Там я сидел на скамьях и слушал утреннюю проповедь. Это было обычное воскресное утро: мы с женой сидели и слушали, а моя дочь пыталась выскользнуть из моих рук. Когда проповедь подошла к концу, я заметил QR-коды, приклеенные к спинкам стульев. QR-коды используются посетителями, чтобы узнать больше о церкви и программах, которые она предлагает.  Вы можете узнать о церкви и ее членах и сделать пожертвование для церкви. Все, что вам нужно сделать, это отсканировать QR-код. Как специалист по кибербезопасности… и человек, который всегда параноик, я никогда не сканирую QR-код, где бы он ни находился. Я знаю, что так жить невозможно, но видеть, как я сканирую QR-код, все равно что слышать, как Папа произносит ругательство.  Идея пришла мне в голову, когда мы склонили головы в молитве. Что, если кто-то подменит церковный QR-код своим собственным вредоносным QR-кодом и украдет данные кредитной карты? Именно тогда я решил, что собираюсь «взломать» церковь… во всяком случае, теоретически.  «Отче, прости меня, ибо я согрешил».  Понимание QR-кодов  Что такое QR-коды? QR-код (сокращение от кода быстрого ответа) — это   Смартфон или камера могут быстро обрабатывать информацию, содержащуюся в определенном расположении пикселей QR-кода, что делает его удобным способом хранения данных и доступа к ним. Обычное использование в церковных условиях (например, цифровые бюллетени, онлайн-пожертвования, регистрация мероприятий). массив черно-белых квадратов или пикселей, расположенных в сетке, в которой хранятся данные для чтения машиной.  Основы фишинга  Фишинг — это   , например перейти на поддельный веб-сайт. Как при фишинговых атаках, так и при атаках социальной инженерии собранная информация используется для получения несанкционированного доступа к защищенным учетным записям или данным. форма социальной инженерии, которая предполагает общение по электронной почте, телефону или текстовым сообщениям с просьбой к пользователю выполнить действие  Как работает фишинг QR-кода  Фишинг с QR-кодом работает так же, как и любая другая фишинговая атака, но QR-коды более удобны, и обычно нет ссылки, на которую можно было бы посмотреть. Они также более универсальны и могут быть реализованы в любой точке мира. Вы можете найти их в своих любимых телешоу, рекламных роликах, новостных станциях, на предприятиях и в церквях. Почему церковные сообщества могут быть привлекательной целью – доверительной средой?  Часто есть менее технически подкованные люди и потенциал для крупных пожертвований. На обратной стороне скамеек также нет никакой формы подтверждения, указывающей на то, что QR-коды являются законными QR-кодами… Если только вы не отсканируете один и не узнаете сами. Если бы этот сценарий был правдоподобным, как бы его достиг киберпреступник? Выпейте сока и сухариков для причастия, потом придется во многом исповедоваться.  Нечестивое намерение  Если киберпреступник захочет провести фишинговую атаку с использованием QR-кода на церковь, первое, что ему нужно будет сделать, — это провести разведку и определить, какой будет тактика. В этом случае мы воспользуемся фишинговой атакой с использованием QR-кода и попытаемся украсть данные кредитной карты. Чтобы добиться успеха, им нужно будет изучить церковь и то, что делают ее члены, когда делают пожертвования.  В рамках этой атаки киберпреступник предпримет следующие действия для организации атаки.  Разведка о том, как церковь получает пожертвования.  Клонируйте веб-сайт церкви и раздел для пожертвований.  Купите домен, похожий на церковный, и разместите его в среде VPS.  Напишите код для направления платежей киберпреступнику.  Тест.  Посещайте церковь и размещайте QR-коды на спинках скамеек.  Подождите и запишите информацию о кредитной карте.  Купите достаточно благодати, чтобы выбраться из АД….  «Оставьте всякую надежду, входящие сюда»   После завершения разведывательной части атаки киберпреступник должен был найти веб-сайт церкви и клонировать его для атаки. Это поможет убедить членов церкви действовать дальше после того, как они отсканируют QR-код в церкви. Идея состоит в том, чтобы не дать членам церкви заподозрить, что веб-сайт, который они посещают, является вредоносным. Клонирование реального веб-сайта помогает в атаке, поскольку мы, люди, редко обращаем внимание на URL-адрес.  Чтобы начать атаку, мы обращаемся к инструменту, известному как «Инструментарий социальной инженерии» или «SET». Набор инструментов социального инженера (SET) специально разработан для проведения сложных атак против человеческого фактора. SET был разработан для выпуска вместе с  был запущен и быстро стал стандартным инструментом в арсенале тестера на проникновение. SET был написан Дэвидом Кеннеди (ReL1K), и при большой помощи сообщества он включил в себя атаки, никогда ранее не встречавшиеся в наборе инструментов для эксплуатации.   https://www.social-engineer.org  Атаки, встроенные в набор инструментов, предназначены для целевых и целенаправленных атак на человека или организацию, используемых во время теста на проникновение.   