Posts

Beware of QR - Cuidado con los QR

avatar of @hosgug
25
@hosgug
·
·
0 views
·
5 min read

Fuente

At the beginning of this month, I published a story related to a scam to a neighboring investor in the city of Buenos Aires.

This person contacted an intermediary and operator for the purchase and sale of cryptocurrencies, set a date and time, and met in a coworking office in downtown Buenos Aires. The investor wanted to buy $ 100,000 in USDT.

The transaction was carried out peer-to-peer but the seller requested that the transaction be carried out from the trust wallet that allowed transferring through a QR code, the buyer did not have that application but downloaded it and installed it on his phone moments before the transaction was made effective, but since he did not know how to handle it, he provided the device to the seller so that he could transfer assets, it is suspected that at that time the seller made a copy of the access code. Consulted some security specialists, they mention that currently there is a technique called QRLjacking that consists of creating a QR that when scanned, a malicious code enters the phone that is responsible for searching, copying, and transmitting the keys of the asset applications, whether these wallets, bank accounts or others that handle balances of fiat or crypto money.

Returning to the scam in question, the victim was able to verify the correct balance in his new wallet, so he withdrew with the security of having made a correct transaction, however, a few minutes later when he re-entered the wallet, he saw to his horror that the USDT had disappeared.

Later, doing a follow-up on social networks, he found the real name of the scammer and also some statements from him where he said that he worked for Lemon Cash, a very fashionable application in the country that offers various services related to cryptocurrencies such as buying and selling, exchange, investments, wallet and even a credit card that allows you to load balances with bitcoins and then use it to purchase goods and services. Those responsible for Lemon Cash clarified that the operation was not carried out through their platform but by P2P and denied any participation of the scammer in the company and, like the victim, they too initiated a lawsuit.

From all this mess we can draw some conclusions and teachings that, although they are known, it never hurts to repeat them: 1) find out from reliable sources the background of the seller when the transaction will be carried out from person to person, 2) use a known wallet and not carry out the operation, mainly when it is for a significant amount, with some that are not known, 3) be attentive to scams and deceptions by reading regularly about the cases that are published, 4) never carry out an operation for a significant amount with a person who it is not known, it is preferable to try with small amounts in at least a couple of opportunities, 5) have a good antivirus installed on the phone.

As I said at that time, this issue of malicious codes that enter from the scan of a QR is worrying, it is a methodology that has been widely disseminated in recent times and is used not only to access information but also to pay for goods and services from funds available in banks and other companies, something coveted by the always present, intelligent, ingenious and ambitious thieves.

A principios de este mes publiqué una noticia relacionada con una estafa a un inversor vecino de la ciudad de Buenos Aires.

Esta persona se contactó con un intermediario y operador de compra y venta de criptomonedas, fijaron una fecha y hora y se encontraron en una oficina de coworking en el microcentro porteño. El inversor quería comprar u$s 100.000 en USDT.

La transacción se realizó peer-to-peer pero el vendedor le solicitó que la transacción se realizara desde la billetera trust wallet que permitía transferir mediante un código QR, el comprador no poseía esa aplicación pero la bajó e instaló en su teléfono instantes previos a la efectivización de la transacción pero como no sabía manejarla le facilitó el aparato al vendedor para que éste hiciera el traspaso de activos, se sospecha que en ese momento el vendedor hizo una copia de la clave de acceso. Consultados algunos especialistas en seguridad, mencionan que en la actualidad existe una técnica denominada QRLjacking que consiste en crear un QR que al ser escaneado ingresa al teléfono un código malicioso que se encarga de buscar, copiar y trasmitir las claves de las aplicaciones de activos, sean estas billeteras, cuentas bancarias u otras que manejen saldos de dinero fiat o cripto.

Volviendo a la estafa en cuestión, el damnificado pudo verificar el saldo correcto en su nueva billetera por lo que se retiró con la seguridad de haber hecho una transacción correcta, sin embargo, algunos minutos después al volver a entrar a la billetera comprobó horrorizado que los USDT habían desaparecido.

Posteriormente haciendo un seguimiento de las redes sociales encontró el nombre real del estafador y también algunas aseveraciones de éste donde decía que trabajaba para Lemon Cash, una aplicación muy de moda en el país que ofrece varios servicios relacionados con criptomonedas tales como compra-venta, intercambio, inversiones, billetera y hasta una tarjeta de crédito que permite cargar saldos con bitcoins y luego utilizarla en compra de bienes y servicios. Los responsables de Lemon Cash aclararon que la operación no se realizó mediante su plataforma sino por P2P y negaron cualquier participación del estafador en la empresa y, al igual que el damnificado, también ellos le iniciaron un juicio.

De todo este entuerto podemos sacar algunas conclusiones y enseñanzas que si bien son conocidas, nunca está demás repetirlas: 1) averiguar en fuentes confiables los antecedentes del vendedor cuando la transacción se realizará de persona a persona, 2) utilizar una billetera conocida y no realizar la operación, principalmente cuando es por un monto importante, con alguna que no es conocida, 3) estar atento a las estafas y engaños leyendo regularmente sobre los casos que se publican, 4) nunca realizar una operación por un monto significativo con una persona que no se conozca, es preferible probar con montos chicos en al menos un par de oportunidades, 5) tener un buen antivirus instalado en el teléfono.

Como dije en aquella oportunidad, es preocupante este tema de los códigos maliciosos que ingresan desde el escaneo de un QR, es una metodología que se ha difundido mucho en los últimos tiempos y se utiliza no solo para acceder a información sino también para pagar bienes y servicios desde fondos disponibles en bancos y otras empresas, algo codiciado por los siempre presente, inteligentes, ingeniosos y ambiciosos amigos de lo ajeno.

Las fotografías son de mi propiedad excepto las que menciono la fuente. The photographs are my property except those mentioned by the source.

Héctor Gugliermo @hosgug

Posted Using LeoFinance Beta