Phishing in den Kirchenbänken: Die versteckten Gefahren von QR-Codes in Kirchengemeinschaften

Da saß ich nun in der Kirchenbank und hörte der Morgenpredigt zu. Es war ein ganz normaler Sonntagmorgen, an dem meine Frau und ich dasaßen und zuhörten, während meine Tochter versuchte, sich aus meinen Armen zu winden. Als die Predigt sich dem Ende näherte, bemerkte ich die QR-Codes, die an den Stuhllehnen angebracht waren. Die QR-Codes werden verwendet, damit die Besucher mehr über die Kirche und die angebotenen Programme erfahren können.

Sie können mehr über die Kirche und ihre Mitglieder erfahren und der Kirche etwas spenden. Sie müssen nur den QR-Code scannen. Als Cybersicherheitsexperte … und jemand, der immer paranoid ist, scanne ich nie einen QR-Code, egal wo er ist. Ich weiß, dass man so nicht leben kann, aber wenn man mir beim Scannen eines QR-Codes zusieht, ist das, als würde man den Papst ein Schimpfwort sagen hören.

Als wir unsere Köpfe zum Gebet neigten, kam mir eine Idee. Was wäre, wenn jemand den QR-Code der Kirche durch seinen eigenen bösartigen QR-Code ersetzen und Kreditkarteninformationen stehlen würde? Da beschloss ich, die Kirche zu „hacken“ … zumindest theoretisch. „Vater, vergib mir, denn ich habe gesündigt.“

QR-Codes verstehen

Was sind QR-Codes? Ein QR-Code (kurz für Quick Response Code) ist eine Anordnung aus schwarzen und weißen Quadraten oder Pixeln in einem Raster, in dem Daten gespeichert sind, die von einer Maschine gelesen werden können. Ein Smartphone oder eine Kamera kann die in der spezifischen Anordnung der Pixel eines QR-Codes enthaltenen Informationen schnell verarbeiten, was ihn zu einer praktischen Möglichkeit macht, Daten zu speichern und darauf zuzugreifen. Häufige Verwendungen in kirchlichen Umgebungen (z. B. digitale Bulletins, Online-Spenden, Veranstaltungsregistrierung).

Phishing-Grundlagen

Phishing ist eine Form des Social Engineering, bei der der Benutzer per E-Mail, Telefon oder SMS aufgefordert wird, eine Aktion auszuführen , z. B. eine gefälschte Website aufzurufen. Sowohl bei Phishing- als auch bei Social-Engineering-Angriffen werden die gesammelten Informationen verwendet, um unbefugten Zugriff auf geschützte Konten oder Daten zu erhalten.

So funktioniert QR-Code-Phishing

QR-Code-Phishing funktioniert wie jeder andere Phishing-Angriff, aber QR-Codes sind praktischer und es gibt normalerweise keinen Link, den man sich ansehen muss. Sie sind außerdem vielseitiger und können überall auf der Welt eingesetzt werden. Sie finden sie in Ihren Lieblingsfernsehsendungen, Werbespots, Nachrichtensendern, Unternehmen und Kirchen. Warum sollten Kirchengemeinden ein attraktives Ziel sein – vertrauensvolles Umfeld?

Es gibt oft weniger technisch versierte Personen und ein Potenzial für hochkarätige Spenden. Außerdem gibt es auf der Rückseite der Kirchenbänke keine Form der Validierung, die darauf hinweist, dass es sich bei den QR-Codes um echte QR-Codes handelt … Es sei denn, Sie scannen einen und finden es selbst heraus. Wenn dieses Szenario plausibel wäre, wie würde es ein Cyberkrimineller erreichen? Trinken Sie Ihren Kommunionssaft und Ihre Cracker, es wird später eine Menge zu beichten geben.

