教堂长椅上的网络钓鱼：教堂社区中二维码的隐患

我坐在教堂的长椅上听着早上的布道。这只是一个普通的星期天早晨，我和妻子坐在那里听着，女儿则试图从我的怀里挣脱出来。布道快结束时，我注意到椅子后面贴着二维码。二维码是为了让参加者了解更多关于教堂及其提供的项目的信息。

您可以了解教会及其成员，并向教会捐款。您需要做的就是扫描二维码。作为一名网络安全专家……以及一个总是疑神疑鬼的人，无论二维码在哪里，我都不会扫描它。我知道这不是活路，但看到我扫描二维码就像听到教皇说脏话一样。

当我们低头祈祷时，我突然想到了一个主意。如果有人用他们自己的恶意二维码替换教堂的二维码并窃取信用卡信息怎么办？就在那时，我决定要“黑掉”教堂……至少理论上是这样。 “神父，请原谅我，因为我犯了罪。”

理解二维码

什么是二维码？二维码（快速响应码的缩写）是一组黑白方块或像素，它们排列成网格状，用于存储数据以供机器读取。智能手机或相机可以快速处理二维码特定像素排列中包含的信息，使其成为一种存储和访问数据的便捷方式。常用于教堂环境（例如数字公告、在线捐赠、活动注册）。

网络钓鱼基础知识

网络钓鱼是一种社会工程学形式，涉及通过电子邮件、电话或短信进行通信，要求用户采取行动，例如导航到虚假网站。在网络钓鱼和社会工程攻击中，收集的信息都用于未经授权访问受保护的帐户或数据。

二维码钓鱼的工作原理

QR 码网络钓鱼的工作原理与其他网络钓鱼攻击一样，但 QR 码更方便，而且通常没有链接可供查看。它们也更加通用，可以在世界任何地方实施。您可以在您最喜欢的电视节目、商业广告、新闻台、企业和教堂中找到它们。为什么教会社区会成为一个有吸引力的目标——信任环境？

这些人通常不太懂技术，而且可能会进行高价值捐赠。此外，教堂长椅背面也没有任何形式的验证，表明二维码是合法的二维码……除非你扫描一个二维码，亲自验证。如果这种情况是可能的，那么网络犯罪分子将如何实现呢？准备好你的圣餐汁和饼干，以后会有很多事情要坦白。

邪恶意图

如果网络犯罪分子想要对教堂进行二维码钓鱼攻击，他们要做的第一件事就是侦察并确定攻击策略。在这种情况下，我们将使用二维码钓鱼攻击并尝试窃取信用卡信息。为了成功，他们需要研究教堂以及教会成员在捐款时会做什么。

对于此次攻击，网络犯罪分子将执行以下操作来策划攻击。

• 侦察教堂如何接受捐款。
• 克隆教堂网站和捐赠部分。
• 购买与教堂域名类似的域名并将其托管在 VPS 环境中。
• 编写代码将付款转给网络犯罪分子。
• 测试。
• 参加教堂活动，并在长椅后面放置二维码。
• 等待并获取信用卡信息。
• 买足够的恩典来摆脱地狱......

“进入此地者，放弃一切希望”

在完成攻击的侦察部分后，网络犯罪分子会找到教堂的网站并克隆它以进行攻击。这将有助于说服教会成员在扫描教堂的二维码后继续前进。这样做的目的是防止教会成员怀疑他们正在访问的网站是恶意的。克隆实际网站有助于攻击，因为作为人类，我们很少查看 URL 部分。

要开始攻击，我们需要一种称为“社会工程工具包”或“SET”的工具。社会工程工具包 (SET) 专门用于对人为因素进行高级攻击。SET 旨在与https://www.social-engineer.org推出后，它迅速成为渗透测试人员武器库中的标准工具。SET 由 David Kennedy (ReL1K) 编写，在社区的大力帮助下，它整合了漏洞利用工具集中从未见过的攻击。

该工具包内置的攻击旨在针对渗透测试期间的个人或组织进行有针对性的集中攻击。

使用 SET 克隆网站很容易。使用 SET，我们需要先完成几个选项，然后才能克隆网站。运行 SET 后，我们将需要以下选项：

• 对于社会工程攻击，请选择选项 1。

• 选择网站攻击媒介

• 选择凭证收集器攻击方法。

  
  

下一个菜单将询问您要选择哪种方法来获取受害者的凭证。在此示例中，我们将克隆教堂的网站，因此请选择选项 2。

SET 会询问您的 IP 地址，以便它可以将克隆网站的 POST 请求发送回您的机器。一旦您告诉 SET 您想要克隆一个网站，它就会询问您想要克隆的网站的 URL。

输入 URL 后，SET 将克隆该站点并将该站点的所有 POST 请求显示回此终端。现在是时候导航到克隆的站点了。

现在是时候专注于创建二维码，以便将用户重定向到我们的虚假网站。互联网上有许多网站允许您创建二维码，但社会工程工具包也可以为我们生成二维码。这个过程非常简单；我们只需选择选项9 ，即二维码生成器攻击向量。

SET 将请求一个 URL，该 URL 将重定向扫描此二维码的用户。我们将使用该 URL 作为我们的 IP 地址，因为我们已经在此地址设置了侦听器。

有很多种方法可以发送二维码，但我们会把它贴在教堂长椅的背面，然后再请求原谅。

像教堂里的罪人一样流汗

我们坐在长凳上时，我祈祷了一下，然后放置了二维码。当然，这只是供我扫描的，我们只是在测试一个理论。我不需要更多的标记来进入“珍珠门”。我深吸一口气，扫描了二维码。我看到了我创建的克隆网站。

然后我点击了捐赠部分，它调出了向教堂捐赠的注册输入部分。

我慢慢地将所有信息输入到各个部分，然后单击提交。然后我等待看是否有任何信息被捕获。这是因为当您访问我创建的虚假网站时，它会在端口 80 上运行，而端口 80 都是明文通信。

等了一会儿后，我检查了电脑，看看是否有任何请求被发送。当我低头看时，我看到信用卡发出的请求已被成功捕获。这次攻击利用了伪造的二维码并克隆了一个虚假网站。

从罪人到圣人

这次攻击让我感到震惊，但那是因为我是一名网络安全专家，知道攻击是如何进行的。对于普通教会成员来说，如果牧师指示他们想要捐款，只需扫描二维码，他们就不会质疑。这就是二维码的问题所在。当涉及到二维码时，参加教会的人能做什么？请允许我带你去应许之地。

• 使用应用程序来捐赠，而不是扫描二维码。

• 使用实际的网站向教堂捐款。

• 如果你确实扫描了二维码，请务必分析网站的 URL 部分。其拼写应正确，没有多余的单词或符号来欺骗你。

• 如果您扫描二维码，请务必检查是否有可疑项目。您的浏览器在打开时应始终显示“HTTPS”，有时公司会使用第三方进行交易，例如 Stripe 或 PayPal。

继续使用二维码有很多风险，有些风险甚至超过了安全性。人们享受二维码带来的便捷访问。人们不需要做太多事情，只需扫描二维码，享受接下来的一切。如果接下来的事情是以牺牲你的银行账户为代价的，这可能会毁了你的生活一段时间，那该怎么办？正如耶稣曾经说过的，“我差你们出去，你们是羊进入狼群。”