Paranoia Hack Lunes, 20 abril 2015

Acosando, espiando y hasta robando desde un código QR. ¡Cuidado con lo que escaneas con el celular!

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Si algo he aprendido en la vida es a estar atento y curioso de mi alrededor. Mientras voy por las calles observo unos anuncios muy curiosos con un código QR, es decir, ‘esa imagen con puntos’ que uno escanea con el celular para ir a una pagina o alguna información.

Tras ver ello, se me ocurrió analizar este tipo de anuncios pegados en postes, y saber qué tan confiadas son las personas para que un hacker se aproveche. Por ello te enseñamos a ser cautelosos y a protegerte.

QR-Hacking-peru

 

El ataque es muy sencillo y el costo es la imaginación y unas cuantas impresiones. Suelen fingir ser afiches de trabajos atractivos, sorteos, viajes baratos, alquiler de habitaciones, regalo de cachorros y un largo étcetera. Luego de segmentar a sus posibles víctimas, se realiza un afiche con un mensaje y código QR con alguna aplicación gratuita. Luego queda ir a pegarlas en los postes del bosque de cemento para localizar gente confiada.

 

codigoQR1-ataque-victima

 

codigoQR3-ataque-victima

Los códigos QR que vemos en la parte superior, además de llevar a la persona a un formulario para que dejen su nombre, teléfono, correo y un mensaje, también capturaba la IP, el Sistema Operativo del celular, la hora y la fecha que se ingresó al formulario. Al analizar el contenido se determinó que muchas personas escanearon el QR pero pocos llenaron el formulario, es decir, ingresaron y salieron.

Sin embargo,  el ‘script’ (o código oculto) ya había obtenido algunos datos del dispositivo. Las personas que se animaron a rellenar el formulario, obviamente, se exponen aún más al brindar por sí mismos, sus nombres, correo, teléfono y profesión.

 

¿CÓMO FUNCIONA?

Al escanear el código QR con el smartphone saldrá una imagen similar:

Screenshot_2015-04-19-21-08-33Pide ingresar a una página web que es un formulario.

Screenshot_2015-04-19-21-08-56

La persona ve un formulario común. Sin embargo, un código oculto captura datos (en este caso básicos, nada invasivo).

 

1nombredechicas-formulario

 

ANÁLISIS EN POCO TIEMPO

En pocos días se observa que varias personas puedan ser presa de estafadores, acosadores, delincuentes o cualquier individuo con malas intenciones. Un sencillo código oculto tras el formulario obtuvo los siguientes datos:

2IP-dato-hacking

IP, Sistemas Operativos con fecha y hora de quienes escanearon el código QR.

 

victimas-QR-hacking-

Se logró obtener el Whatsapp de algunas de las confiadas víctimas.

 

IP-ISP-TRACERT

Determinar a qué proveedor y ciudad apuntan las IPs de los celulares.

 

PELIGRO REAL:

Los datos obtenidos parecen básicos pero con una investigación profunda se podría conseguir detalles específicos para posibles ciberataques. Imagínate que añadan al formulario DNI, dirección de domicilio o de trabajo o algo así, dependiendo del afiche. Asimismo, el código QR puede ser usado para ataques combinados más maléficos:

  1. Decirte que tienes que instalar una aplicación para ‘postular’. Al final instalarían un app espía.
  2.  Llevar a la persona hacia una WiFi falsa para interceptar información como contraseñas, mensajes, tráfico.
  3. Se podría descargar un malware o virus de forma automática.
  4. Dirigirte a páginas web clonadas de bancos o alguna entidad para robarte.
  5. Aprovechar que alguna aplicación o sistema esté desactualizada para atacarla.
  6. Y mucho, muuuucho más.

SOLUCIÓN:

1) Siempre desconfiar de los anuncios, más si parecen tan buenos en un mundo tan malo.
2) Tener un antivirus actualizado en tu dispositivo.
3) Siempre actualizar todas las aplicaciones del smartphone.

 

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulneró la seguridad de ninguna persona, página, servidor o sistema. Los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.