UEM

AKIBANA

Informática, Análisis de Datos, Gadgets y Nuevas Tecnologías

QRLJacking: Cómo ver conversaciones de WhatsApp de otra persona

Enrique Puertas Director del Master Universitario en Big Data Analytics Blog AKIBANA Published 12 January 2017

En este post voy a comentar un ataque conocido QRLJacking con el fin de que seamos conscientes del peligro, ya que permite que otra persona robe nuestras conversaciones de WhatsApp.

Dentro del temario de la asignatura de “Seguridad en Redes de Ordenadores” que imparto en la universidad, hay un apartado del temario dedicado a lo que se denomina “Ingeniería Social”, una técnica de intrusión que ataca uno  de los puntos más débiles de un sistema de información: las personas. Dentro de este tipo de ataques podemos encontrar prácticas muy conocidas como el phising (https://es.wikipedia.org/wiki/Phishing) o el scamming (https://es.wikipedia.org/wiki/Scam). Seguro que todos hemos recibido por email alguna vez correos que intentan suplantar páginas de bancos, otras instituciones o a personas legítimas.

En este artículo voy a explicar un ataque menos conocido y relativamente nuevo: el QRLJacking. Este ataque de ingeniería social permite robar cuentas que usan códigos QR como medida de validación (como por ejemplo Whatsapp o AliExpress).

El QRLJacking es un ataque de Ingeniería Social que consiste en engañar a la víctima para que escanee un código QR válido pero que ha sido generado para dar acceso al atacante.

Veamos cómo funcionaría en el caso de WhatsApp. Este es el esquema del ataque:

ataque_qrljacking_whatsapp.jpg

 

  1. El atacante se conecta a la web de whatsapp (web.whatsapp.com) y obtiene un código QR de sesión válido. Dado que estos códigos tienen una validez limitada en el tiempo, necesitamos un servidor que genere peticiones cada 20-30 segundos.

  2. El atacante construye un página web falsa con ese código obtenido del paso 1 y, mediante Ingeniería Social, hacemos que la víctima escanee el código QR con su teléfono.

Un ejemplo del paso 2 sería construir una web que muestre un mensaje como el que vemos en la imagen siguiente, y a continuación hacer que le aparezca a la víctima (usando por ejemplo un ataque de “Man in The Middle”). Cuando la víctima escanee este código, podremos acceder a los mensajes.

fake whatsapp

Los pasos completos para realizar este ataque son fáciles de encontrar en multitud de portales de seguridad y en videos de Youtube y existe software libre que permite realizar este proceso que hemos descrito, por lo que hay que tener mucho cuidado si nos encontramos con un sitio web que nos pide escanear un código usando WhatsApp.

Cómo protegernos

Las medidas que debemos tomar para protegernos de este tipo de fraudes son muy parecidas a las que tomamos con el spam o el phising: Ser cauteloso con todos aquellos sitios que nos soliciten información o que escaneemos un código, sobre todo si hemos iniciado ninguna solicitud de inicio de sesión. Más en concreto, no escanear nunca con whatsapp un código si no lo hemos solicitado explícitamente nosotros accediendo a la web oficial de Whatsapp.

 

 

Share in Twitter Share in Facebook Share in LinkedIn
Comments
Leave a comment