10 mayo, 2013

QRCode Generator Attack Vector

Hola a tod@s

En anteriores episodios de SET vimos como es posible la clonación de una web,  que en nuestro caso fue Gmail, pero podía haber sido cualquier web y con las artes de Ingeniería Social la víctima era engañada por el envío de un correo electrónico a visitar la nueva imagen de Gmail, una vez allí la víctima se autentica y el atacante le roba sus credenciales.
En el artículo de hoy, se intentará alertar de los peligros de los códigos QR, que afectan a dispositivos móviles.



¿Que son los Códigos QR?

Los códigos QR, (en inglés QR Code) son un tipo de códigos de barras bidimensionales. A diferencia de un código de barras convencional (por ejemplo EAN-13, Código 3 de 9, UPC), la información está codificada dentro de un cuadrado, permitiendo almacenar gran cantidad de información alfanumérica.

Los códigos QR son fácilmente identificables por su forma cuadrada y por los tres cuadros ubicados en las esquinas superiores e inferior izquierda.


¿Para qué sirve un Código QR?

Aunque el desarrollo inicial de los Códigos QR tenía como objetivo principal su utilización en la industria de la automoción, hoy por hoy la posibilidad de leer códigos QR desde teléfonos y dispositivos móviles permite el uso de Qr Codes en un sinfín de aplicaciones completamente diferentes de las que originales como pueden ser:

  • Publicidad
  • Campañas de marketing
  • Merchandising
  • Diseño Gráfico
  • Papelería corporativa ( tarjetas de visita, catálogos)
  • Internet, Webs, blogs




Después de esta descripción sobre los códigos QR vamos a comenzar la PoC de hoy. Por su puesto vamos a utilizar la mejor herramienta de ingeniería social que existe SET.
Iniciamos SET y en el primer menú elegimos la opción Social-Engineering Attacks.

Imagen 1: Social-Engineering Attacks






Bien, estamos dentro del menú de ataques de ingeniería social, a continuación elegimos la opción 9 QRCode Generator Attack Vector.

Imagen 2: QRCode Generator Attack Vector



El siguiente paso es más personalizado, ya que hay ciberdelincuentes que podrían clonar la web del banco y robarnos las credenciales o la descarga de una aplicación maliciosa para nuestro móvil.


Por otro lado estos códigos abarca mucho más que el mundo virtual, ya que un atacante podría sacar impresos miles de estos códigos en tamaño A4 y pegarlos por toda la ciudad esperando que alguien lo escanee con su dispositivo móvil, por ejemplo en la universidad, instituto, parada del bus, metro, el cine o cualquier fachada. Un centenar de personas sin saberlo pueden caer en las garras de una red zombie.
 

En la prueba de hoy quiero concienciar a los usuarios de dispositivos móviles que SÓLO! descarguen aplicaciones de las web oficiales, Google Play, la de Apple. Existen muchos sitios no oficiales para la descarga de aplicaciones para dispositivos móviles y en algunas de ellas, por no decir todas vienen con premio, es decir con malware.


Imagen 3: Creación QR





Ahora lo que hemos realizado por decirlo de algún modo es vincular la URL introducida con el código QR, cuando el usuario escanee el código este le llevará a la URL especificada.


Imagen 4: Código QR


Como veis no es la web oficial de Triviados, la web oficial de Triviados es http://www.triviados.net/ o en Google Play.


Así que cuidado que os descargáis y donde os lo descargáis, mañana cuando veáis un código QR acordaros del artículo de hoy

 



No seáis malos. 

0 comentarios:

Publicar un comentario