Фишинг на скамьях: скрытые опасности QR-кодов в церковных сообществах

Там я сидел на скамьях и слушал утреннюю проповедь. Это было обычное воскресное утро: мы с женой сидели и слушали, а моя дочь пыталась выскользнуть из моих рук. Когда проповедь подошла к концу, я заметил QR-коды, приклеенные к спинкам стульев. QR-коды используются посетителями, чтобы узнать больше о церкви и программах, которые она предлагает.

Вы можете узнать о церкви и ее членах и сделать пожертвование для церкви. Все, что вам нужно сделать, это отсканировать QR-код. Как специалист по кибербезопасности… и человек, который всегда параноик, я никогда не сканирую QR-код, где бы он ни находился. Я знаю, что так жить невозможно, но видеть, как я сканирую QR-код, все равно что слышать, как Папа произносит ругательство.

Идея пришла мне в голову, когда мы склонили головы в молитве. Что, если кто-то подменит церковный QR-код своим собственным вредоносным QR-кодом и украдет данные кредитной карты? Именно тогда я решил, что собираюсь «взломать» церковь… во всяком случае, теоретически. «Отче, прости меня, ибо я согрешил».

Понимание QR-кодов

Что такое QR-коды? QR-код (сокращение от кода быстрого ответа) — это массив черно-белых квадратов или пикселей, расположенных в сетке, в которой хранятся данные для чтения машиной. Смартфон или камера могут быстро обрабатывать информацию, содержащуюся в определенном расположении пикселей QR-кода, что делает его удобным способом хранения данных и доступа к ним. Обычное использование в церковных условиях (например, цифровые бюллетени, онлайн-пожертвования, регистрация мероприятий).

Основы фишинга

Фишинг — это форма социальной инженерии, которая предполагает общение по электронной почте, телефону или текстовым сообщениям с просьбой к пользователю выполнить действие , например перейти на поддельный веб-сайт. Как при фишинговых атаках, так и при атаках социальной инженерии собранная информация используется для получения несанкционированного доступа к защищенным учетным записям или данным.

Как работает фишинг QR-кода

Фишинг с QR-кодом работает так же, как и любая другая фишинговая атака, но QR-коды более удобны, и обычно нет ссылки, на которую можно было бы посмотреть. Они также более универсальны и могут быть реализованы в любой точке мира. Вы можете найти их в своих любимых телешоу, рекламных роликах, новостных станциях, на предприятиях и в церквях. Почему церковные сообщества могут быть привлекательной целью – доверительной средой?

Часто есть менее технически подкованные люди и потенциал для крупных пожертвований. На обратной стороне скамеек также нет никакой формы подтверждения, указывающей на то, что QR-коды являются законными QR-кодами… Если только вы не отсканируете один и не узнаете сами. Если бы этот сценарий был правдоподобным, как бы его достиг киберпреступник? Выпейте сока и сухариков для причастия, потом придется во многом исповедоваться.

Нечестивое намерение

Если киберпреступник захочет провести фишинговую атаку с использованием QR-кода на церковь, первое, что ему нужно будет сделать, — это провести разведку и определить, какой будет тактика. В этом случае мы воспользуемся фишинговой атакой с использованием QR-кода и попытаемся украсть данные кредитной карты. Чтобы добиться успеха, им нужно будет изучить церковь и то, что делают ее члены, когда делают пожертвования.

В рамках этой атаки киберпреступник предпримет следующие действия для организации атаки.

• Разведка о том, как церковь получает пожертвования.
• Клонируйте веб-сайт церкви и раздел для пожертвований.
• Купите домен, похожий на церковный, и разместите его в среде VPS.
• Напишите код для направления платежей киберпреступнику.
• Тест.
• Посещайте церковь и размещайте QR-коды на спинках скамеек.
• Подождите и запишите информацию о кредитной карте.
• Купите достаточно благодати, чтобы выбраться из АД….

«Оставьте всякую надежду, входящие сюда»

После завершения разведывательной части атаки киберпреступник должен был найти веб-сайт церкви и клонировать его для атаки. Это поможет убедить членов церкви действовать дальше после того, как они отсканируют QR-код в церкви. Идея состоит в том, чтобы не дать членам церкви заподозрить, что веб-сайт, который они посещают, является вредоносным. Клонирование реального веб-сайта помогает в атаке, поскольку мы, люди, редко обращаем внимание на URL-адрес.

Чтобы начать атаку, мы обращаемся к инструменту, известному как «Инструментарий социальной инженерии» или «SET». Набор инструментов социального инженера (SET) специально разработан для проведения сложных атак против человеческого фактора. SET был разработан для выпуска вместе с https://www.social-engineer.org был запущен и быстро стал стандартным инструментом в арсенале тестера на проникновение. SET был написан Дэвидом Кеннеди (ReL1K), и при большой помощи сообщества он включил в себя атаки, никогда ранее не встречавшиеся в наборе инструментов для эксплуатации.

