплатно всем желающим. На данный момент в стране зарегистрировано четыре препарата от коронавируса: «Спутник V», «Спутник Лайт», «ЭпиВакКорона» и «КовиВак».
Вся актуальная информация по ситуации с коронавирусом доступна на сайтах стопкоронавирус.рф и доступвсем.рф, а также по хештегу #МыВместе. Телефон горячей линии по вопросам коронавируса: 8 (800) 2000-112.