Клонировать веб-сайт с помощью SET легко. С SET нам нужно пройти несколько вариантов, прежде чем мы сможем клонировать веб-сайт. После запуска SET нам понадобятся следующие параметры:  Выберите вариант 1 для атак социальной инженерии.  Выбор векторов атак на веб-сайт  Выберите метод атаки Credential Harvester.   В следующем меню вас спросят, какой метод вы хотите выбрать для сбора учетных данных жертвы. В этом примере мы будем клонировать веб-сайт церкви, поэтому выберите вариант 2.   SET запросит у вас ваш IP-адрес, чтобы он мог отправлять запросы POST с клонированного веб-сайта обратно на ваш компьютер. Как только вы сообщите SET, что хотите клонировать веб-сайт, он запросит у вас URL-адрес сайта, который вы хотите клонировать.   После ввода URL-адреса SET клонирует сайт и отобразит все POST-запросы сайта обратно на этот терминал. Пришло время перейти на клонированный сайт.   Теперь пришло время сосредоточиться на создании QR-кода, который будет перенаправлять пользователей на наш поддельный сайт. В Интернете доступно множество веб-сайтов, которые позволяют создавать QR-коды, но набор инструментов социальной инженерии также может сгенерировать для нас QR-код. Этот процесс очень прост; мы просто выбираем опцию   , которая является   .  9 вектором атаки генератора QRCode  SET запросит URL-адрес, который будет перенаправлять пользователей, которые будут сканировать этот QR-код. Мы будем использовать URL-адрес в качестве нашего IP-адреса, поскольку мы настроили прослушиватель по этому адресу.   Есть много способов доставить QR-код, но мы собираемся приклеить его на спинку скамьи в церкви и попросить прощения позже.  Потею как грешник в церкви  Я произнес молитву, пока мы сидели на скамьях, и поместил QR-код. Разумеется, это было предназначено только для сканирования, а мы просто проверяли теорию. Мне не нужно больше оценок против меня, чтобы попасть в «Жемчужные ворота». Я глубоко вздохнул и просканировал QR-код. Мне подарили клонированный сайт, который я создал.   Затем я нажал на раздел «Отдать», и появилась часть ввода для регистрации, которую нужно передать церкви.   Я медленно ввел всю информацию в разделы и нажал «Отправить». Затем я подождал, чтобы увидеть, была ли получена какая-либо информация. Это стало возможным благодаря тому, что когда вы заходите на созданный мной фальшивый веб-сайт, он работает через порт 80, который обеспечивает всю текстовую передачу данных.   Подождав всего несколько минут, я проверил свой компьютер, чтобы узнать, были ли отправлены какие-либо запросы. Посмотрев вниз, я увидел, что запросы, сделанные с помощью кредитной карты, были успешно зафиксированы. Атака работала с использованием поддельного QR-кода и клонировала поддельный веб-сайт.   От грешника к святому  Эта атака меня встревожила, но это потому, что я специалист по кибербезопасности и знаю, как работают атаки. Среднестатистический член церкви, получивший указание пастора отсканировать QR-код, если вы хотите пожертвовать, не стал бы сомневаться в этом. Вот в чем проблема с QR-кодами. Что может сделать человек, посещающий церковь, когда дело касается QR-кодов? Позвольте мне показать вам землю обетованную.  Используйте приложение для дарения вместо сканирования QR-кодов.  Используйте настоящий веб-сайт для пожертвований в церковь.  Если вы сканируете QR-код, обязательно проанализируйте раздел URL-адреса веб-сайта. Оно должно быть написано правильно, без лишних слов или символов, которые могут вас обмануть.  Если вы сканируете QR-код, всегда проверяйте наличие предметов, которые выглядят подозрительно. Ваш браузер всегда должен иметь «HTTPS», когда он открыт, и иногда компания использует для транзакции третью сторону, например Stripe или PayPal.  Продолжение использования QR-кодов сопряжено со многими рисками. и некоторые из них перевешивают безопасность. Людям нравится легкий доступ, который дает QR-код. Людям не нужно ничего делать, кроме как сканировать и наслаждаться тем, что будет дальше. Что, если то, что произойдет дальше, произойдет за счет вашего банковского счета, что может на какое-то время разрушить вашу жизнь? Как однажды сказал Иисус: «Я посылаю вас, овец среди волков».

Read My Stories

Этот звук создан на языке оригинала истории!

Слишком долго; Читать

Boost your HackerNoon story @ $159.99! 🚀

Фишинг на скамьях: скрытые опасности QR-кодов в церковных сообществах

About Author

КОММЕНТАРИИ

БИРКИ

ЭТА СТАТЬЯ БЫЛА ПРЕДСТАВЛЕНА В

Related Stories

Плавание по водам: разработка RAG-приложений промышленного уровня с использованием озер данных

Полное руководство по успешной миграции в облако: стратегии и лучшие практики

Рост криптовалют: создание эффективных образов пользователей

Невидимые слои: почему интервью с пользователями являются незаменимым активом

Плавание по водам: разработка RAG-приложений промышленного уровня с использованием озер данных

Полное руководство по успешной миграции в облако: стратегии и лучшие практики

Рост криптовалют: создание эффективных образов пользователей

Невидимые слои: почему интервью с пользователями являются незаменимым активом

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps