चर्च में फ़िशिंग: चर्च समुदायों में क्यूआर कोड के छिपे हुए खतरे

मैं वहाँ सुबह के प्रवचन को सुनने के लिए बेंच पर बैठा था। यह एक सामान्य रविवार की सुबह थी, मैं और मेरी पत्नी बैठे हुए प्रवचन सुन रहे थे और मेरी बेटी मेरी बाहों से बाहर निकलने की कोशिश कर रही थी। जैसे ही प्रवचन समाप्त होने वाला था, मैंने कुर्सियों के पीछे टेप से चिपकाए गए क्यूआर कोड देखे। क्यूआर कोड का उपयोग उपस्थित लोगों को चर्च और उनके द्वारा पेश किए जाने वाले कार्यक्रमों के बारे में अधिक जानने के लिए किया जाता है।

आप चर्च और उसके सदस्यों के बारे में जान सकते हैं और चर्च को दान दे सकते हैं। आपको बस क्यूआर कोड को स्कैन करना है। एक साइबर सुरक्षा पेशेवर के रूप में... और एक ऐसा व्यक्ति जो हमेशा चिंतित रहता है, मैं कभी भी क्यूआर कोड को स्कैन नहीं करता, चाहे वह कहीं भी हो। मुझे पता है कि यह जीने का कोई तरीका नहीं है, लेकिन मुझे क्यूआर कोड स्कैन करते देखना पोप को अपशब्द कहते हुए सुनने जैसा है।

प्रार्थना में सिर झुकाते समय मेरे मन में एक विचार आया। क्या होगा अगर कोई चर्च के क्यूआर कोड को अपने दुर्भावनापूर्ण क्यूआर कोड से बदल दे और क्रेडिट कार्ड की जानकारी चुरा ले? तभी मैंने तय किया कि मैं चर्च को "हैक" करने जा रहा हूँ...सिद्धांततः कम से कम। "हे पिता, मुझे माफ़ कर दो, क्योंकि मैंने पाप किया है।"

क्यूआर कोड को समझना

क्यूआर कोड क्या हैं? क्यूआर कोड (क्विक रिस्पांस कोड का संक्षिप्त रूप) एक ग्रिड में सेट किए गए काले और सफेद वर्गों या पिक्सेल की एक सरणी है जो मशीन को पढ़ने के लिए डेटा संग्रहीत करता है। एक स्मार्टफोन या कैमरा क्यूआर कोड की पिक्सेल की विशिष्ट व्यवस्था में निहित जानकारी को जल्दी से संसाधित कर सकता है, जिससे यह डेटा को संग्रहीत और एक्सेस करने का एक सुविधाजनक तरीका बन जाता है। चर्च सेटिंग्स में आम उपयोग (जैसे, डिजिटल बुलेटिन, ऑनलाइन दान, इवेंट पंजीकरण)।

फ़िशिंग की मूल बातें

फ़िशिंग सोशल इंजीनियरिंग का एक रूप है जिसमें ईमेल, फ़ोन या टेक्स्ट के ज़रिए संचार करना शामिल है जिसमें उपयोगकर्ता से कार्रवाई करने का अनुरोध किया जाता है , जैसे कि किसी नकली वेबसाइट पर नेविगेट करना। फ़िशिंग और सोशल इंजीनियरिंग दोनों हमलों में, एकत्रित जानकारी का उपयोग संरक्षित खातों या डेटा तक अनधिकृत पहुँच प्राप्त करने के लिए किया जाता है।

क्यूआर कोड फ़िशिंग कैसे काम करता है

क्यूआर कोड फ़िशिंग किसी भी अन्य फ़िशिंग हमले की तरह ही काम करता है, लेकिन क्यूआर कोड अधिक सुविधाजनक होते हैं, और आमतौर पर देखने के लिए कोई लिंक नहीं होता है। वे अधिक बहुमुखी भी होते हैं और दुनिया भर में कहीं भी लागू किए जा सकते हैं। आप उन्हें अपने पसंदीदा टीवी शो, विज्ञापनों, समाचार स्टेशनों, व्यवसायों और चर्चों पर पा सकते हैं। चर्च समुदाय एक आकर्षक लक्ष्य क्यों होंगे - भरोसेमंद वातावरण?

अक्सर तकनीक के बारे में कम जानकारी रखने वाले लोग होते हैं और उच्च मूल्य के दान की संभावना होती है। इसके अलावा, सीटों के पीछे कोई भी सत्यापन नहीं होता है जो यह दर्शाता हो कि क्यूआर कोड वैध क्यूआर कोड हैं...जब तक कि आप स्कैन करके खुद पता न लगा लें। अगर यह परिदृश्य संभव था, तो साइबर अपराधी इसे कैसे हासिल कर सकता है? अपना कम्युनियन जूस और क्रैकर्स लें, बाद में कबूल करने के लिए बहुत कुछ होगा।

