paint-brush
教会でのフィッシング:教会コミュニティにおける QR コードの隠れた危険性@blackheart
9,269 測定値
9,269 測定値

教会でのフィッシング:教会コミュニティにおける QR コードの隠れた危険性

blackheart7m2024/05/21
Read on Terminal Reader

長すぎる; 読むには

QR コードは、出席者が教会やそこで提供されるプログラムについてさらに詳しく知るために使われます。その目的は、訪問している Web サイトが悪意のあるものであると教会が疑わないようにすることです。サイバー犯罪者が教会に対して QR コード フィッシング攻撃を仕掛けたい場合、最初に行う必要があるのは偵察と戦術です。また、座席の裏側には検証用のマークは一切ありません。
featured image - 教会でのフィッシング:教会コミュニティにおける QR コードの隠れた危険性
blackheart HackerNoon profile picture

私は教会の椅子に座って朝の説教を聞いていました。妻と私が座って説教を聞いていると、娘が私の腕から逃げ出そうとしていました。説教が終わりに近づいたとき、椅子の後ろに貼られた QR コードに気づきました。QR コードは、出席者が教会や教会が提供するプログラムについてさらに詳しく知るために使われます。


教会とそのメンバーについて学び、教会に寄付することができます。必要なのは QR コードをスキャンすることだけです。サイバー セキュリティの専門家として、そして常に疑心暗鬼な人間として、私はどこにあっても QR コードをスキャンしません。そんな生き方をしてはいけないことは分かっていますが、私が QR コードをスキャンしているのを見ると、教皇が呪いの言葉を言っているのを聞いているような気分になります。


私たちが頭を下げて祈っているとき、あるアイデアが浮かびました。誰かが教会の QR コードを自分の悪意ある QR コードと入れ替えて、クレジットカード情報を盗んだらどうなるでしょうか。そのとき、私は教会を「ハッキング」しようと決心しました…少なくとも理論上は。 「父よ、私をお許しください。私は罪を犯しました。」

QRコードを理解する

QR コードとは何ですか? QR コード (クイック レスポンス コードの略)は、機械が読み取るためのデータを格納する、グリッドに設定された白黒の正方形またはピクセルの配列です。スマートフォンやカメラは、QR コードの特定のピクセル配列に含まれる情報をすばやく処理できるため、データの格納とアクセスに便利です。教会での一般的な使用法 (デジタル ニュースレター、オンライン寄付、イベント登録など)。

フィッシングの基本

フィッシングはソーシャル エンジニアリングの一種で、電子メール、電話、テキスト メッセージによる通信を通じて、偽の Web サイトへの誘導などのアクションをユーザーに要求します。フィッシング攻撃とソーシャル エンジニアリング攻撃の両方で、収集された情報は、保護されたアカウントやデータへの不正アクセスを取得するために使用されます。

QRコードフィッシングの仕組み

QR コード フィッシングは他のフィッシング攻撃と同じように機能しますが、QR コードはより便利で、通常はリンクが表示されません。また、より汎用性が高く、世界中のどこにでも実装できます。お気に入りの TV 番組、コマーシャル、ニュース ステーション、企業、教会などで見つけることができます。信頼できる環境である教会コミュニティが魅力的なターゲットになるのはなぜでしょうか。


技術に詳しくない人が多く、高額の寄付を期待できます。また、座席の裏側には、QR コードが正規の QR コードであることを示す確認のマークはありません。スキャンして自分で確認しない限りは。このシナリオがもっともらしいとしたら、サイバー犯罪者はどうやってそれを実現するのでしょうか。聖餐のジュースとクラッカーを用意してください。後で告白することが山ほどあります。

不浄な意図

サイバー犯罪者が教会に対して QR コード フィッシング攻撃を実行したい場合、最初に行う必要があるのは偵察と戦術です。この場合、QR コード フィッシング攻撃を使用してクレジットカード情報を盗もうとします。成功するには、教会を調査し、教会員が寄付をする際に何をするかを調べる必要があります。


この攻撃では、サイバー犯罪者は攻撃を組織するために次の操作を実行します。

  • 教会がどのように寄付金を受け取っているかについての偵察。
  • 教会のウェブサイトと寄付用の部分を複製します。
  • 教会のドメインに似たドメインを購入し、VPS 環境でホストします。
  • サイバー犯罪者に支払いを指示するコードを作成します。
  • テスト。
  • 教会に通い、座席の裏に QR コードを貼ります。
  • 待ってクレジットカード情報を取得します。
  • 地獄から抜け出すのに十分な恩恵を買ってください…。

「ここに入る者よ、すべての希望を捨てよ」



攻撃の偵察部分を終えた後、サイバー犯罪者は教会のウェブサイトを探し出し、攻撃のためにそれを複製します。これは、教会の信者が教会で QR コードをスキャンした後、さらに先に進むよう説得するのに役立ちます。目的は、教会の信者が訪問しているウェブサイトが悪意のあるものであると疑わないようにすることです。実際のウェブサイトを複製することは、人間が URL 部分を見ることはほとんどないため、攻撃に役立ちます。


