Phishing nos bancos: os perigos ocultos dos códigos QR nas comunidades religiosas

Lá estava eu, sentado nos bancos, ouvindo o sermão da manhã. Era apenas uma manhã normal de domingo, com minha esposa e eu sentados e ouvindo e minha filha tentando se livrar de meus braços. À medida que o sermão chegava ao fim, notei os códigos QR que estavam colados nas costas das cadeiras. Os códigos QR são usados para que os participantes aprendam mais sobre a igreja e os programas que ela oferece.

Você pode aprender sobre a igreja e seus membros e doar para a igreja. Tudo que você precisa fazer é escanear o código QR. Como profissional de segurança cibernética… e sempre paranóico, nunca leio um código QR, não importa onde ele esteja. Eu sei que não é possível viver, mas ver-me escanear um código QR é como ouvir o papa dizer um palavrão.

Uma ideia me ocorreu quando inclinamos a cabeça em oração. E se alguém trocasse o código QR da igreja pelo seu próprio código QR malicioso e roubasse informações de cartão de crédito? Foi então que decidi que iria “hackear” a igreja... pelo menos em teoria. “Pai, perdoe-me, pois pequei.”

Compreendendo os códigos QR

O que são códigos QR? Um código QR (abreviação de código de resposta rápida) é uma matriz de quadrados ou pixels pretos e brancos definidos em uma grade que armazena dados para uma máquina ler. Um smartphone ou câmera pode processar rapidamente as informações contidas no arranjo específico de pixels de um código QR, tornando-o uma maneira conveniente de armazenar e acessar dados. Usos comuns em ambientes religiosos (por exemplo, boletins digitais, doações on-line, registro de eventos).

Noções básicas de phishing

Phishing é uma forma de engenharia social que envolve comunicação por e-mail, telefone ou mensagem de texto solicitando que o usuário tome uma ação , como navegar até um site falso. Tanto nos ataques de phishing como nos ataques de engenharia social, as informações recolhidas são utilizadas para obter acesso não autorizado a contas ou dados protegidos.

Como funciona o phishing por código QR

O phishing de código QR funciona como qualquer outro ataque de phishing, mas os códigos QR são mais convenientes e geralmente não há um link para consultar. Eles também são mais versáteis e podem ser implementados em qualquer lugar do mundo. Você pode encontrá-los em seus programas de TV, comerciais, estações de notícias, empresas e igrejas favoritos. Por que as comunidades religiosas seriam um alvo atraente – um ambiente de confiança?

Freqüentemente, há indivíduos menos experientes em tecnologia e com potencial para doações de alto valor. Também não há nenhuma forma de validação na parte de trás dos bancos que indique que os códigos QR são os códigos QR legítimos… A menos que você escaneie um e descubra por si mesmo. Se este cenário fosse plausível, como um cibercriminoso o alcançaria? Tome seu suco de comunhão e biscoitos, haverá muito para confessar mais tarde.

Intenção Profana

Se um cibercriminoso quisesse realizar um ataque de phishing com código QR em uma igreja, o primeiro item que ele precisaria fazer seria o reconhecimento e qual seria a tática. Nesse caso, usaremos um ataque de phishing por código QR e tentaremos roubar informações de cartão de crédito. Para terem sucesso, eles precisariam pesquisar a igreja e o que os membros da igreja fazem quando fazem doações.

Para este ataque, o cibercriminoso fará o seguinte para orquestrar o ataque.

• Reconhecimento de como a igreja recebe as doações.
• Clone o site da igreja e a porção para doação.
• Compre um domínio semelhante ao domínio da igreja e hospede-o em um ambiente VPS.
• Escreva o código para direcionar os pagamentos ao cibercriminoso.
• Teste.
• Frequente a igreja e coloque códigos QR nas costas dos bancos.
• Aguarde e capture as informações do cartão de crédito.
• Compre graça suficiente para sair do INFERNO….

"Abandonar toda a esperança vós que entrais aqui"

Depois de concluir a parte de reconhecimento do ataque, o cibercriminoso localizaria o site da igreja e o clonaria para o ataque. Isto ajudará a persuadir os membros da igreja a prosseguir depois de digitalizarem o código QR na igreja. A ideia é evitar que os membros da igreja suspeitem que o site que visitam é malicioso. Clonar o site real ajuda no ataque porque nós, como humanos, raramente olhamos a parte do URL.