Unheilige Absicht

Wenn ein Cyberkrimineller einen QR-Code-Phishing-Angriff auf eine Kirche durchführen wollte, müsste er zunächst Aufklärung betreiben und herausfinden, welche Taktik er anwenden würde. In diesem Fall verwenden wir einen QR-Code-Phishing-Angriff und versuchen, Kreditkarteninformationen zu stehlen. Um erfolgreich zu sein, müssten sie die Kirche und die Aktivitäten der Kirchenmitglieder beim Spenden recherchieren.

Bei diesem Angriff geht der Cyberkriminelle wie folgt vor, um den Angriff zu orchestrieren.

• Aufklärung über die Art und Weise, wie die Kirche Spenden erhält.
• Klonen Sie die Website der Kirche und den Bereich zum Spenden.
• Kaufen Sie eine Domäne, die der Kirchendomäne ähnelt, und hosten Sie sie in einer VPS-Umgebung.
• Schreiben Sie Code, um die Zahlungen an den Cyberkriminellen weiterzuleiten.
• Prüfen.
• Gehen Sie in die Kirche und platzieren Sie QR-Codes auf der Rückseite der Kirchenbänke.
• Warten Sie und erfassen Sie die Kreditkarteninformationen.
• Kaufen Sie genug Gnade, um aus der HÖLLE zu kommen …

„Lasst, die ihr hier eintretet, alle Hoffnung fahren“

Nach Abschluss des Aufklärungsteils des Angriffs würde der Cyberkriminelle die Website der Kirche finden und sie für den Angriff klonen. Dies wird dazu beitragen, die Kirchenmitglieder zu überzeugen, weiterzumachen, nachdem sie den QR-Code in der Kirche gescannt haben. Die Idee besteht darin, die Kirchenmitglieder davon abzuhalten, zu vermuten, dass die von ihnen besuchte Website bösartig ist. Das Klonen der tatsächlichen Website hilft bei dem Angriff, da wir als Menschen selten auf den URL-Teil schauen.

Um den Angriff zu starten, verwenden wir ein Tool namens „Social Engineering Toolkit“ oder „SET“. Das Social Engineer Toolkit (SET) ist speziell für fortgeschrittene Angriffe gegen den menschlichen Faktor konzipiert. SET wurde für die Veröffentlichung mit dem https://www.social-engineer.org Veröffentlichung und ist schnell zu einem Standardwerkzeug im Arsenal eines Penetrationstesters geworden. SET wurde von David Kennedy (ReL1K) geschrieben und hat mit viel Hilfe der Community Angriffe integriert, die es in einem Exploit-Toolset noch nie zuvor gegeben hat.

Die im Toolkit integrierten Angriffe sind als gezielte und fokussierte Angriffe auf eine Person oder Organisation konzipiert, die während eines Penetrationstests eingesetzt werden.

Das Klonen einer Website mit SET ist einfach. Mit SET müssen wir einige Optionen durchgehen, bevor wir die Website klonen können. Sobald SET ausgeführt wird, benötigen wir die folgenden Optionen:

• Wählen Sie Option 1 für Social-Engineering-Angriffe.

• Website-Angriffsvektoren auswählen

• Wählen Sie die Angriffsmethode „Credential Harvester“ aus.

  
  

Im nächsten Menü werden Sie gefragt, welche Methode Sie wählen möchten, um die Anmeldeinformationen eines Opfers abzugreifen. In diesem Beispiel klonen wir die Website der Kirche, wählen Sie also Option 2.

SET fragt Sie nach Ihrer IP-Adresse, damit es die POST-Anfragen von der geklonten Website an Ihren Computer zurücksenden kann. Sobald Sie SET mitteilen, dass Sie eine Website klonen möchten, werden Sie nach der URL der Site gefragt, die Sie klonen möchten.

Sobald die URL eingegeben ist, klont SET die Site und zeigt alle POST-Anfragen der Site auf diesem Terminal an. Jetzt ist es an der Zeit, zur geklonten Site zu navigieren.