अपवित्र इरादा

यदि कोई साइबर अपराधी किसी चर्च पर क्यूआर कोड फ़िशिंग हमला करना चाहता है, तो सबसे पहले उन्हें यह पता लगाना होगा कि यह हमला किस रणनीति के तहत किया जाएगा। इस मामले में, हम क्यूआर कोड फ़िशिंग हमले का उपयोग करेंगे और क्रेडिट कार्ड की जानकारी चुराने का प्रयास करेंगे। सफल होने के लिए, उन्हें चर्च के बारे में शोध करना होगा और यह देखना होगा कि चर्च के सदस्य दान देते समय क्या करते हैं।

इस हमले के लिए, साइबर अपराधी हमले को अंजाम देने के लिए निम्नलिखित कार्य करेगा।

• चर्च को दान कैसे प्राप्त होता है, इसकी जांच करना।
• चर्च की वेबसाइट और दान के लिए हिस्से की क्लोनिंग करें।
• चर्च डोमेन के समान एक डोमेन खरीदें और उसे VPS वातावरण पर होस्ट करें।
• साइबर अपराधी को भुगतान निर्देशित करने के लिए कोड लिखें।
• परीक्षा।
• चर्च में जाएँ और सीटों के पीछे क्यूआर कोड लगाएँ।
• प्रतीक्षा करें और क्रेडिट कार्ड की जानकारी प्राप्त करें।
• नरक से बाहर निकलने के लिए पर्याप्त अनुग्रह खरीदें...

"सभी आशा त्याग दो, तुम यहाँ हो"

हमले के टोही हिस्से को पूरा करने के बाद, साइबर अपराधी चर्च की वेबसाइट का पता लगाएगा और हमले के लिए उसका क्लोन तैयार करेगा। इससे चर्च के सदस्यों को चर्च में क्यूआर कोड स्कैन करने के बाद आगे बढ़ने के लिए राजी करने में मदद मिलेगी। विचार यह है कि चर्च के सदस्यों को यह संदेह न हो कि वे जिस वेबसाइट पर जा रहे हैं वह दुर्भावनापूर्ण है। वास्तविक वेबसाइट की क्लोनिंग हमले में मदद करती है क्योंकि हम, मनुष्य के रूप में, शायद ही कभी URL भाग को देखते हैं।

हमला शुरू करने के लिए, हम "सोशल इंजीनियरिंग टूलकिट" या "SET" नामक एक उपकरण का उपयोग करते हैं। सोशल इंजीनियर टूलकिट (SET) को विशेष रूप से मानव तत्व के खिलाफ उन्नत हमले करने के लिए डिज़ाइन किया गया है। SET को रिलीज़ करने के लिए डिज़ाइन किया गया था https://www.social-engineer.org लॉन्च किया गया और यह जल्दी ही पैनेट्रेशन टेस्टर के शस्त्रागार में एक मानक उपकरण बन गया। SET को डेविड कैनेडी (ReL1K) ने लिखा था और समुदाय की बहुत मदद से, इसमें ऐसे हमले शामिल किए गए हैं जो पहले कभी किसी शोषण टूलसेट में नहीं देखे गए थे।

टूलकिट में निर्मित हमले, किसी व्यक्ति या संगठन के विरुद्ध लक्षित और केन्द्रित हमले के लिए डिजाइन किए गए हैं, जिनका उपयोग प्रवेश परीक्षण के दौरान किया जाता है।

SET का उपयोग करके किसी वेबसाइट को क्लोन करना आसान है। SET के साथ, वेबसाइट को क्लोन करने से पहले हमें कुछ विकल्पों से गुजरना होगा। एक बार जब हम SET चला लेते हैं, तो हमें निम्नलिखित विकल्पों की आवश्यकता होगी:

• सोशल-इंजीनियरिंग हमलों के लिए विकल्प 1 चुनें।

• वेबसाइट अटैक वेक्टर का चयन करें

• क्रेडेंशियल हार्वेस्टर अटैक विधि का चयन करें.

  
  

अगला मेनू आपसे पूछेगा कि आप पीड़ित के क्रेडेंशियल्स को हासिल करने के लिए कौन सी विधि चुनना चाहते हैं। इस उदाहरण में, हम चर्च की वेबसाइट की क्लोनिंग करेंगे, इसलिए विकल्प 2 चुनें।

SET आपसे आपका IP पता पूछेगा ताकि वह क्लोन की गई वेबसाइट से POST अनुरोधों को आपकी मशीन पर वापस भेज सके। एक बार जब आप SET को बता देते हैं कि आप किसी वेबसाइट को क्लोन करना चाहते हैं, तो वह आपसे उस साइट का URL पूछेगा जिसे आप क्लोन करना चाहते हैं।

एक बार URL दर्ज हो जाने के बाद, SET साइट को क्लोन कर देगा और साइट के सभी POST अनुरोधों को इस टर्मिनल पर वापस प्रदर्शित करेगा। अब क्लोन की गई साइट पर नेविगेट करने का समय है।

