28 maio
2019

QRLjacking: sequestro de contas do WhatsApp pelo QR Code

As mensagens com conteúdo malicioso são cada vez mais comuns no WhatsApp, mas essa não é a única ameaça que circula por esse app de troca de mensagens. Os atacantes também podem sequestrar contas e ter acesso a todas as informações.

Como se não bastassem as mensagens maliciosas que prometem mundos e fundos mas tem o intuito de prejudicar as vítimas, os criminosos também contam com ferramentas que permitem o sequestro completo de uma conta de WhatsApp.

É isso mesmo, acesso a todos os contatos, todos os arquivos, todas as conversas, como se fosse a própria vítima. Para que o objetivo seja atingido, os criminosos se utilizam de uma facilidade disponibilizada pelo próprio WhatsApp, o uso do aplicativo em um computador. O golpe ocorre através de um método de engenharia social, conhecido como QRLJacking, que consiste em atacar aplicações que utilizam QR Code como forma de login.

Quem já utilizou o aplicativo em um computador sabe que o processo é bem simples, na tela principal do app basta acessar as opções e ir em “WhatsApp Web”, uma tela para escaneamento de QR Code, da sigla em inglês Quick Response, aparecerá. Em seguida basta abrir a página que dá acesso ao WhatsApp no computador (https://web.whatsapp.com), escanear o código através do aplicativo e pronto, o app pode ser usado no computador.

Criminosos se aproveitam dessa facilidade para convencer as vítimas a escanear o QR Code gerado por eles para realizar golpes. Abaixo temos um exemplo de uma página criada pela ferramenta que tenta sequestrar a sessão das vítimas.

À primeira vista talvez pensemos: “mas esse site é muito mal feito, não se parece em nada com a página bem estruturada do WhatsApp Web, ninguém escanearia esse QR Code”. É, talvez esse pensamento esteja certo. No entanto a ferramenta maliciosa foi feita para ser adaptada as necessidades de cada atacante, como quase todas as ferramentas maliciosas.

Sua estrutura interna abre essa página padrão apenas como exemplo, pois o código fonte da página está disponível para modificação, e aceita códigos HTML, scripts e diversos outros recursos voltados ao desenvolvimento web.

Imagine que o atacante dedique um tempo para montar algo mais convincente, como um banner de publicidade, que oferece um ano de algum serviço inteiramente grátis, e que essa propaganda apareça quando a vítima navega por sites variados, parece bem mais convincente, não?

Essa é apenas uma das possibilidades em que os atacantes conseguem manipular a página de exibição para fazer com que as vítimas caíam no golpe.

Como o ataque funciona

O QR Code é uma imagem que, após interpretada gera um conjunto de códigos. No caso do WhatsApp, o app utiliza esse código para validar o acesso dos usuários ao seu sistema, sem nenhum tipo de validação adicional.

Sabendo disso, os criminosos desenvolveram ferramentas que capturam e armazenam a imagem do código QR gerado pelo WhatsApp, e criam um novo QR Code para ser exibido à vítima, como é possível observar nas imagens acima, a olho nu não é possível diferenciar o código original do código forjado pelos atacantes.

Após isso, a sessão da vítima fica armazenada no computador do criminoso e ele pode utilizá-la como bem entender, sem causar nenhum tipo de interrupção no uso do aplicativo no smartphone da vítima.

Sobre a tecnologia QR

Apesar desta publicação ser dedicada a falar sobre a ameaça que acontece no WhatsApp, é importante salientar que diversas aplicações utilizam QR Code. O fato de haver a possibilidade de comprometer os usuários do WhatsApp significa que, todas as aplicações que utilizarem códigos QR desta mesma forma podem sofrer ataques similares.

É possível incrementar o nível de controle e fazer validações adicionais para que o código QR possa ser utilizado de forma mais segura, mas a segurança deste recurso tão prático esbarra no mesmo ponto que boa parte dos novos recursos tecnológicos, a balança entre Usabilidade x Segurança. Boa parte das vezes os fabricantes optam por disponibilizar novos e incríveis recursos, mas deixam a segurança totalmente, ou quase totalmente, de lado.

É necessária uma conscientização também por parte dos fabricantes para que os dados dos usuários fiquem cada vez mais protegidos e as aplicações possuam cada vez mais recursos voltados a segurança.

Como não ser vítima

Não é necessário parar de utilizar o recurso apenas pelo fato de descobrir que ele não tem características de segurança para evitar que as contas sejam sequestradas, basta ter um comportamento seguro e se manter alerta, alguns detalhes não podem ser alterados nem pelo mais experiente dos atacantes. Fique atento as dicas de segurança que separamos para você:

  • Conheça o aplicativo que está usando. No caso do WhatsApp o recurso de escaneamento de QR code serve única e exclusivamente para permitir que os usuários utilizem o aplicativo em seus computadores, nada além. Se algum banner de publicidade aparecer, independente de qual site seja, pedindo para que um código QR seja escaneando para que algum benefício seja dado ou alguma validação seja feita, não acredite, isto é parte de um ataque. Caso um recurso similar a esse fosse de fato verdade ele seria amplamente divulgado pelo WhatsApp em suas mídias oficiais.
  • Acesse o mínimo necessário em redes púbicas ou pouco confiáveis. Esse e diversos outros tipos de ataques acontecem quando o criminoso está na mesma rede de suas vítimas, sendo assim, evite usar recursos que não sejam extremamente necessários para você no momento em que precisa utilizar uma rede insegura.
  • Fique atento a sua navegação mesmo estando em redes seguras, como em casa ou no trabalho. Infelizmente criminosos podem ser literalmente qualquer pessoa, não é possível saber quão próximo eles nós estamos. Manter a atenção mesmo estando em redes consideraras seguras é uma ótima prática que evita diversos tipos de ataques.
  • Ataques desse tipo costumam não gerar nenhum tipo de retorno para o usuário, caso escaneie um código e não receba nenhum retorno muito provavelmente se trata de um ataque. Em caso de dúvidas, na janela principal do WhatsApp vá em WhatsApp Web e saia de todas as sessões que foram iniciadas. Isso fará com que os criminosos percam acesso ao WhatsApp de suas vítimas imediatamente.
  •  Mantenha todos os softwares de segurança ativados e configurados para bloquear ameaças, tanto em seu smartphone quanto em seu computador.
  • Faça atualização constante de todos os softwares e aplicativos. Atualizações trazem novos recursos e corrigem eventuais problemas de segurança que os softwares possam ter.

Fonte: WeLiveSecurity

1
Olá
Podemos te ajudar?
Powered by
%d blogueiros gostam disto: