Előző bejegyzésünkben a záró kérdésünk az volt, hogyan néz ki egy támadás, ha a támadott weboldal QR-kódos azonosítást használ?
Jelen bejegyzésünkben ezt folyamat modellt mutatjuk be.
A folyamat:
- A támadó, aki kontrollálja a közbeékelt adathalász webhelyet, vagy célzottan az áldozat felhasználót keresi meg egy, a korábbi bejegyzésben vázolt preparált email-el, vagy tömeges email küldéssel próbál gyanútlan áldozatokat odacsalni az adathalász weboldalhoz.
- Sikeres "beetetés" esetén a felhasználó próbál bejelentkezni a hamisított weboldalon, rákattintva a QR-kód azonosítást kérő linkre.
- Ezt a kérést az adathalász webhely továbbítja a támadott oldal számára, mintha ő lenne az igénylő.
- Válaszként a valódi weboldal az azonosításhoz generál egy QR-kódot, amit visszaküld a hívónak, aki jelen esetben a támadó gépe.
- Ezt az elkapott QR-kódot a támadó továbbküldi a felhaszánló számára.
- A felhasználó a megfelelő kliens alkalmazással és eszközzel a QR-kódot leolvassa.
- Az alkalmazás segítségével jóváhagyja a hozzáférés kérést. Mivel a támadott weboldal szemszögéből a hívó a támadó gépe volt, ezért a ezen a ponton a támadó kapja meg a hozzáférést a támadott rendszerhez. A gyanú elterelése érdekében ezt követően a támadó
- vagy egy szolgáltatás nem elérhető hibaüzenetet küld az áldozatnak,
- vagy irányíthatja őt az eredeti weboldal megfelelő szolgáltatásához, mintha minden rendben történt volna.
- Innentől már szabad az út a támadó számára, hogy a neki tetsző adatainkoz hozzáférjen, mivel kontrollja van egy eltérített élő munkamenet felett. Amíg ez a munkamenet él, addig bármilyen adatunkhoz hozzáfér, azokat módosíthatja, az eredeti felhasználót kizárhatja a rendszerből.
Összehasonlítva az U2F megoldással, ahhoz képest az alábbi eltérések vannak:
- bonyolultabb használni,
- kompatibilis mobil telefonokra, és alkalmazásokra van szükség,
- a QR-kód levolvasó eszközök lemerülése esetén nem működik,
- nem nyújt védelmet az adathalász támadások ellen.
Ezzel a cikkel véget ért egy kisebb, adathalászat témájú sorozatunk.
Kapcsolódó cikkek:
Adathalászat OTP generátor által előállított jelszóval is védett oldalak esetén
Adathalászat SMS jelszóval is védett oldalak esetén
Adathalászat jelszóval védett oldalak esetén
Kell-e védekeznünk az adathalászat ellen?