그곳에서 나는 신도석에 앉아 아침 설교를 듣고 있었습니다. 아내와 나는 앉아서 듣고 있고 딸은 내 팔에서 빠져 나오려고 애쓰는 평범한 일요일 아침이었습니다. 설교가 끝날 무렵, 나는 의자 뒤쪽에 테이프로 붙어 있는 QR 코드를 발견했습니다. QR 코드는 참석자들이 교회와 그들이 제공하는 프로그램에 대해 더 자세히 알아볼 수 있도록 사용됩니다.
교회와 성도들에 대해 알아보고 교회에 헌금할 수 있습니다. QR 코드를 스캔하기만 하면 됩니다. 사이버 보안 전문가이자 항상 편집증적인 사람으로서 저는 QR 코드가 어디에 있든 절대 스캔하지 않습니다. 살 길이 없다는 건 알지만 QR코드를 스캔하는 모습은 마치 교황이 저주하는 말을 듣는 것과 같습니다.
고개를 숙이고 기도하던 중에 한 가지 생각이 떠올랐습니다. 누군가가 교회의 QR코드를 자신의 악성 QR코드로 바꿔 신용카드 정보를 훔쳤다면 어떻게 될까요? 그때 나는 이론상으로는 교회를 “해킹”하기로 결정했습니다. “아버지, 제가 죄를 지었으니 용서해 주십시오.”
QR 코드란 무엇입니까? QR 코드(빠른 응답 코드의 약자) 는 기계가 읽을 수 있는 데이터를 저장하는 그리드에 설정된 흑백 사각형 또는 픽셀의 배열입니다. 스마트폰이나 카메라는 QR 코드의 특정 픽셀 배열에 포함된 정보를 신속하게 처리할 수 있으므로 데이터를 저장하고 액세스하는 편리한 방법이 됩니다. 교회 환경에서 일반적으로 사용됩니다(예: 디지털 게시판, 온라인 헌금, 이벤트 등록).
피싱은 이메일, 전화 또는 문자를 통해 사용자에게 가짜 웹사이트로 이동하는 등의 조치를 취하도록 요청하는 통신과 관련된 사회 공학의 한 형태 입니다. 피싱 공격과 사회 공학 공격 모두에서 수집된 정보는 보호된 계정이나 데이터에 대한 무단 액세스를 얻기 위해 사용됩니다.
QR 코드 피싱은 다른 피싱 공격과 동일하게 작동하지만 QR 코드가 더 편리하고 일반적으로 볼 수 있는 링크가 없습니다. 또한 더욱 다양하며 전 세계 어디에서나 구현할 수 있습니다. 좋아하는 TV 프로그램, 광고, 뉴스 방송국, 기업 및 교회에서 찾을 수 있습니다. 왜 교회 공동체는 신뢰하는 환경이라는 매력적인 표적이 될까요?
기술에 정통한 개인이 적고 고가치 기부 가능성이 있는 경우가 많습니다. 또한 좌석 뒷면에는 QR 코드가 합법적인 QR 코드임을 나타내는 어떤 형태의 검증도 없습니다….스캔하여 직접 알아내지 않는 한. 이 시나리오가 그럴듯하다면 사이버범죄자는 어떻게 이를 달성할 수 있을까요? 성찬식 주스와 크래커를 드십시오. 나중에 고백할 것이 많을 것입니다.
사이버 범죄자가 교회에 대해 QR 코드 피싱 공격을 수행하려는 경우 가장 먼저 해야 할 일은 정찰과 전술입니다. 이 경우 QR코드 피싱 공격을 이용하여 신용카드 정보를 탈취하려고 시도합니다. 성공하려면 교회에 대해 조사하고 교인들이 기부할 때 무엇을 하는지 조사해야 합니다.
이 공격의 경우 사이버 범죄자는 공격을 조율하기 위해 다음을 수행합니다.
공격의 정찰 부분을 마친 후 사이버 범죄자는 교회 웹 사이트를 찾아 공격을 위해 복제합니다. 이는 교회 성도들이 교회에서 QR 코드를 스캔한 후 계속 진행하도록 설득하는 데 도움이 될 것입니다. 교인들이 자신이 방문하는 웹사이트가 악성이라는 의심을 하지 않도록 하기 위한 목적이다. 실제 웹사이트를 복제하는 것은 인간으로서 URL 부분을 거의 보지 않기 때문에 공격에 도움이 됩니다.
공격을 시작하려면 "소셜 엔지니어링 툴킷" 또는 "SET"이라는 도구를 사용합니다. SET(Social Engineer Toolkit)는 인간 요소에 대한 지능형 공격을 수행하도록 특별히 설계되었습니다. SET는 다음과 함께 출시되도록 설계되었습니다.
