Phishing sur les bancs : les dangers cachés des codes QR dans les communautés religieuses

J'étais là, assis sur les bancs, en train d'écouter le sermon du matin. C'était juste un dimanche matin ordinaire avec ma femme et moi assis et écoutant et ma fille essayant de se dégager de mes bras. Alors que le sermon touchait à sa fin, j'ai remarqué les codes QR qui étaient collés au dossier des chaises. Les codes QR sont utilisés par les participants pour en savoir plus sur l'église et les programmes qu'elle propose.

Vous pouvez en apprendre davantage sur l'église et ses membres et donner à l'église. Il vous suffit de scanner le code QR. En tant que professionnel de la cybersécurité… et toujours paranoïaque, je ne scanne jamais un code QR, peu importe où il se trouve. Je sais que ce n'est pas une façon de vivre, mais me voir scanner un code QR, c'est comme entendre le pape prononcer un gros mot.

Une idée m'est venue alors que nous inclinions la tête en prière. Et si quelqu'un échangeait le code QR de l'église avec son propre code QR malveillant et volait les informations de carte de crédit ? C’est à ce moment-là que j’ai décidé de « pirater » l’église… en théorie du moins. "Père, pardonne-moi, car j'ai péché."

Comprendre les codes QR

Que sont les codes QR ? Un code QR (abréviation de Quick Response code) est un tableau de carrés ou de pixels noirs et blancs disposés dans une grille qui stocke les données à lire par une machine. Un smartphone ou un appareil photo peut traiter rapidement les informations contenues dans la disposition spécifique des pixels d'un code QR, ce qui en fait un moyen pratique de stocker et d'accéder aux données. Utilisations courantes dans les églises (par exemple, bulletins numériques, dons en ligne, inscription à des événements).

Bases du phishing

Le phishing est une forme d'ingénierie sociale qui implique une communication par e-mail, téléphone ou SMS demandant à un utilisateur d'agir , comme accéder à un faux site Web. Dans les attaques de phishing et d'ingénierie sociale, les informations collectées sont utilisées afin d'obtenir un accès non autorisé à des comptes ou des données protégés.

Comment fonctionne le phishing par code QR

Le phishing par code QR fonctionne comme n'importe quelle autre attaque de phishing, mais les codes QR sont plus pratiques et il n'y a généralement pas de lien à consulter. Ils sont également plus polyvalents et peuvent être mis en œuvre partout dans le monde. Vous pouvez les trouver dans vos émissions de télévision, publicités, chaînes d’information, entreprises et églises préférées. Pourquoi les communautés ecclésiales seraient-elles une cible attrayante – un environnement de confiance ?

Il y a souvent des individus moins férus de technologie et un potentiel de dons de grande valeur. Il n'y a également aucune forme de validation à l'arrière des bancs indiquant que les codes QR sont les codes QR légitimes… À moins que vous n'en scanniez un et que vous le découvriez par vous-même. Si ce scénario était plausible, comment un cybercriminel y parviendrait-il ? Prenez votre jus de communion et vos crackers, il y aura beaucoup de choses à avouer plus tard.

Intention impie

Si un cybercriminel souhaitait mener une attaque de phishing par code QR contre une église, la première chose à faire est de procéder à une reconnaissance et de déterminer quelle serait la tactique. Dans ce cas, nous utiliserons une attaque de phishing par code QR et tenterons de voler les informations de carte de crédit. Pour réussir, ils devraient faire des recherches sur l'église et sur ce que font les membres de l'église lorsqu'ils font des dons.

Pour cette attaque, le cybercriminel fera ce qui suit pour orchestrer l'attaque.

• Reconnaissance sur la façon dont l'église reçoit les dons.
• Clonez le site Web de l'église et la partie à donner.
• Achetez un domaine similaire au domaine de l'église et hébergez-le sur un environnement VPS.
• Écrivez du code pour diriger les paiements vers le cybercriminel.
• Test.
• Allez à l’église et placez des codes QR au dos des bancs.
• Attendez et capturez les informations de la carte de crédit.
• Achetez assez de grâce pour sortir de l'ENFER….

« Abandonnez tout espoir, vous qui entrez ici »

Après avoir terminé la partie reconnaissance de l'attaque, le cybercriminel localisait le site Web de l'église et le clonait pour l'attaque. Cela aidera à persuader les membres de l’église d’aller plus loin après avoir scanné le code QR à l’église. L’idée est d’empêcher les membres de l’église de soupçonner que le site Web qu’ils visitent est malveillant. Le clonage du site Web lui-même contribue à l'attaque car nous, en tant qu'humains, regardons rarement la partie URL.

Pour lancer l’attaque, nous nous tournons vers un outil connu sous le nom de « Social Engineering Toolkit » ou « SET ». Le Social Engineer Toolkit (SET) est spécialement conçu pour effectuer des attaques avancées contre l’élément humain. SET a été conçu pour être publié avec le https://www.social-engineer.org lancement et est rapidement devenu un outil standard dans l'arsenal d'un testeur d'intrusion. SET a été écrit par David Kennedy (ReL1K) et avec l'aide de la communauté, il a incorporé des attaques jamais vues auparavant dans un ensemble d'outils d'exploitation.