Jetzt ist es an der Zeit, sich auf die Erstellung des QR-Codes zu konzentrieren, der die Benutzer auf unsere gefälschte Website umleitet. Im Internet gibt es viele Websites, auf denen Sie QR-Codes erstellen können, aber das Social Engineering Toolkit kann auch einen QR-Code für uns generieren. Der Vorgang ist sehr einfach; wir wählen einfach Option 9 aus, den Angriffsvektor des QRCode-Generators .

SET fordert eine URL an, die die Benutzer umleitet, die diesen QR-Code scannen. Wir verwenden die URL als unsere IP-Adresse, da wir den Listener unter dieser Adresse eingerichtet haben.

Es gibt viele Möglichkeiten, einen QR-Code zu übermitteln, aber wir werden ihn auf die Rückseite einer Kirchenbank kleben und später um Vergebung bitten.

Schwitzen wie ein Sünder in der Kirche

Ich sprach ein Gebet, als wir in den Kirchenbänken saßen, und platzierte den QR-Code. Natürlich war er nur für mich zum Scannen bestimmt, und wir testeten nur eine Theorie. Ich brauche nicht noch mehr Punkte gegen mich, um durch die „Perlenpforte“ zu gelangen. Ich holte tief Luft und scannte den QR-Code. Mir wurde die geklonte Website angezeigt, die ich erstellt hatte.

Ich habe dann auf den Abschnitt „Spenden“ geklickt und der Eingabebereich für die Anmeldung zu einer Spende an die Kirche wurde angezeigt.

Ich habe langsam alle Informationen in die Abschnitte eingegeben und auf „Senden“ geklickt. Dann habe ich gewartet, um zu sehen, ob irgendwelche Informationen erfasst wurden. Dies war möglich, weil die von mir erstellte gefälschte Website auf Port 80 läuft, auf dem ausschließlich Klartextkommunikation stattfindet.

Nachdem ich nur ein paar Augenblicke gewartet hatte, überprüfte ich meinen Computer, um zu sehen, ob irgendwelche Anfragen gesendet worden waren. Als ich nach unten schaute, konnte ich sehen, dass die Anfragen, die mit der Kreditkarte getätigt worden waren, erfolgreich abgefangen worden waren. Der Angriff funktionierte mit einem gefälschten QR-Code und klonte eine gefälschte Website.

Vom Sünder zum Heiligen

Der Angriff hat mich beunruhigt, aber das liegt daran, dass ich ein Cybersicherheitsexperte bin und weiß, wie Angriffe funktionieren. Ein durchschnittliches Kirchenmitglied würde keine Fragen stellen, wenn es vom Pfarrer angewiesen würde, den QR-Code zu scannen, wenn es etwas spenden möchte. Und genau darin besteht das Problem mit QR-Codes. Was kann ein Kirchenbesucher tun, wenn es um QR-Codes geht? Lassen Sie mich Ihnen das gelobte Land zeigen.

• Verwenden Sie zum Spenden die App, anstatt QR-Codes zu scannen.

• Nutzen Sie die aktuelle Website, um der Kirche zu spenden.

• Wenn Sie einen QR-Code scannen, analysieren Sie unbedingt den URL-Abschnitt der Website. Er sollte richtig geschrieben sein und keine zusätzlichen Wörter oder Symbole enthalten, die Sie täuschen könnten.

• Wenn Sie einen QR-Code scannen, achten Sie immer auf verdächtige Elemente. Ihr Browser sollte beim Öffnen immer über „HTTPS“ verfügen und manchmal verwendet ein Unternehmen für die Transaktion einen Drittanbieter wie Stripe oder PayPal.

Die fortgesetzte Verwendung von QR-Codes birgt viele Risiken, von denen einige die Sicherheit überwiegen. Die Leute genießen den einfachen Zugriff, den ein QR-Code bietet. Sie müssen nicht viel tun, außer scannen und sich auf das freuen, was als Nächstes kommt. Was aber, wenn das, was als Nächstes kommt, auf Kosten Ihres Bankkontos geht, was Ihr Leben für eine Weile ruinieren könnte? Wie Jesus einst sagte: „Ich sende euch wie Schafe unter die Wölfe.“