Phishing en las bancas: los peligros ocultos de los códigos QR en las comunidades eclesiales

Allí estaba yo sentado en los bancos escuchando el sermón de la mañana. Era simplemente una mañana de domingo normal, con mi esposa y yo sentados y escuchando y mi hija tratando de zafarse de mis brazos. Cuando el sermón llegó a su fin, noté los códigos QR que estaban pegados con cinta adhesiva en el respaldo de las sillas. Los códigos QR se utilizan para que los asistentes aprendan más sobre la iglesia y los programas que ofrecen.

Puede aprender sobre la iglesia y sus miembros y donar a la iglesia. Todo lo que necesitas hacer es escanear el código QR. Como profesional de la seguridad cibernética... y alguien que siempre está paranoico, nunca escaneo un código QR, sin importar dónde esté. Sé que no es forma de vivir, pero verme escanear un código QR es como escuchar al Papa decir una mala palabra.

Se me ocurrió una idea mientras inclinábamos la cabeza en oración. ¿Qué pasaría si alguien cambiara el código QR de la iglesia por su propio código QR malicioso y robara información de la tarjeta de crédito? Fue entonces cuando decidí que iba a “piratear” la iglesia… al menos en teoría. “Padre, perdóname porque he pecado”.

Comprender los códigos QR

¿Qué son los códigos QR? Un código QR (abreviatura de código de respuesta rápida) es una matriz de cuadrados o píxeles en blanco y negro dispuestos en una cuadrícula que almacena datos para que los lea una máquina. Un teléfono inteligente o una cámara pueden procesar rápidamente la información contenida en la disposición específica de píxeles de un código QR, lo que lo convierte en una forma conveniente de almacenar y acceder a datos. Usos comunes en entornos de iglesias (p. ej., boletines digitales, donaciones en línea, registro de eventos).

Conceptos básicos del phishing

El phishing es una forma de ingeniería social que implica la comunicación por correo electrónico, teléfono o mensaje de texto solicitando al usuario que realice una acción , como navegar a un sitio web falso. Tanto en los ataques de phishing como de ingeniería social, la información recopilada se utiliza para obtener acceso no autorizado a cuentas o datos protegidos.

Cómo funciona el phishing con códigos QR

El phishing con códigos QR funciona como cualquier otro ataque de phishing, pero los códigos QR son más convenientes y, por lo general, no hay un enlace para mirar. También son más versátiles y pueden implementarse en cualquier parte del mundo. Puede encontrarlos en sus programas de televisión, comerciales, estaciones de noticias, empresas e iglesias favoritos. ¿Por qué las comunidades eclesiales serían un objetivo atractivo: un ambiente de confianza?

A menudo hay personas menos conocedoras de la tecnología y un potencial para donaciones de alto valor. Tampoco hay ningún tipo de validación en la parte posterior de los bancos que indique que los códigos QR son códigos QR legítimos... a menos que escanees uno y lo descubras por ti mismo. Si este escenario fuera plausible, ¿cómo lo lograría un ciberdelincuente? Toma tu jugo de comunión y galletas saladas, habrá mucho que confesar después.

Intención impía

Si un ciberdelincuente quisiera llevar a cabo un ataque de phishing con código QR en una iglesia, lo primero que tendría que hacer es un reconocimiento y cuál sería la táctica. En este caso, utilizaremos un ataque de phishing con código QR e intentaremos robar información de la tarjeta de crédito. Para tener éxito, necesitarían investigar la iglesia y lo que hacen los miembros de la iglesia cuando hacen donaciones.

Para este ataque, el ciberdelincuente hará lo siguiente para orquestar el ataque.

• Reconocimiento de cómo la iglesia recibe donaciones.
• Clona el sitio web de la iglesia y la porción para donaciones.
• Compre un dominio que sea similar al dominio de la iglesia y alójelo en un entorno VPS.
• Escribe código para dirigir los pagos al ciberdelincuente.
• Prueba.
• Asista a la iglesia y coloque códigos QR en la parte trasera de los bancos.
• Espere y capture la información de la tarjeta de crédito.
• Compra suficiente gracia para salir del INFIERNO….

“Abandonad toda esperanza, los que entráis aquí”

Después de concluir la parte de reconocimiento del ataque, el ciberdelincuente localizaría el sitio web de la iglesia y lo clonaría para realizar el ataque. Esto ayudará a persuadir a los miembros de la iglesia a continuar después de escanear el código QR en la iglesia. La idea es evitar que los miembros de la iglesia sospechen que el sitio web que visitan es malicioso. Clonar el sitio web real ayuda en el ataque porque nosotros, como humanos, rara vez miramos la parte de la URL.

