1K
440
1K
0
dark
Hand-Picked Top-Read Stories
Trending Tags
2 minute read

QRLJacking – A New Social Engineering Attack Vector

Avatar photo
Van Lyubov
December 8, 2018
Total
0
Shares
0
0
0

QRLJacking atau Quick Response Code Login Jacking adalah vektor serangan simple social engineering yang mampu membajak sesi (Session Hijacking) yang mempengaruhi semua aplikasi yang mengandalkan fitur “Login with QR Code” sebagai cara aman untuk login ke akun. Singkatnya, target/korban memindai QR Code si attacker.

Apa saja Requirements yang di butuhkan untuk kesuksesan QRLJacking attack ?

Serangan QRLJacking terdiri dari dua sisi:

  • Server Side : Server side script diperlukan untuk melayani dan membentuk tampilan akhir untuk korban.

  • Client Side : Mengkloning QR Code dan memasukanya ke halaman phishing.

Contoh adalah: Aplikasi Web WhatsApp

Pengaturan Server (Attacker Hosting):

  1. Upload “qrHandler.php” ke server  kalian. File php ini digunakan untuk meng convert base64 QR Code string menjadi file .JPG yang valid.

  2. Setelah itu, nantinya dihasilkan gambar QR bernama “tmp.jpg” yang berada di folder root yang sama dengan file kalian yang akan diperbarui setiap kali file php itu dipanggil, sehingga kita dapat meletakkannya di mana saja. Misalnya: halaman WhatsApp palsu, halaman scam WhatsApp, dll.

Sekarang perbarui file “phishing.html” dengan source code phishing page kalian.

Exploitation, Client Side Setup (Attacker’s browser):
Manually:

  1. Buka browser Firefox.

  2. Tulis “about:config” di url area, klik tombol Confirmation “I’ll be careful, I promise”.

  3. Cari “security.csp.enable” dan ubah nilainya menjadi “false” dengan double click yang nantinya melakukan XHR Request dari domain yang berbeda.

  4. Instal add-on Greasemonkey (https://addons.mozilla.org/en-US/firefox/addon/greasemonkey) dan pastikan bahwa file modul “WhatsAppQRJackingModule.js” dimuat dan sudah berjalan.

  5. Buka “https://web.whatsapp.com” Tunggu sampai WhatsApp session dimuat. gunakan Greasemonkey WhatsApp modul untuk di Hijack.

  6. Kirim tautan langsung dari halaman phishing korban.
    Jika Kode QR discan, secara otomatis sesi korban terkirim ke kalian.

Demo Video :

Attackig WhatsApp Web dan MITM Attacking untuk menyuntikkan WhatsApp QR Code palsu.

Beberapa Aplikasi dan Web yang Vuln terhadap serangan ini :

  • Chat Applications:
    WhatsApp, WeChat, Line, Weibo, QQ Instant Messaging

  • Mailing Services:
    QQ Mail (Personal and Business Corporate), Yandex Mail

  • eCommerce:
    Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Taobao Trips

  • Online Banking:
    AliPay, Yandex Money, TenPay

  • Passport Service “Critical”:
    Yandex Passport (Yandex Mail, Yandex Money, Yandex Maps, Yandex Video, dll …)

  • Mobile Management Software:
    AirDroid

  • Other Services:
    MyDigiPass, Zapper & Zapper WordPress Login by QR Code plugin, Trustly App, Yelophone, Alibaba Yunos
Total
0
Shares
Share 0
Tweet 0
Pin it 0
Share 0
Share 0
Share 0
Leave a Reply

Your email address will not be published. Required fields are marked *

Previous Post

PRET – Printer Exploitation Toolkit

November 25, 2018
Next Post

SQL Injection Form Login Bypass

December 8, 2018
Related Posts