martes, 16 de octubre de 2018

como Hack Whatsapp QRLJAcking Code Phishing (2018) - Un nuevo vector de ataque de ingeniería social

¿Qué es QRLJacking?

El inicio de sesión de QRLJacking o Quick Response Code es un simple vector de ataque de ingeniería social capaz de secuestro de sesión que afecta a todas las aplicaciones que se basan en la función "Iniciar sesión con código QR" como una forma segura de iniciar sesión en cuentas. En pocas palabras, la víctima escanea el código QR del atacante que resulta en el secuestro de la sesión.

¿Cuáles son los requisitos para lograr un ataque de QRLJacking exitoso?

El ataque QRLJacking consta de dos lados:
  1. Lado del servidor: se necesita un script del lado del servidor para servir y dar forma al aspecto final de la víctima.
  2. Lado del cliente: clone el código QR y empújelo a la página de phishing.

Nuestro ejemplo será: la aplicación web de WhatsApp!

Configuración del servidor (hosting del atacante):

  1. Sube "qrHandler.php" a tu servidor. Este archivo php se utiliza para convertir la cadena de código QR base64 en un archivo .JPG válido.
    Ahora tiene una imagen QR válida, generada, llamada "tmp.jpg" que reside en la misma carpeta raíz que sus archivos, que se actualizará cada vez que se llame a ese archivo php, por lo que podemos ubicarlo en cualquier lugar. Por ejemplo: una página de WhatsApp falsa, una página de estafa con una oferta relacionada con WhatsApp, etc. Dependiendo de su creatividad.
  2. Ahora actualice el archivo "phishing.html" con el código fuente de la página de phishing que prefiera.

 Explotación, configuración del lado del cliente (navegador del atacante):

A mano:
  1. Abra su navegador Firefox.
  2. Escriba "about: config" en el área de url, haga clic en el botón de confirmación "Tendré cuidado, lo prometo".
  3. Busque una preferencia llamada "security.csp.enable" y cambie su valor a "falso" haciendo doble clic en ella para permitir realizar una solicitud XHR de un dominio diferente (no admitimos que esta preferencia esté deshabilitada, puede hacerlo mientras pruebas, pero después de eso debe establecer la preferencia a su estado original).
  4. Instale el complemento Greasemonkey ( https://addons.mozilla.org/en-US/firefox/addon/greasemonkey ) y asegúrese de que el archivo de módulo "WhatsAppQRJackingModule.js" esté cargado y en ejecución.
  5. Ahora estamos listos. Vaya a nuestro ejemplo " https://web.whatsapp.com " de su lado y espere a que se cargue una sesión de WhatsApp. Greasemonkey ahora debe inyectar nuestro archivo de módulo de WhatsApp para atrapar.
  6. Envíe el enlace directo de la página de phishing final a una víctima.
Una vez que se escanea el código QR, la sesión de la víctima es suya.



Aplicaciones y servicios web vulnerables

Hay muchas aplicaciones y servicios web conocidos que fueron vulnerables a este ataque hasta la fecha en que escribimos este documento. Aquí hay algunos ejemplos (que hemos reportado) que incluyen, entre otros:

Aplicaciones de chat:

WhatsApp, WeChat, Line, Weibo, QQ Instant Messaging

Servicios de correo:

QQ Mail (Personal y Empresa Corporativa), Yandex Mail

eCommerce:

Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Viajes Taobao

Banca en línea:

AliPay, Yandex Money, TenPay

Servicios de pasaporte “críticos”:

Pasaporte Yandex (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc ...)

Software de gestión móvil:

AirDroid

Otros servicios:

MyDigiPass, Zapper & Zapper WordPress Inicie sesión mediante el código QR, aplicación Trustly, Yelophone, Alibaba Yunos

Autor

Mohamed Abdelbasset Elnouby (@SymbianSyMoh)
Investigador de Seguridad de la Información
Laboratorios de búsqueda
MaeBaset@Seekurity.com


Link de descarga.
https://github.com/OWASP/QRLJacking

Videos demostrativos.


 
 
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)