Атаки, встроенные в набор инструментов, предназначены для целевых и целенаправленных атак на человека или организацию, используемых во время теста на проникновение.

Клонировать веб-сайт с помощью SET легко. С SET нам нужно пройти несколько вариантов, прежде чем мы сможем клонировать веб-сайт. После запуска SET нам понадобятся следующие параметры:

• Выберите вариант 1 для атак социальной инженерии.

• Выбор векторов атак на веб-сайт

• Выберите метод атаки Credential Harvester.

  
  

В следующем меню вас спросят, какой метод вы хотите выбрать для сбора учетных данных жертвы. В этом примере мы будем клонировать веб-сайт церкви, поэтому выберите вариант 2.

SET запросит у вас ваш IP-адрес, чтобы он мог отправлять запросы POST с клонированного веб-сайта обратно на ваш компьютер. Как только вы сообщите SET, что хотите клонировать веб-сайт, он запросит у вас URL-адрес сайта, который вы хотите клонировать.

После ввода URL-адреса SET клонирует сайт и отобразит все POST-запросы сайта обратно на этот терминал. Пришло время перейти на клонированный сайт.

Теперь пришло время сосредоточиться на создании QR-кода, который будет перенаправлять пользователей на наш поддельный сайт. В Интернете доступно множество веб-сайтов, которые позволяют создавать QR-коды, но набор инструментов социальной инженерии также может сгенерировать для нас QR-код. Этот процесс очень прост; мы просто выбираем опцию 9 , которая является вектором атаки генератора QRCode .

SET запросит URL-адрес, который будет перенаправлять пользователей, которые будут сканировать этот QR-код. Мы будем использовать URL-адрес в качестве нашего IP-адреса, поскольку мы настроили прослушиватель по этому адресу.

Есть много способов доставить QR-код, но мы собираемся приклеить его на спинку скамьи в церкви и попросить прощения позже.

Потею как грешник в церкви

Я произнес молитву, пока мы сидели на скамьях, и поместил QR-код. Разумеется, это было предназначено только для сканирования, а мы просто проверяли теорию. Мне не нужно больше оценок против меня, чтобы попасть в «Жемчужные ворота». Я глубоко вздохнул и просканировал QR-код. Мне подарили клонированный сайт, который я создал.

Затем я нажал на раздел «Отдать», и появилась часть ввода для регистрации, которую нужно передать церкви.

Я медленно ввел всю информацию в разделы и нажал «Отправить». Затем я подождал, чтобы увидеть, была ли получена какая-либо информация. Это стало возможным благодаря тому, что когда вы заходите на созданный мной фальшивый веб-сайт, он работает через порт 80, который обеспечивает всю текстовую передачу данных.

Подождав всего несколько минут, я проверил свой компьютер, чтобы узнать, были ли отправлены какие-либо запросы. Посмотрев вниз, я увидел, что запросы, сделанные с помощью кредитной карты, были успешно зафиксированы. Атака работала с использованием поддельного QR-кода и клонировала поддельный веб-сайт.

От грешника к святому

Эта атака меня встревожила, но это потому, что я специалист по кибербезопасности и знаю, как работают атаки. Среднестатистический член церкви, получивший указание пастора отсканировать QR-код, если вы хотите пожертвовать, не стал бы сомневаться в этом. Вот в чем проблема с QR-кодами. Что может сделать человек, посещающий церковь, когда дело касается QR-кодов? Позвольте мне показать вам землю обетованную.

• Используйте приложение для дарения вместо сканирования QR-кодов.

• Используйте настоящий веб-сайт для пожертвований в церковь.

• Если вы сканируете QR-код, обязательно проанализируйте раздел URL-адреса веб-сайта. Оно должно быть написано правильно, без лишних слов или символов, которые могут вас обмануть.

• Если вы сканируете QR-код, всегда проверяйте наличие предметов, которые выглядят подозрительно. Ваш браузер всегда должен иметь «HTTPS», когда он открыт, и иногда компания использует для транзакции третью сторону, например Stripe или PayPal.

Продолжение использования QR-кодов сопряжено со многими рисками. и некоторые из них перевешивают безопасность. Людям нравится легкий доступ, который дает QR-код. Людям не нужно ничего делать, кроме как сканировать и наслаждаться тем, что будет дальше. Что, если то, что произойдет дальше, произойдет за счет вашего банковского счета, что может на какое-то время разрушить вашу жизнь? Как однажды сказал Иисус: «Я посылаю вас, овец среди волков».