Para iniciar o ataque, recorremos a uma ferramenta conhecida como “Kit de ferramentas de engenharia social” ou “SET”. O Social Engineer Toolkit (SET) foi projetado especificamente para realizar ataques avançados contra o elemento humano. SET foi projetado para ser lançado com o https://www.social-engineer.org foi lançado e rapidamente se tornou uma ferramenta padrão no arsenal de um testador de penetração. SET foi escrito por David Kennedy (ReL1K) e com muita ajuda da comunidade, incorporou ataques nunca antes vistos em um conjunto de ferramentas de exploração.

Os ataques integrados ao kit de ferramentas são projetados para serem ataques direcionados e focados contra uma pessoa ou organização usada durante um teste de penetração.

Clonar um site usando SET é fácil. Com SET, precisamos passar por algumas opções antes de podermos clonar o site. Assim que tivermos o SET em execução, precisaremos das seguintes opções:

• Selecione a opção 1 para ataques de engenharia social.

• Selecione vetores de ataque ao site

• Selecione Método de ataque do coletor de credenciais.

  
  

O próximo menu perguntará qual método você deseja escolher para coletar as credenciais da vítima. Neste exemplo estaremos clonando o site da igreja, então escolha a opção 2.

SET solicitará seu endereço IP para que possa enviar as solicitações POST do site clonado de volta para sua máquina. Depois de informar ao SET que deseja clonar um site, ele solicitará a URL do site que deseja clonar.

Assim que o URL for inserido, SET clonará o site e exibirá todas as solicitações POST do site de volta a este terminal. Agora é hora de navegar até o site clonado.

Agora é hora de focar na criação do QR Code que redirecionaria os usuários para o nosso site falso. Existem muitos sites disponíveis na Internet que permitem criar QR Codes, mas o Social Engineering Toolkit também pode gerar um QR Code para nós. O processo é muito fácil; apenas selecionamos a opção 9 que é o Vetor de Ataque do Gerador de QRCode .

O SET solicitará uma URL que redirecionará os usuários que irão escanear este QR Code. Usaremos o URL como nosso endereço IP porque configuramos o ouvinte neste endereço.

Há muitas maneiras de entregar um QR Code, mas vamos colá-lo nas costas de um banco da igreja e pedir perdão mais tarde.

Suando como um pecador na igreja

Fiz uma oração enquanto estávamos sentados nos bancos e coloquei o código QR. Era só para eu fazer a varredura, é claro, e estávamos apenas testando uma teoria. Não preciso de mais pontos contra mim para entrar nos “Portões Perolados”. Respirei fundo e escaneei o código QR. Fui apresentado ao site clonado que criei.

Em seguida, cliquei na seção de doações e apareceu a parte de entrada para a inscrição ser doada à igreja.

Insirai lentamente todas as informações nas seções e cliquei em enviar. Esperei então para ver se alguma informação foi capturada. Isso foi possível porque quando você acessa o site falso que criei, ele opera na porta 80, que é toda comunicação em texto não criptografado.

Depois de esperar alguns instantes, verifiquei meu computador para ver se alguma solicitação havia sido enviada. Ao olhar para baixo, pude ver que as solicitações feitas com o cartão de crédito foram capturadas com sucesso. O ataque funcionou com um código QR falso e clonou um site falso.

De pecador a santo

O ataque foi alarmante para mim, mas é porque sou um profissional de segurança cibernética e sei como funcionam os ataques. Para o membro médio da igreja, sendo instruído pelo pastor a escanear o código QR se quisesse doar, eles não questionariam. É aí que reside o problema com os códigos QR. O que uma pessoa que frequenta a igreja pode fazer quando se trata de códigos QR? Permita-me mostrar-lhe a terra prometida.

• Use o aplicativo para doar em vez de escanear códigos QR.

• Use o site real para doar à igreja.

• Se você digitalizar um código QR, analise a seção URL do site. Deve ser escrito corretamente, sem palavras ou símbolos extras usados para enganá-lo.

• Se você escanear um código QR, sempre verifique se há itens que pareçam suspeitos. Seu navegador deve sempre ter um “HTTPS” quando aberto e às vezes uma empresa utilizará terceiros para a transação, como Stripe ou PayPal.

O uso continuado de códigos QR apresenta muitos riscos. e alguns que superam a segurança. As pessoas gostam do acesso fácil que um código QR oferece. As pessoas não precisam fazer muito além de digitalizar e aproveitar o que vem a seguir. E se o que vier a seguir acontecer às custas da sua conta bancária, o que pode arruinar a sua vida por um tempo? Como Jesus disse uma vez: “Eu vos envio, ovelhas entre lobos”.