Les attaques intégrées à la boîte à outils sont conçues pour être des attaques ciblées et ciblées contre une personne ou une organisation utilisée lors d'un test d'intrusion.

Cloner un site Web à l’aide de SET est simple. Avec SET, nous devons passer par quelques options avant de pouvoir cloner le site Web. Une fois SET exécuté, nous aurons besoin des options suivantes :

• Sélectionnez l’option 1 pour les attaques d’ingénierie sociale.

• Sélectionnez les vecteurs d'attaque de sites Web

• Sélectionnez la méthode d’attaque du Credential Harvester.

  
  

Le menu suivant vous demandera quelle méthode vous souhaitez choisir pour récolter les informations d'identification d'une victime. Dans cet exemple, nous allons cloner le site Web de l'église, choisissez donc l'option 2.

SET vous demandera votre adresse IP afin de pouvoir renvoyer les requêtes POST du site Web cloné à votre machine. Une fois que vous avez indiqué à SET que vous souhaitez cloner un site Web, il vous demandera alors l'URL du site que vous souhaitez cloner.

Une fois l'URL saisie, SET clonera le site et affichera toutes les requêtes POST du site sur ce terminal. Il est maintenant temps de naviguer vers le site cloné.

Il est maintenant temps de se concentrer sur la création du QR Code qui redirigerait les utilisateurs vers notre faux site internet. Il existe de nombreux sites Web disponibles sur Internet qui vous permettent de créer des codes QR, mais le Social Engineering Toolkit peut également générer un code QR pour nous. Le processus est très simple; nous sélectionnons simplement l'option 9 qui est le vecteur d'attaque du générateur QRCode .

SET demandera une URL qui redirigera les utilisateurs qui scanneront ce QR Code. Nous utiliserons l'URL comme adresse IP car nous avons configuré l'écouteur à cette adresse.

Il existe de nombreuses façons de transmettre un code QR, mais nous allons le coller au dos d'un banc d'église et demander pardon plus tard.

Transpirer comme un pécheur à l’église

J'ai dit une prière alors que nous étions assis sur les bancs et j'ai placé le code QR. Bien sûr, c’était uniquement pour moi de scanner, et nous testions simplement une théorie. Je n’ai pas besoin de plus de marques contre moi pour entrer dans les « portes de Perles ». J'ai pris une profonde inspiration et j'ai scanné le code QR. On m'a présenté le site Web cloné que j'ai créé.

J'ai ensuite cliqué sur la section donner, et cela a fait apparaître la partie de saisie pour l'inscription à donner à l'église.

J'ai lentement saisi toutes les informations dans les sections et j'ai cliqué sur Soumettre. J'ai ensuite attendu de voir si des informations étaient capturées. Cela a été rendu possible grâce au fait que lorsque vous accédez au faux site Web que j'ai créé, il fonctionne sur le port 80 qui est uniquement constitué de communications en texte clair.

Après avoir attendu quelques instants, j'ai vérifié mon ordinateur pour voir si des demandes avaient été envoyées. En baissant les yeux, j'ai pu constater que les demandes effectuées avec la carte de crédit avaient été capturées avec succès. L'attaque a fonctionné avec un faux code QR et a cloné un faux site Web.

Du pécheur au saint

L’attaque m’a alarmé, mais c’est parce que je suis un professionnel de la cybersécurité et que je sais comment fonctionnent les attaques. Pour le membre d'église moyen, à qui le pasteur a demandé de scanner le code QR s'il voulait donner, il ne le remettrait pas en question. C’est là que réside le problème des codes QR. Que peut faire une personne qui va à l’église lorsqu’il s’agit de codes QR ? Permettez-moi de vous montrer la terre promise.

• Utilisez l'application pour donner au lieu de scanner les codes QR.

• Utilisez le site Web actuel pour donner à l'église.

• Si vous scannez un code QR, assurez-vous d'analyser la section URL du site Web. Il doit être orthographié correctement, sans mots ni symboles supplémentaires utilisés pour vous tromper.

• Si vous scannez un code QR, recherchez toujours les éléments qui semblent suspects. Votre navigateur doit toujours avoir un « HTTPS » lorsqu'il est ouvert et parfois une entreprise fera appel à un tiers pour la transaction, comme Stripe ou PayPal.

L’utilisation continue des codes QR comporte de nombreux risques. et certains qui dépassent la sécurité. Les gens apprécient l’accès facile qu’apporte un code QR. Les gens n’ont pas besoin de faire grand-chose d’autre que de scanner et de profiter de ce qui va suivre. Et si la suite des choses se faisait au détriment de votre compte bancaire et risquait de ruiner votre vie pendant un certain temps ? Comme Jésus l’a dit un jour : « Je vous envoie brebis parmi les loups. »