툴킷에 내장된 공격은 침투 테스트 중에 사용되는 개인이나 조직에 대한 표적화 및 집중 공격을 위해 설계되었습니다.
SET를 사용하여 웹사이트를 복제하는 것은 쉽습니다. SET를 사용하면 웹 사이트를 복제하기 전에 몇 가지 옵션을 거쳐야 합니다. SET을 실행한 후에는 다음 옵션이 필요합니다.
사회 공학 공격에 대해 옵션 1을 선택합니다.
웹사이트 공격 벡터 선택
자격 증명 수집기 공격 방법을 선택합니다.
다음 메뉴에서는 피해자의 자격 증명을 수집하기 위해 어떤 방법을 선택할 것인지 묻습니다. 이 예에서는 교회 웹사이트를 복제할 것이므로 옵션 2를 선택합니다.
SET는 복제된 웹 사이트의 POST 요청을 컴퓨터로 다시 보낼 수 있도록 IP 주소를 묻습니다. SET에 웹 사이트를 복제하고 싶다고 말하면 복제하려는 사이트의 URL을 묻는 메시지가 표시됩니다.
URL이 입력되면 SET은 사이트를 복제하고 사이트의 모든 POST 요청을 이 터미널에 다시 표시합니다. 이제 복제된 사이트로 이동할 차례입니다.
이제 사용자를 가짜 웹사이트로 리디렉션하는 QR 코드 생성에 집중할 시간입니다. 인터넷에는 QR 코드를 생성할 수 있는 웹사이트가 많이 있지만 사회 공학 툴킷을 사용하여 QR 코드를 생성할 수도 있습니다. 과정은 매우 쉽습니다. QRCode Generator Attack Vector 인 옵션 9를 선택합니다.
SET는 이 QR 코드를 스캔할 사용자를 리디렉션할 URL을 요청합니다. 이 주소에 리스너를 설정했기 때문에 URL을 IP 주소로 사용하겠습니다.
QR 코드를 전달할 수 있는 방법은 여러 가지가 있지만, 나중에 교회 신도석 뒤쪽에 붙이고 용서를 구할 예정입니다.
나는 좌석에 앉아 QR코드를 찍으면서 기도를 했다. 물론 스캔하는 것은 나만을 위한 것이었고 우리는 단지 이론을 테스트하고 있었습니다. 나는 "진주 문"에 들어가기 위해 나에게 더 많은 점수가 필요하지 않습니다. 심호흡을 하고 QR코드를 스캔했습니다. 내가 만든 복제된 웹사이트가 표시되었습니다.
그런 다음 기부 섹션을 클릭하면 교회에 기부할 가입에 대한 입력 부분이 표시됩니다.
모든 정보를 섹션에 천천히 입력하고 제출을 클릭했습니다. 그런 다음 정보가 캡처되었는지 기다렸습니다. 이는 제가 만든 가짜 웹사이트에 접속하면 모두 일반 텍스트 통신인 포트 80에서 작동한다는 사실 때문에 가능했습니다.
잠시 기다린 후 컴퓨터에서 요청이 전송되었는지 확인했습니다. 아래를 내려다보니 신용카드로 접수된 요청이 성공적으로 접수된 것을 확인할 수 있었습니다. 이 공격은 가짜 QR 코드를 사용하여 가짜 웹사이트를 복제했습니다.
그 공격은 나에게 놀라운 일이었지만 그것은 내가 사이버 보안 전문가이고 공격이 어떻게 이루어지는지 알고 있기 때문입니다. 일반 교인들은 목사님이 헌금하고 싶다면 QR 코드를 스캔하라는 지시를 받았을 때 질문하지 않았습니다. QR코드의 문제는 바로 여기에 있습니다. 교회에 다니는 사람은 QR코드가 나오면 어떻게 할 수 있나요? 약속의 땅으로 당신을 안내해 드리겠습니다.
QR 코드를 계속 사용하면 많은 위험이 따릅니다. 그리고 일부는 보안보다 중요합니다. 사람들은 QR 코드가 제공하는 쉬운 액세스를 즐깁니다. 사람들은 다음에 나올 내용을 스캔하고 즐기는 것 외에는 많은 일을 할 필요가 없습니다. 다음에 오는 일이 당신의 인생을 잠시 망칠 수 있는 은행 계좌를 희생시키면서 오는 것이라면 어떻게 될까요? 예수께서는 한때 “내가 너희를 보내노니 양은 늑대 가운데로다”라고 말씀하셨습니다.