Para comenzar el ataque, buscamos una herramienta conocida como "Kit de herramientas de ingeniería social" o "SET". El Social Engineer Toolkit (SET) está diseñado específicamente para realizar ataques avanzados contra el elemento humano. SET fue diseñado para ser lanzado con el https://www.social-engineer.org lanzamiento y rápidamente se ha convertido en una herramienta estándar en el arsenal de un probador de penetración. SET fue escrito por David Kennedy (ReL1K) y con mucha ayuda de la comunidad, incorporó ataques nunca antes vistos en un conjunto de herramientas de explotación.

Los ataques integrados en el conjunto de herramientas están diseñados para ser ataques dirigidos y enfocados contra una persona u organización utilizados durante una prueba de penetración.

Clonar un sitio web usando SET es fácil. Con SET, necesitamos revisar algunas opciones antes de poder clonar el sitio web. Una vez que tengamos SET ejecutándose, necesitaremos las siguientes opciones:

• Seleccione la opción 1 para Ataques de Ingeniería Social.

• Seleccionar vectores de ataque a sitios web

• Seleccione el método de ataque de recolección de credenciales.

  
  

El siguiente menú le preguntará qué método desea elegir para recopilar las credenciales de una víctima. En este ejemplo, clonaremos el sitio web de la iglesia, así que elija la opción 2.

SET le pedirá su dirección IP para poder enviar las solicitudes POST del sitio web clonado a su máquina. Una vez que le diga a SET que desea clonar un sitio web, le pedirá la URL del sitio que desea clonar.

Una vez que se ingresa la URL, SET clonará el sitio y mostrará todas las solicitudes POST del sitio en esta terminal. Ahora es el momento de navegar al sitio clonado.

Ahora es el momento de centrarse en la creación del código QR que redirigiría a los usuarios a nuestro sitio web falso. Hay muchos sitios web disponibles en Internet que le permiten crear códigos QR, pero Social Engineering Toolkit también puede generar un código QR para nosotros. El proceso es muy facil; simplemente seleccionamos la opción 9, que es el vector de ataque del generador de códigos QR .

SET solicitará una URL que redirigirá a los usuarios que escanearán este código QR. Usaremos la URL como nuestra dirección IP porque hemos configurado el oyente en esta dirección.

Hay muchas maneras de entregar un código QR, pero lo pegaremos en la parte trasera de un banco de la iglesia y pediremos perdón más tarde.

Sudando como un pecador en la iglesia

Dije una oración mientras estábamos sentados en los bancos y coloqué el código QR. Por supuesto, era sólo para que yo escaneara y solo estábamos probando una teoría. No necesito más puntos en mi contra para entrar por las “Puertas Perladas”. Respiré hondo y escaneé el código QR. Se me presentó el sitio web clonado que creé.

Luego hice clic en la sección de donaciones y apareció la parte de entrada para registrarse para donar a la iglesia.

Lentamente ingresé toda la información en las secciones e hice clic en enviar. Luego esperé para ver si se capturaba alguna información. Esto fue posible gracias al hecho de que cuando accedes al sitio web falso que creé, opera en el puerto 80, que son todas comunicaciones de texto sin cifrar.

Después de esperar unos momentos, revisé mi computadora para ver si se había enviado alguna solicitud. Mientras miraba hacia abajo, pude ver que las solicitudes que se habían realizado con la tarjeta de crédito se habían capturado con éxito. El ataque funcionó con un código QR falso y clonó un sitio web falso.

De pecador a santo

El ataque me alarmó, pero eso se debe a que soy un profesional de la seguridad cibernética y sé cómo funcionan los ataques. Para el miembro promedio de la iglesia, al recibir instrucciones del pastor de escanear el código QR si quisiera donar, no lo cuestionarían. Ahí es donde radica el problema con los códigos QR. ¿Qué puede hacer una persona que asiste a la iglesia cuando se trata de códigos QR? Permítanme mostrarles la tierra prometida.

• Utilice la aplicación para donar en lugar de escanear códigos QR.

• Utilice el sitio web real para donar a la iglesia.

• Si escanea un código QR, asegúrese de analizar la sección URL del sitio web. Debe estar escrito correctamente sin palabras ni símbolos adicionales que puedan engañarlo.

• Si escanea un código QR, compruebe siempre si hay elementos que parezcan sospechosos. Su navegador siempre debe tener un "HTTPS" cuando esté abierto y, a veces, una empresa utilizará un tercero para la transacción, como Stripe o PayPal.

El uso continuado de códigos QR tiene muchos riesgos. y algunos que superan a la seguridad. La gente disfruta del fácil acceso que brinda un código QR. La gente no necesita hacer mucho más que escanear y disfrutar de lo que viene a continuación. ¿Qué pasa si lo que viene a continuación se produce a expensas de su cuenta bancaria y puede arruinarle la vida por un tiempo? Como dijo Jesús una vez: “Yo os envío, ovejas en medio de lobos”.