Увидев QR-код, вряд ли вы сможете сказать, какая запись в ней зашифрована. Именно это используют мошенники, чтобы украсть ваши биткоины.
Когда разработчики кошелька ZenGo хотели добавить в него поддержку QR-кода, они решили сначала провести исследование по безопасности этой технологии.
Они пришли к тревожному выводу, хотя это не стало для них неожиданностью.
QR-код – это графическое изображение, которое пользователи могут отсканировать, чтобы сообщить смартфону, на какой кошелёк нужно отправлять биткоин или какую-либо другую криптовалюту.
QR-код считается простым, быстрым и безопасным способом передачи адреса при совершении криптовалютной транзакции между двумя устройствами. Его удобно использовать в точках продаж, в то время как копирование и вставка адреса, а также набор символов на клавиатуре стали бы лишней проблемой во время тех или иных сделок.
Подделать QR код? Легко!
Разработчики ZenGo использовали сайт, найденный в Google, чтобы сгенерировать QR-код для адреса 18Vm8AvDr9Bkvij6UfVR7MerCyrz3KS3h4
Однако вместо этого они получили QR-код, который отправил средства на мошеннический адрес: 17bCMmLmWayKGCH678cHQETJFjhBR44Hjx
Мошенники становятся креативными
Разработчики ZenGo также заметили, что некоторые мошенники используют дополнительные хитрости.
Некоторые сайты поддельных QR-кодов делают так, чтобы при проверке адрес выглядел как правильный, судя по первым буквам или цифрам.
Другие сайты, обнаружив вашу попытку скопировать адрес в буфер обмена и проверить его, подсунут вам верный адрес, а не мошеннический.
Разработчики ZenGo отследили $20 000 в биткоине, которые такими же способами попали в кошельки мошенников, и они считают, что это всего лишь верхушка айсберга.
Несколько советов для защиты ваших средств
Разработчики ZenGo рекомендуют пользователям:
- Не ищите «генераторы QR-кодов» в поисковиках. Используйте известные обозреватели блоков, или сайты, которые вам порекомендовали надёжные люди.
- Прежде чем установить QR-код на своём сайте, отправьте небольшую тестовую транзакцию на этот адрес.
- Вы также можете использовать надстройки для браузера, которые могут анализировать угрозы, – например, такие как Cryptonite. Они предупредят вас о мошеннических сайтах и адресах (однако от всех угроз защититься таким образом невозможно).
QR коды – пространство для мошенничества?
Разработчики ZenGo говорят:
«Мошенничество может быть на стороне получателя при генерации кода, как показано в данном случае. Однако оно может оказаться и на стороне отправителя, если у него мошеннический кошелёк или мошенническая реализация функции QR-кода на хорошем кошельке».
«В будущем мы ещё столкнёмся с проблемой мошенничества, связанного с QR-кодами. Сообщество криптовалют должно решить эту проблему и предложить более эффективные способы защиты от мошенников».
Распространённые виды QR мошенничества
В июле были сообщения о мошенниках, которые подходили к людям в нидерландских автостоянках и предлагали им по $5, если они «заплатят за парковку» через QR-код и банковское приложение.
Как только QR-код предоставлял мошенникам доступ к банковским аккаунтам тех автовладельцев, деньги с них быстро исчезали.
В Канаде мошенники «работают» около биткоин-банкоматов с наклейками, извещающими об их неисправности. Они предлагают пользователям совершать транзакции с использованием QR-кода и заставляют их отправлять средства на мошеннические кошельки.
В общественных местах всегда стоит проверить, не наклеен ли мошеннический QR-код поверх настоящего.