攻撃を開始するには、「ソーシャルエンジニアリングツールキット」または「SET」と呼ばれるツールを使用します。ソーシャルエンジニアリングツールキット(SET)は、人間に対して高度な攻撃を実行するために特別に設計されています。SETは、 https://www.social-engineer.org SET はリリースされてからすぐに侵入テスト担当者の武器庫の標準ツールになりました。SET は David Kennedy (ReL1K) によって作成され、コミュニティからの多大な支援により、これまでのエクスプロイト ツールセットでは見られなかった攻撃が組み込まれました。


ツールキットに組み込まれた攻撃は、侵入テスト中に使用される個人または組織に対する標的型かつ集中的な攻撃となるように設計されています。


「ソーシャルエンジニアリングツールキット」または「SET」


SET を使用して Web サイトを複製するのは簡単です。SET では、Web サイトを複製する前にいくつかのオプションを実行する必要があります。SET を実行したら、次のオプションが必要になります。


  • ソーシャル エンジニアリング攻撃の場合はオプション 1 を選択します。

  • ウェブサイト攻撃ベクトルの選択

  • 資格情報ハーベスター攻撃方法を選択します。


「ソーシャルエンジニアリングツールキット」メニュー



次のメニューでは、被害者の認証情報を収集するためにどの方法を選択するか尋ねられます。この例では、教会の Web サイトを複製するため、オプション 2 を選択します。


SET サイトクローナー


SET は、クローンされた Web サイトからの POST リクエストをユーザーのマシンに送り返すために、ユーザーの IP アドレスを尋ねます。SET に Web サイトのクローンを作成する旨を伝えると、クローンするサイトの URL を尋ねられます。


SET サイトクローナー


URL を入力すると、SET はサイトを複製し、サイトのすべての POST リクエストをこのターミナルに表示します。これで、複製されたサイトに移動できるようになりました。


SET サイトクローナー


ここで、ユーザーを偽の Web サイトにリダイレクトする QR コードの作成に焦点を当てます。インターネットには QR コードを作成できる Web サイトが多数ありますが、ソーシャル エンジニアリング ツールキットでも QR コードを生成することができます。プロセスは非常に簡単で、オプション9QR コード ジェネレーター攻撃ベクトルを選択するだけです。


QRコードジェネレーターの攻撃ベクトル


SET は、この QR コードをスキャンするユーザーをリダイレクトする URL を要求します。このアドレスにリスナーを設定しているため、URL を IP アドレスとして使用します。


SET サイトクローナー


QR コードを配布する方法はたくさんありますが、私たちはそれを教会の椅子の裏に貼り付けて、後で許しを乞うつもりです。

教会で罪人のように汗をかく

教会の椅子に座りながら祈りを捧げ、QR コードを置きました。もちろん、スキャンするのは私だけで、私たちはただ仮説をテストしているだけでした。「天国の門」に入るために、これ以上の不利な点は必要ありません。私は深呼吸して QR コードをスキャンしました。すると、私が作成したクローンの Web サイトが表示されました。


複製されたウェブサイト


次に寄付セクションをクリックすると、教会に寄付するためのサインアップの入力部分が表示されました。



偽ウェブサイトの入力部分


私はゆっくりと各セクションにすべての情報を入力し、「送信」をクリックしました。その後、情報がキャプチャされるかどうかを確認しました。これは、私が作成した偽の Web サイトにアクセスすると、ポート 80 で動作し、すべてクリア テキスト通信であるため可能になりました。


セクションを与える


ほんの少し待ってから、リクエストが送信されていないかコンピューターをチェックしました。下を見ると、クレジットカードで行われたリクエストが正常にキャプチャされていたことがわかりました。攻撃は偽の QR コードを使用して実行され、偽の Web サイトが複製されました。


取得したクレジットカード情報


罪人から聖人へ

この攻撃は私にとっては衝撃的でしたが、それは私がサイバー セキュリティの専門家であり、攻撃の仕組みを知っているからです。平均的な教会員は、牧師から寄付したいなら QR コードをスキャンするように指示されても、疑問を抱くことはないでしょう。QR コードの問題はそこにあります。教会に通う人は QR コードに関して何ができるでしょうか。約束の地へご案内しましょう。


  • QR コードをスキャンする代わりに、アプリを使用して寄付してください。


  • 実際のウェブサイトを使用して教会に寄付します。


  • QR コードをスキャンする場合は、必ず Web サイトの URL セクションを分析してください。URL は、ユーザーを騙すために余分な単語や記号が使われておらず、正しく入力されている必要があります。


  • QR コードをスキャンする場合は、疑わしい項目がないか常に確認してください。ブラウザを開くときは常に「HTTPS」になっている必要があります。また、企業が取引に Stripe や PayPal などのサードパーティを使用する場合もあります。


QR コードの継続的な使用には多くのリスクが伴います。その中にはセキュリティを上回るものもあります。人々は QR コードがもたらす簡単なアクセスを楽しんでいます。スキャンして次に何が起こるかを楽しむ以外に、多くのことを行う必要はありません。次に何が起こるかによって銀行口座が損なわれ、しばらくの間生活が破綻するとしたらどうでしょうか。イエスがかつて言ったように、「私はあなたたちを狼たちの中の羊として遣わす」のです。