Evil QR, kurbanın makinesine erişim elde etmek için tehdit aktörleri tarafından gerçekleştirilen en son kimlik avı girişimi olan QR Jacking saldırısının yan ürünüdür.
QRLJacking veya Quick Response Code Login Jacking, hesaplarda oturum açmanın güvenli bir yolu olarak “QR kodu ile oturum açma” özelliğine dayanan tüm uygulamaları etkileyen, oturumu ele geçirme yeteneğine sahip basit bir sosyal mühendislik saldırı vektörüdür.
Breakdev’deki son makale, saldırganların kullanıcıları kimlik avı yoluyla sağlanan QR kodlarını taramaya ikna ederek hesapları nasıl ele geçirebileceğini gösteriyor.
Saldırı Nasıl Çalışır:
Son yıllarda çoğu web sitesi, kullanıcıların cep telefonlarını kullanarak QR kodlarını tarayarak oturum açmasına izin verdi.
Saldırganlar bu süreçten yararlandı ve kurbanların güvenliğini sağlamak için orijinal web sitesinden Sahte QR kodları içeren spam e-postalar gönderdi.
Bu makalede yazar, Discord sayfasını kullanarak Evil QR araç seti aracılığıyla kimlik avının nasıl gönderildiğini açıkladı.
- Saldırgan, oturum açma QR kodunu oluşturmak için web tarayıcısında resmi Discord oturum açma sayfasını açar.
- Saldırgan, Evil QR tarayıcı uzantısını kullanarak oturum açma QR kodunu oturum açma sayfasından çıkarabilir ve bunu kimlik avı sayfasının barındırıldığı Evil QR sunucusuna yükleyebilir.
- Saldırganın barındırdığı kimlik avı sayfası, saldırgan tarafından kontrol edilen en son oturum açma QR kodunu dinamik olarak görüntüler.
Kurban, QR kodunu başarıyla taradığında, saldırgan güvenliği ihlal edilmiş hesabın kontrolünü ele geçirir.
Evil QR saldırısı, her web sitesi için ayrı ayrı dinamik güncellemelerle kişiselleştirilmiş kimlik avı ön metni kullanılarak özelleştirilebilir.
Kötü QR tarayıcı uzantıları, nasıl oluşturulduklarından bağımsız olarak web sitelerindeki QR kodlarını algılayabilir ve çıkarabilir.
Uzantı, CANVAS, IMG, SVG ve hatta DIV olarak işlenen QR kodlarının çıkarılmasını destekler (html2canvas kitaplığıyla bir ekran görüntüsü alarak).
Sunucu GO’da geliştirilmiştir ve ana amacı, tarayıcı uzantısı için REST API’yi ortaya çıkarmak ve kimlik avı sayfasını barındırmak için bir HTTP sunucusu çalıştırmaktır.
/qrcode/ üzerinde JSON biçiminde meta verileri olan bir QR kodu görüntüsü dahil olmak üzere tarayıcı uzantısından kimliği doğrulanmış iletişimi bekler.[qr_uuid] bitiş noktası:
{
"id": "11111111-1111-1111-1111-111111111111",
"source": "data:image/png;base64,iVBORw0K...",
"host": "discord.com"
}
Alınan QR kodu daha sonra saklanır ve kimlik avı sayfasında çalışan JavaScript tarafından alınabilir.
Kimlik avı sayfası, WebSockets kullanmak zorunda kalmadan minimum gecikmeyle QR kodu güncellemelerini alabilmek için HTTP Uzun Yoklama kullanır.
Kimlik avı sayfası, QR kodunun hangi ana bilgisayar adından alındığını otomatik olarak algılar ve sosyal mühendislik amaçlarıyla kimlik avı ön metnini değiştirmek için CSS ve metin içeriğini dinamik olarak ayarlayabilir.
Saldırgan, hedefi oltalamak için web uygulaması oturum açma sayfasındaki Evil QR Tarayıcı uzantısını kullanır.
QR kod görüntüsünü otomatik olarak bulur ve değişip değişmediğini algılar. Değiştiğinde, güncellenmiş görüntüyü Evil QR sunucusuna yükleyecektir.
Oturum açma QR kodlarıyla temsil edilen oturum belirteçlerinin en önemli özelliklerinden biri, belirteçlerin tasarım gereği kısa ömürlü olmasıdır.
Her jeton yaklaşık 30 saniye sonra sona erer ve bu da jetonun geçerlilik süresini büyük ölçüde kısaltır.
Jetonun süresi dolduğunda, web sitesi jetonu yeniden oluşturur ve oturum açma sayfasında görüntülenen QR kodunu günceller.
Oturum açma oturum belirteçlerinin süresi dolmamışsa, saldırganlar QR kodlarını kağıda yazdırabilir ve potansiyel kurbanlara postalayabilir.
Bir süre işlem yapılmadığında, bazı web siteleri bant genişliğinden tasarruf etmek için QR kodlarını güncellemeyi bırakır. Normalde, uzantının QR kodlarını güncellemeye devam etmek için otomatik olarak tıklayabileceği bir “Yeniden dene” seçeneği sunarlar.
Uzantı, yalnızca kimlik avı girişimi başarılı olduktan sonra saldırgan oturum açtığında görünecek olan belirli bir DOM nesnesinin varlığını da algılayabilir.
Daha sonra Evil QR sunucusuna yetkili: “true” parametresiyle bir güncelleme göndererek kimlik avı sayfasının nasıl ilerleyeceğine karar vermesine olanak tanır.
“Yapay zeka tabanlı e-posta güvenlik önlemleri İşletmenizi E-posta Tehditlerinden Koruyun!” – Ücretsiz Demo İsteyin.