Phishing a Whatsapp con QRLJacking



Hoy vamos a ver como hacer un phishing suplantando una de las mayores redes sociales o servicio de mensajería del mundo como es el todo poderoso WhatsApp e intentaremos robar la identidad de un usuario de esta red social.



Como todos sabemos el phishing es hoy una amenaza muy grande de ingeniería social para robar los credenciales de los clientes de un servicio deseado.

Qué es QRLJacking

Ya hemos explicado en otra ocasión qué es QRLJacking y para qué sirve, pero esta vez vamos a seguir el mismo proceso que seguimos en el post mencionado antes lo único es que nos vamos a ir a la opción de Chat Applications ---> WhatsApp, lo único es que esta vez es un poco más complejo que la última vez que vimos la aplicación. Los pasos a seguir son los siguientes:
Para lanzar la aplicación tenemos que entrar en la carpeta de la misma, dirigirnos hasta la carpeta QRLJacking-Framework y ponemos lo siguiente:
python QRLJacker.py
Nos saldrá algo como esto:




  1. Montar el servidor web con el archivo qrHandler.php
  2. Luego prepararemos el archivo html con la imagen del QR Code
  3. Luego usaremos un navegador como Mozilla Firefox capaz de inyectar el script WhatsAppQRJackingModule.js
Si hemos hecho estos pasos bien, significa que una vez un dispositivo ha escaneado nuestro código QR  habremos sido capaces de conseguir robar la sesión del usuario en cuestión.

Os mostramos un vídeo con un ejemplo del funcionamiento de la aplicación



Hay que tener en cuenta que este tipo de aplicaciones solamente hay que usarla en entornos controlados y sólo como pruebas de concepto ya que el uso externo de estás técnicas son completamente ilegales y te puedes buscar un lio.

Y la pregunta del millón, ¿Cómo protegerte de este tipo de phishing? Pues ahí como en la mayoría ya depende de la pericia de cada uno y el sentido común, además de los factores determinantes como no fiarte de sitios que no están certificados, fijarse en las url...

Recordar que estamos abiertos a todo tipo de correcciones.

Para más info puedes consultarnos en nuestro email info@rekat.es o a través de nuestra página web https://rekat.es

También estamos disponibles tanto por Facebook como por Twitter

Saludos! 👾

Comentarios

Publicar un comentario

Entradas populares de este blog

Analizando metadatos con Metagoofil

Imagen
¿Qué es Metagoofil? Metagoofil es una herramienta bastante utilizada para la recolección de información, en este caso metadatos , ya que puede analizar por completo un dominio buscando y descargando todos los archivos públicos que le indiques y extrayendo los metadatos asociados a los mismos.
Leer más

Fotografía forense con Fotoforensics

Imagen
Es indudable que con tantos dispositivos con cámara como hoy en día tenemos sumado a la facilidad de uso que a veces muestran los programas de retoque fotográfico hace que haya veces en las que una imagen nos ponga en duda de si es verdadera o falsa. Ahí es donde nosotros entramos con esta fantástica herramienta llamada Fotoforensics .
Leer más

Pescando en Facebook

Imagen
Con todo el revuelo que hay hoy en día con Facebook tenemos que recordar que hay gente que se aprovecha de la desorientación general que están teniendo lo usuarios de esta red social tan usada. Hay gente que con un poco de ingeniería social están aprovechando para robar los credenciales de acceso a Facebook usando todas las artimañas posibles casi indetectables incluso para expertos.
Leer más