अब समय है QR कोड बनाने पर ध्यान केंद्रित करने का जो उपयोगकर्ताओं को हमारी नकली वेबसाइट पर रीडायरेक्ट करेगा। इंटरनेट पर कई वेबसाइट उपलब्ध हैं जो आपको QR कोड बनाने की अनुमति देती हैं, लेकिन सोशल इंजीनियरिंग टूलकिट हमारे लिए एक QR कोड भी बना सकता है। प्रक्रिया बहुत आसान है; हम बस विकल्प 9 का चयन करते हैं जो QRCode जनरेटर अटैक वेक्टर है।

SET एक URL मांगेगा जो उन उपयोगकर्ताओं को रीडायरेक्ट करेगा जो इस QR कोड को स्कैन करेंगे। हम URL को अपने IP पते के रूप में उपयोग करेंगे क्योंकि हमने इस पते पर श्रोता को सेट किया है।

ऐसे कई तरीके हैं जिनसे आप क्यूआर कोड वितरित कर सकते हैं, लेकिन हम इसे चर्च में एक बेंच के पीछे चिपका देंगे और बाद में क्षमा मांगेंगे।

चर्च में पापी की तरह पसीना बहाना

मैंने प्रार्थना की और क्यूआर कोड लगाया। बेशक, यह सिर्फ़ मेरे स्कैन करने के लिए था, और हम सिर्फ़ एक सिद्धांत का परीक्षण कर रहे थे। मुझे "पर्ली गेट्स" में प्रवेश करने के लिए और अधिक अंक की आवश्यकता नहीं है। मैंने एक गहरी साँस ली और क्यूआर कोड को स्कैन किया। मुझे मेरे द्वारा बनाई गई क्लोन वेबसाइट दिखाई गई।

इसके बाद मैंने 'दे' अनुभाग पर क्लिक किया, और चर्च को देने के लिए साइनअप हेतु इनपुट भाग सामने आ गया।

मैंने धीरे-धीरे सभी जानकारी अनुभागों में दर्ज की और सबमिट पर क्लिक किया। फिर मैंने यह देखने के लिए प्रतीक्षा की कि क्या कोई जानकारी कैप्चर हुई है। यह इस तथ्य के कारण संभव हुआ कि जब आप मेरे द्वारा बनाई गई नकली वेबसाइट तक पहुँचते हैं, तो यह पोर्ट 80 पर काम करता है जो सभी स्पष्ट पाठ संचार है।

कुछ पल इंतजार करने के बाद, मैंने अपने कंप्यूटर को चेक किया कि क्या कोई अनुरोध भेजा गया था। जब मैंने नीचे देखा, तो मैंने देखा कि क्रेडिट कार्ड से किए गए अनुरोध सफलतापूर्वक कैप्चर किए गए थे। हमला एक नकली क्यूआर कोड के साथ काम करता था और एक नकली वेबसाइट का क्लोन बनाता था।

पापी से संत तक

यह हमला मेरे लिए चिंताजनक था, लेकिन ऐसा इसलिए क्योंकि मैं एक साइबर सुरक्षा पेशेवर हूँ और जानता हूँ कि हमले कैसे काम करते हैं। चर्च के औसत सदस्य को पादरी द्वारा निर्देश दिया जाता है कि यदि आप देना चाहते हैं तो QR कोड को स्कैन करें, वे इस पर सवाल नहीं उठाएँगे। यहीं पर QR कोड की समस्या है। जब QR कोड की बात आती है तो चर्च में जाने वाला व्यक्ति क्या कर सकता है? मुझे आपको वादा किए गए देश में ले जाने की अनुमति दें।

• क्यूआर कोड स्कैन करने के बजाय देने के लिए ऐप का उपयोग करें।

• चर्च को दान देने के लिए वास्तविक वेबसाइट का उपयोग करें।

• यदि आप QR कोड स्कैन करते हैं, तो वेबसाइट के URL सेक्शन का विश्लेषण अवश्य करें। यह सही तरीके से लिखा होना चाहिए और इसमें आपको बेवकूफ़ बनाने के लिए अतिरिक्त शब्द या चिह्न नहीं होने चाहिए।

• यदि आप कोई QR कोड स्कैन करते हैं, तो हमेशा उन चीज़ों की जाँच करें जो संदिग्ध लगें। आपके ब्राउज़र को खोलते समय हमेशा “HTTPS” होना चाहिए और कभी-कभी कोई कंपनी लेन-देन के लिए किसी तीसरे पक्ष का उपयोग करती है, जैसे कि Stripe या PayPal।

क्यूआर कोड के निरंतर उपयोग में कई जोखिम हैं। और कुछ ऐसे हैं जो सुरक्षा से ज़्यादा हैं। लोग क्यूआर कोड द्वारा लाई गई आसान पहुँच का आनंद लेते हैं। लोगों को स्कैन करने और जो कुछ भी आता है उसका आनंद लेने के अलावा ज़्यादा कुछ करने की ज़रूरत नहीं है। क्या होगा अगर जो कुछ भी आता है वह आपके बैंक खाते की कीमत पर हो जो कुछ समय के लिए आपके जीवन को बर्बाद कर सकता है? जैसा कि यीशु ने एक बार कहा था, "मैं तुम्हें भेड़ियों के बीच भेड़ों के रूप में भेजता हूँ।"