QRLJacking v2.0 – Vetores de ataques de engenharia social

O que é o QRLJacking?

QRLJacking ou Quick Response Code O Login Jacking é um simples vetor de ataque de engenharia social capaz de seqüestrar sessões que afeta todos os aplicativos que contam com o recurso “Login com QR code” como uma maneira segura de fazer login nas contas. Em suma, a vítima escaneia o código QR do atacante, o que resulta em seqüestro de sessão.

Quais são os requisitos para alcançar um ataque QRLJacking bem-sucedido?

O ataque QRLJacking consiste em dois lados:

  1. Lado do Servidor: Um script do lado do servidor é necessário para servir e moldar a aparência final da vítima.
  2. Lado do Cliente: Clonando o QR Code e empurrando-o para a página de phishing.

Processo de ataque QRLJacking

Aqui está como o ataque funciona secretamente QRLJacking:

  1. Avançar inicializa a sessão QR no lado do cliente e clona o código QR para entrar no site de phishing “agora está configurado corretamente uma página de phishing com código QR atual e regularmente atualizado pronto para ser enviado para a vítima.”
  2. O atacante envia as vítimas da página de phishing (muitos vetores efetivos de ataque serão explicados mais adiante neste artigo).
  3. As vítimas navegam no código QR com um aplicativo móvel de destino especial.
  4. Um invasor obtém o controle da conta da vítima.
  5. O serviço troca dados com o invasor da sessão da vítima.

O ataque QRLJacking dá aos hackers a capacidade de usar a conta de sequestro completo do script em uma entrada vulnerável com a função do código QR, o que, na verdade, resulta no roubo de contas e danos à reputação.

Quando o invasor recebe os dados, que discutimos em “Divulgação”, alguns desses dados são usados ​​para comunicar-se com o servidor de serviços para descobrir algumas informações sobre o usuário, que podem ser usadas posteriormente no aplicativo do usuário. Infelizmente, às vezes, o compartilhamento de dados ocorre em uma conexão de rede insegura, permitindo fácil controle de um invasor, dando a ele a oportunidade de modificar ou até mesmo excluir os dados transmitidos.

Aplicativos e Serviços da Web Vulneráveis

Há muitos aplicativos e serviços da Web conhecidos que eram vulneráveis ​​a esse ataque até a data em que escrevemos este artigo. Aqui estão alguns exemplos (que relatamos) incluindo, mas não limitados a:

Aplicativos de bate-papo:

WhatsApp, WeChat, Linha, Weibo, QQ Instant Messaging

Serviços de correspondência:

QQ Mail (Corporativo Pessoal e Empresarial), Yandex Mail

comércio eletrônico:

Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Viagens Taobao

Online Banking:

AliPay, Yandex Money, TenPay

Serviços de Passaporte “Crítico”:

Passaporte Yandex (Correio Yandex, Dinheiro Yandex, Mapas Yandex, Vídeos Yandex, etc …)

Software de gerenciamento móvel:

AirDroid

Outros serviços:

MyDigiPass, Zapper & Zapper WordPress Login por QR Code plugin, confiavelmente App, Yelophone, Alibaba Yunos

Demonstração

Download e uso

Direitos autorais (C) 2019 OWASP

Seja o primeiro a comentar

Deixe uma resposta

O seu endereço de email não será publicado.


*


Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.