Lamento el retraso, no sabia si publicar esto o una critica a la competencia que se cree dueño de todo, pero no les daré más importancia, mejor les traigo algo de lo que vimos el sábado.

Saludos a mis alumnos del GHOST.

¿Qué es QRLJacking?

El inicio de sesión de QRLJacking o el código de respuesta rápida es un simple vector de ataque de ingeniería social capaz de secuestro de sesión que afecta a todas las aplicaciones que se basan en la función “Iniciar sesión con código QR” como una forma segura de iniciar sesión en las cuentas. En pocas palabras, la víctima escanea el código QR del atacante que resulta en el secuestro de la sesión.

¿Cuáles son los requisitos para lograr un ataque de QRLJacking exitoso?

El ataque QRLJacking consiste en dos lados:

  1. Lado del servidor: se necesita un script del lado del servidor para servir y dar forma al aspecto final de la víctima.
  2. Lado del cliente: clone el código QR y empújelo a la página de phishing.

Proceso de ataque de QRLJacking.

Así es como funciona el ataque en secreto QRLJacking:

  1. Forward inicializa la sesión de QR en el lado del cliente y clona el código QR para ingresar al sitio web de phishing “ahora está configurado correctamente una página de phishing con el código QR actualizado y actualizado regularmente y listo para ser enviado a la víctima”.
  2. El atacante envía una página de phishing a las víctimas (muchos vectores de ataque efectivos se explicarán más adelante en este artículo).
  3. Las víctimas exploran el código QR con una aplicación móvil de destino especial.
  4. Un atacante obtiene el control de la cuenta de la cuenta de la víctima.
  5. El servicio intercambia datos con el atacante de sesión de la víctima.

El ataque QRLJacking brinda a los piratas informáticos la capacidad de usar la cuenta de abducción completa del script en una entrada vulnerable con la función del código QR, que, en efecto, da como resultado el robo de cuentas y el daño a la reputación.

Cuando el atacante recibe los datos, como comentamos en la “Divulgación”, algunos de estos datos se utilizan para comunicarse con el servidor de servicios para obtener información sobre el usuario, que se puede usar más adelante en la aplicación del usuario. Desafortunadamente, a veces el intercambio de datos se produce a través de una conexión de red insegura, lo que permite el control fácil de un atacante, lo que le da la oportunidad de modificar o incluso eliminar los datos transmitidos.

Aplicaciones y servicios web vulnerables

Hay muchas aplicaciones y servicios web conocidos que fueron vulnerables a este ataque hasta la fecha en que escribimos este documento. Aquí hay algunos ejemplos (que hemos reportado) que incluyen, entre otros:

Aplicaciones de chat:

WhatsApp, WeChat, Line, Weibo, QQ Instant Messaging

Servicios de correo:

QQ Mail (Personal y Empresa Corporativa), Yandex Mail

eCommerce:

Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Viajes Taobao

Banca en línea:

AliPay, Yandex Money, TenPay

Servicios de pasaporte “críticos”:

Pasaporte Yandex (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc.)

Software de gestión móvil:

AirDroid

Otros servicios:

MyDigiPass, Zapper & Zapper WordPress Inicie sesión mediante el código QR, aplicación Trustly, Yelophone, Alibaba Yunos