Sıralarda Kimlik Avı: Kilise Topluluklarında QR Kodlarının Gizli Tehlikeleri

Orada sıralarda oturmuş sabah vaazını dinliyordum. Eşimle birlikte oturup dinlediğimiz ve kızımın kollarımdan kurtulmaya çalıştığı sıradan bir Pazar sabahıydı. Vaaz sona ererken sandalyelerin arkasına yapıştırılmış QR kodlarını fark ettim. QR kodları, katılımcıların kilise ve sundukları programlar hakkında daha fazla bilgi edinmesi için kullanılıyor.

Kilise ve üyeleri hakkında bilgi edinip kiliseye bağış yapabilirsiniz. Tek yapmanız gereken QR kodunu taramak. Bir siber güvenlik uzmanı olarak… ve her zaman paranoyak olan biri olarak, nerede olursa olsun asla bir QR kodunu taramam. Yaşamanın bir yolu olmadığını biliyorum ama QR kodunu taradığımı görmek, papanın lanet söylediğini duymak gibi.

Dua ederken başımızı eğdiğimizde aklıma bir fikir geldi. Birisi kilisenin QR kodunu kendi kötü amaçlı QR koduyla değiştirip kredi kartı bilgilerini çalsa ne olur? İşte o zaman kiliseyi "hacklemeye" karar verdim... en azından teoride. “Baba beni affet, çünkü günah işledim.”

QR Kodlarını Anlamak

QR kodları nedir? QR kodu (Hızlı Yanıt kodunun kısaltması) , bir makinenin okuması için verileri depolayan bir ızgaraya yerleştirilmiş bir dizi siyah beyaz kare veya pikseldir. Bir akıllı telefon veya kamera, bir QR kodunun özel piksel düzenlemesinde yer alan bilgileri hızlı bir şekilde işleyebilir, bu da onu verileri depolamanın ve verilere erişmenin kolay bir yolu haline getirir. Kilise ortamlarında yaygın kullanımlar (örneğin, dijital bültenler, çevrimiçi bağışlar, etkinlik kaydı).

Kimlik avının temelleri

Kimlik avı , e-posta, telefon veya metin aracılığıyla kullanıcının sahte bir web sitesine gitmek gibi bir işlem yapmasını talep eden bir sosyal mühendislik biçimidir . Hem kimlik avı hem de sosyal mühendislik saldırılarında, toplanan bilgiler, korunan hesaplara veya verilere yetkisiz erişim sağlamak için kullanılır.

QR Kodu Kimlik Avı Nasıl Çalışır?

QR kodu kimlik avı, diğer kimlik avı saldırıları gibi çalışır ancak QR kodları daha kullanışlıdır ve genellikle bakılacak bir bağlantı yoktur. Ayrıca daha çok yönlüdürler ve dünyanın her yerinde uygulanabilirler. Bunları en sevdiğiniz TV şovlarında, reklamlarda, haber istasyonlarında, işletmelerde ve kiliselerde bulabilirsiniz. Kilise toplulukları neden çekici bir hedef, yani güven veren bir ortam olsun ki?

Genellikle teknoloji konusunda daha az bilgili bireyler vardır ve yüksek değerli bağış potansiyeli vardır. Ayrıca sıraların arkasında, QR kodlarının meşru QR kodları olduğunu gösteren herhangi bir doğrulama biçimi de yoktur… Birini tarayıp kendiniz öğrenmediğiniz sürece. Eğer bu senaryo makul olsaydı, bir siber suçlu bunu nasıl başarabilirdi? Cemaat suyunu ve krakerlerinizi alın, daha sonra itiraf edecek çok şey olacak.

Kutsal Olmayan Niyet

Bir siber suçlu bir kiliseye QR kodlu kimlik avı saldırısı düzenlemek isterse, yapması gereken ilk şey keşif yapmak ve taktiğin ne olacağıdır. Bu durumda QR kodu kimlik avı saldırısı kullanacağız ve kredi kartı bilgilerini çalmaya çalışacağız. Başarılı olmak için kiliseyi ve kilise üyelerinin bağış yaparken ne yaptığını araştırmaları gerekir.

Bu saldırı için siber suçlu, saldırıyı düzenlemek üzere aşağıdakileri yapacaktır.

• Kilisenin bağışları nasıl aldığına dair keşif.
• Kilisenin web sitesini ve bağışlanacak kısmı kopyalayın.
• Kilise alan adına benzer bir alan adı satın alın ve onu bir VPS ortamında barındırın.
• Ödemeleri siber suçluya yönlendirmek için kod yazın.
• Ölçek.
• Kiliseye gidin ve sıraların arkasına QR kodlarını yerleştirin.
• Bekleyin ve kredi kartı bilgilerini alın.
• Cehennemden çıkmak için yeterli lütfu satın alın….

“Buraya Girenler, Tüm Umutlarını Bırakın”

Saldırının keşif kısmını tamamladıktan sonra siber suçlu, kilisenin web sitesini bulup saldırı için kopyalayacaktı. Bu, kilise üyelerini kilisede QR kodunu taradıktan sonra daha ileri gitmeye ikna etmeye yardımcı olacaktır. Amaç, kilise üyelerinin ziyaret ettikleri web sitesinin kötü amaçlı olduğundan şüphelenmesini önlemektir. Gerçek web sitesini kopyalamak saldırıya yardımcı olur çünkü biz insanlar olarak nadiren URL kısmına bakarız.

