Les escrocs utilisent une simple astuce de code QR pour voler votre Bitcoin

La Technologie

Personne ne peut faire la différence entre un code QR et un autre qui permet aux escrocs d'utiliser une astuce sournoise pour voler votre Bitcoin.

Lorsque les personnes derrière le portefeuille ZenGo ont voulu ajouter la prise en charge du code QR, elles ont décidé de faire d'abord quelques recherches sur les aspects de sécurité.

Ce qu'ils ont trouvé était troublant, mais pas tout à fait inattendu.

Les codes QR sont ces graphiques que les utilisateurs peuvent scanner et qui indiquent à un téléphone ou à un appareil à quel portefeuille envoyer du Bitcoin ou une autre crypto-monnaie.

Selon Cryptocurrencyfacts.com :

Un code QR est un moyen simple, rapide et sécurisé de partager une adresse lors du transfert de crypto-monnaie entre deux appareils.

Ceci est particulièrement utile dans les transactions en face à face au point de vente car le copier-coller n'est pas une option et cela évite d'avoir à taper des codes très longs à la main (si vous vous trompez ne serait-ce qu'un seul caractère, il ne sera pas travail).

Il est assez facile de simuler un code QR

Le défaut est évident : n'importe qui peut simplement générer un code QR qui envoie de l'argent à son adresse au lieu de celle prévue. Et personne ne peut dire que presque tous les codes QR se ressemblent.

Par example, ZenGo a utilisé un site Google pour demander un QR code pour l'adresse 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4

À la place, ils ont reçu un code QR qui a envoyé des fonds à l'adresse de l'arnaqueur : 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx

Les escrocs font preuve de créativité

Fait intéressant, ils ont remarqué que certains escrocs ont fait monter les enchères avec quelques astuces.

Certains des sites de faux codes QR ont manipulé le code QR de sorte que si vous avez vérifié, il ressemble superficiellement à la bonne adresse en faisant correspondre la première lettre ou un chiffre tel que « 1 », « 3 » ou « bc ».

D'autres s'amusent avec du code de sorte que si vous essayez de copier et coller l'adresse pour la vérifier, le site copiera votre propre adresse dans le presse-papiers au lieu de la leur afin que vous pensiez qu'elle correspond.

ZenGo a suivi environ 20 000 $ de Bitcoin frauduleux en utilisant les adresses qu'ils ont examinées et pensent que ce n'est que la pointe de l'iceberg.

Quelques conseils pour protéger votre Bitcoin

Ils recommandent aux utilisateurs :

Ne cherchez pas les générateurs de code QR sur Google. Utilisez plutôt un site connu tel que votre explorateur de blocs préféré ou demandez à un ami de vous recommander.

Avant de partager le code QR sur votre site, envoyez une petite transaction test et voyez où cela aboutit.

Vous pouvez également utiliser un 'service de renseignement sur les menaces' tel qu'un module complémentaire de navigateur tel que Cryptonite de MetaCert. Ceux-ci afficheront une alerte sur les sites et adresses frauduleux. Cependant, ils ne sont pas une solution miracle et ne couvrent pas toutes les menaces.

Ouvre une voie à la fraude

Tal Be'ery de ZenGo écrit : Le code QR est un moyen très simple de partager des données. Cependant, du fait que les codes ne sont pas lisibles par l'homme, cela ouvre une voie à la fraude.

La fraude peut être du côté du destinataire lors de la génération comme indiqué ici, mais aussi du côté de l'expéditeur si l'expéditeur utilise un portefeuille malveillant ou même un bon portefeuille utilisant une implémentation QR malveillante.

Nous pensons que nous entendrons parler de plus de fraudes liées aux QR à l'avenir et que la communauté des crypto-monnaies doit résoudre ces problèmes et proposer de meilleures protections.

Les escroqueries QR sont bien connues dans la crypto-monnaie

Malwarebytes signalé en juillet sur les escrocs s'adressant à des personnes dans des parkings de deux villes des Pays-Bas, leur offrant 5 $ s'ils 'payaient leur parking' à l'aide d'un code QR et de leur application bancaire.

Le code QR leur a donné accès au compte bancaire de la victime qu'ils ont rapidement vidé.

En Chine, les escrocs sont connus pour remplacer les codes QR des systèmes de vélos en libre-service par les leurs.

Cela entraîne un grand volume de petites transactions, que les utilisateurs ignorent généralement lorsque le vélo ne se déverrouille pas, en supposant que la transaction n'a pas fonctionné, et passent au vélo suivant.

Au Canada, les escrocs ont ciblé les guichets automatiques Bitcoin avec des signes suggérant qu'ils sont hors service et suggérant que les utilisateurs peuvent plutôt effectuer des transactions en envoyant des fonds à leur portefeuille de code QR.

En public, il vaut toujours la peine de vérifier si un code QR a été placé sur un autre code QR existant.