Adathalászat QR-kóddal védett oldalak esetén

Adathalászat QR-kóddal védett oldalak esetén

Előző bejegyzésünkben a záró kérdésünk az volt, hogyan néz ki egy támadás, ha a támadott weboldal QR-kódos azonosítást használ?

Jelen bejegyzésünkben ezt folyamat modellt mutatjuk be.


A folyamat:

  1. A támadó, aki kontrollálja a közbeékelt adathalász webhelyet, vagy célzottan az áldozat felhasználót keresi meg egy, a korábbi bejegyzésben vázolt preparált email-el, vagy tömeges email küldéssel próbál gyanútlan áldozatokat odacsalni az adathalász weboldalhoz.
  2. Sikeres "beetetés" esetén a felhasználó próbál bejelentkezni a hamisított weboldalon, rákattintva a QR-kód azonosítást kérő linkre.
  3. Ezt a kérést az adathalász webhely továbbítja a támadott oldal számára, mintha ő lenne az igénylő.
  4. Válaszként a valódi weboldal az azonosításhoz generál egy QR-kódot, amit visszaküld a hívónak, aki jelen esetben a támadó gépe.
  5. Ezt az elkapott QR-kódot a támadó továbbküldi a felhaszánló számára.
  6. A felhasználó a megfelelő kliens alkalmazással és eszközzel a QR-kódot leolvassa.
  7. Az alkalmazás segítségével jóváhagyja a hozzáférés kérést. Mivel a támadott weboldal szemszögéből a hívó a támadó gépe volt, ezért a ezen a ponton a támadó kapja meg a hozzáférést a támadott rendszerhez. A gyanú elterelése érdekében ezt követően a támadó
    1. vagy egy szolgáltatás nem elérhető hibaüzenetet küld az áldozatnak,
    2. vagy irányíthatja őt az eredeti weboldal megfelelő szolgáltatásához, mintha minden rendben történt volna.
  8. Innentől már szabad az út a támadó számára, hogy a neki tetsző adatainkoz hozzáférjen, mivel kontrollja van egy eltérített élő munkamenet felett. Amíg ez a munkamenet él, addig bármilyen adatunkhoz hozzáfér, azokat módosíthatja, az eredeti felhasználót kizárhatja a rendszerből.    

Összehasonlítva az U2F megoldással, ahhoz képest az alábbi eltérések vannak:

  • bonyolultabb használni,
  • kompatibilis mobil telefonokra, és alkalmazásokra van szükség,
  • a QR-kód levolvasó eszközök lemerülése esetén nem működik,
  • nem nyújt védelmet az adathalász támadások ellen.

Ezzel a cikkel véget ért egy kisebb, adathalászat témájú sorozatunk.

Kapcsolódó cikkek:

Adathalászat OTP generátor által előállított jelszóval is védett oldalak esetén

Adathalászat SMS jelszóval is védett oldalak esetén
 
Adathalászat jelszóval védett oldalak esetén

Kell-e védekeznünk az adathalászat ellen?