Saldırıyı başlatmak için "Sosyal Mühendislik Araç Takımı" veya "SET" olarak bilinen bir araca bakıyoruz. Sosyal Mühendis Araç Takımı (SET), insan unsuruna karşı gelişmiş saldırılar gerçekleştirmek için özel olarak tasarlanmıştır. SET ile piyasaya sürülmek üzere tasarlandı https://www.social-engineer.org piyasaya sürüldü ve hızla bir penetrasyon test cihazının cephaneliğinde standart bir araç haline geldi. SET, David Kennedy (ReL1K) tarafından yazılmıştır ve topluluğun büyük desteğiyle, daha önce bir istismar araç setinde görülmemiş saldırıları bir araya getirmiştir.

Araç setinde yerleşik olan saldırılar, bir sızma testi sırasında kullanılan bir kişiye veya kuruluşa yönelik hedefli ve odaklı saldırılar olacak şekilde tasarlanmıştır.

SET kullanarak bir web sitesini klonlamak kolaydır. SET ile web sitesini klonlamadan önce birkaç seçeneğin üzerinden geçmemiz gerekiyor. SET'i çalıştırdıktan sonra aşağıdaki seçeneklere ihtiyacımız olacak:

• Sosyal Mühendislik Saldırıları için 1. seçeneği seçin.

• Web Sitesi Saldırı Vektörlerini Seçin

• Kimlik Bilgisi Harvester Saldırı Yöntemi'ni seçin.

  
  

Bir sonraki menü size kurbanın kimlik bilgilerini toplamak için hangi yöntemi seçmek istediğinizi soracaktır. Bu örnekte kilisenin web sitesini kopyalayacağız, bu nedenle 2. seçeneği seçin.

SET, klonlanan web sitesinden POST isteklerini makinenize geri gönderebilmek için sizden IP adresinizi isteyecektir. SET'e bir web sitesini klonlamak istediğinizi söylediğinizde, sizden klonlamak istediğiniz sitenin URL'sini isteyecektir.

URL girildikten sonra SET siteyi kopyalayacak ve sitenin tüm POST isteklerini bu terminale geri gösterecektir. Artık klonlanan siteye gitme zamanı geldi.

Artık kullanıcıları sahte web sitemize yönlendirecek QR Kodunun oluşturulmasına odaklanmanın zamanı geldi. İnternette QR Kodları oluşturmanıza izin veren birçok web sitesi vardır, ancak Sosyal Mühendislik Araç Seti bizim için bir QR Kodu da oluşturabilir. Süreç çok kolaydır; sadece QRCode Generator Attack Vector olan 9. seçeneği seçiyoruz.

SET, bu QR Code'u tarayacak kullanıcıları yönlendirecek bir URL isteyecektir. Dinleyiciyi bu adrese kurduğumuz için URL’yi IP adresimiz olarak kullanacağız.

QR Kodunu teslim etmenin birçok yolu vardır, ancak bunu kilisede sıranın arkasına yapıştırıp daha sonra af dileyeceğiz.

Kilisede Bir Günahkar Gibi Terliyorum

Sıralarda otururken dua ettim ve QR kodunu yerleştirdim. Elbette taramak sadece benim içindi ve biz sadece bir teoriyi test ediyorduk. “İnci Kapılara” girmek için bana karşı daha fazla işarete ihtiyacım yok. Derin bir nefes aldım ve QR kodunu taradım. Bana oluşturduğum klonlanmış web sitesi sunuldu.

Daha sonra ver bölümüne tıkladım ve kiliseye verilecek kayıt için giriş kısmını getirdi.

Yavaş yavaş tüm bilgileri bölümlere girdim ve gönder düğmesine tıkladım. Daha sonra herhangi bir bilginin yakalanıp yakalanmadığını görmek için bekledim. Bu, oluşturduğum sahte web sitesine eriştiğinizde, tamamen açık metin iletişimi olan 80 numaralı bağlantı noktasında çalışması nedeniyle mümkün oldu.

Birkaç dakika bekledikten sonra herhangi bir istek gönderilip gönderilmediğini görmek için bilgisayarımı kontrol ettim. Aşağıya baktığımda kredi kartıyla yapılan taleplerin başarıyla yakalandığını gördüm. Saldırı sahte bir QR koduyla çalıştı ve sahte bir web sitesini klonladı.

Günahkardan Azize

Saldırı benim için endişe vericiydi ancak bunun nedeni siber güvenlik uzmanı olmam ve saldırıların nasıl çalıştığını bilmemdir. Ortalama bir kilise üyesine, papaz tarafından eğer vermek isterseniz QR kodunu tarama talimatı verildiğinde, bunu sorgulamazlardı. QR kodlarıyla ilgili sorun da burada yatıyor. QR kodlar söz konusu olduğunda kiliseye giden bir kişi ne yapabilir? İzin ver sana vaat edilen toprakları göstermeme izin ver.

• QR kodlarını taramak yerine vermek için uygulamayı kullanın.

• Kiliseye vermek için gerçek web sitesini kullanın.

• Bir QR kodu tararsanız web sitesinin URL bölümünü analiz ettiğinizden emin olun. Sizi kandırmak için fazladan kelime veya sembol kullanılmadan doğru yazılmalıdır.

• Bir QR kodunu tararsanız her zaman şüpheli görünen öğeleri kontrol edin. Tarayıcınız açıkken her zaman bir "HTTPS"ye sahip olmalıdır ve bazen bir şirket işlem için Stripe veya PayPal gibi üçüncü bir tarafı kullanır.

QR kodlarının sürekli kullanımının birçok riski vardır. ve bazıları güvenlikten daha ağır basıyor. İnsanlar QR kodunun getirdiği kolay erişimin tadını çıkarıyor. İnsanların tarayıp bundan sonra ne olursa olsun tadını çıkarmaktan başka bir şey yapmasına gerek yok. Peki ya bundan sonra banka hesabınızın pahasına hayatınızı bir süreliğine mahvedebilirseniz? İsa'nın bir zamanlar dediği gibi, "Seni kurtların arasına gönderiyorum."