Phishing a Whatsapp con QRLJacking
Hoy vamos a ver como hacer un phishing suplantando una de las mayores redes sociales o servicio de mensajería del mundo como es el todo poderoso WhatsApp e intentaremos robar la identidad de un usuario de esta red social.
Como todos sabemos el phishing es hoy una amenaza muy grande de ingeniería social para robar los credenciales de los clientes de un servicio deseado.
Qué es QRLJacking
Ya hemos explicado en otra ocasión qué es QRLJacking y para qué sirve, pero esta vez vamos a seguir el mismo proceso que seguimos en el post mencionado antes lo único es que nos vamos a ir a la opción de Chat Applications ---> WhatsApp, lo único es que esta vez es un poco más complejo que la última vez que vimos la aplicación. Los pasos a seguir son los siguientes:
Para lanzar la aplicación tenemos que entrar en la carpeta de la misma, dirigirnos hasta la carpeta QRLJacking-Framework y ponemos lo siguiente:
python QRLJacker.pyNos saldrá algo como esto:
- Montar el servidor web con el archivo qrHandler.php
- Luego prepararemos el archivo html con la imagen del QR Code
- Luego usaremos un navegador como Mozilla Firefox capaz de inyectar el script WhatsAppQRJackingModule.js
Si hemos hecho estos pasos bien, significa que una vez un dispositivo ha escaneado nuestro código QR habremos sido capaces de conseguir robar la sesión del usuario en cuestión.
Os mostramos un vídeo con un ejemplo del funcionamiento de la aplicación
Hay que tener en cuenta que este tipo de aplicaciones solamente hay que usarla en entornos controlados y sólo como pruebas de concepto ya que el uso externo de estás técnicas son completamente ilegales y te puedes buscar un lio.
Y la pregunta del millón, ¿Cómo protegerte de este tipo de phishing? Pues ahí como en la mayoría ya depende de la pericia de cada uno y el sentido común, además de los factores determinantes como no fiarte de sitios que no están certificados, fijarse en las url...
Recordar que estamos abiertos a todo tipo de correcciones.
Para más info puedes consultarnos en nuestro email info@rekat.es o a través de nuestra página web https://rekat.es
También estamos disponibles tanto por Facebook como por Twitter
Saludos! 👾
Y la pregunta del millón, ¿Cómo protegerte de este tipo de phishing? Pues ahí como en la mayoría ya depende de la pericia de cada uno y el sentido común, además de los factores determinantes como no fiarte de sitios que no están certificados, fijarse en las url...
Recordar que estamos abiertos a todo tipo de correcciones.
Para más info puedes consultarnos en nuestro email info@rekat.es o a través de nuestra página web https://rekat.es
También estamos disponibles tanto por Facebook como por Twitter
Saludos! 👾
Comentarios
Publicar un comentario