เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

QRLJacking: เทคนิคแฮ็คระบบล็อกอินที่ใช้ QR Code

Mohammed Abdelbasset Elnouby นักวิจัยด้านความมั่นคงปลอดภัยข้อมูลชาวอียิปต์จาก Seekurity Inc. ออกมาเปิดเผยถึงเทคนิคการทำ Session Hijacking สำหรับใช้แฮ็คข้อมูลบัญชีผู้ใช้จากการล็อกอินผ่านทาง QR Code โดยเรียกเทคนิคนี้ว่า QRLJacking (Quick Response Code Login Jacking)

qrljacking_2

หลายท่านน่าจะเคยเห็นวิธีการล็อกอินโดยใช้ QR Code บนแอพพลิเคชันชื่อดังหลายประเภท เช่น Line หรือ WhatsApp บน PC/Mac ซึ่งช่วยให้คุณสามารถลงทะเบียนเข้าใช้งานแอพพลิเคชันได้อย่างรวดเร็วโดยไม่จำเป็นต้องพึ่งพารหัสผ่าน แต่ใช้วิธีการแสดง QR Code บนหน้าจอ แล้วสแกนโค้ดดังกล่าวผ่านทางแอพพลิเคชันบนมือถือแทน วิธีการพิสูจน์ตัวตนรูปแบบนี้เรียกว่า SQRL หรือ Secure Quick Response Login

Mohammed ระบุว่า เทคนิค QRLJacking ช่วยให้เขาสามารถแฮ็ค SQRL ผ่านทางการหลอกให้เหยื่อสแกน QR Code ของตนแทน ซึ่งขั้นตอนการโจมตีเป็นดังนี้

  1. แฮ็คเกอร์เริ่ม QR Session ฝั่ง Client แล้วทำการคัดลอก Login QR Code ไปฝากไว้บนเว็บ Phishing
  2. ส่งหน้าเว็บ Phishing ที่มี QR Code ไปยังเหยื่อ
  3. หลอกล่อเหยื่อให้สแกน QR Code ผ่านทางแอพพลิเคชันบนมือถือ เช่น Line หรือ WhatsApp
  4. แอพพิลเคชันส่งข้อมูลการล็อกอินไปยังบริการของตนเพื่อดำเนินการพิสูจน์ตัวตน
  5. ผลลัพธ์คือ แฮ็คเกอร์ผู้ซึ่งเป็นเริ่ม QR Session ฝั่ง Client สามารถเข้าควบคุมบัญชีของเหยื่อได้ทันที
  6. แอพพลิเคชันเริ่มทำการแลกเปลี่ยนข้อมูลของเหยื่อกับ Brower Session ของแฮ็คเกอร์

qrljacking_1

วิดีโอสาธิตเทคนิค QRLJacking

ผลลัพธ์ของการโจมตีแบบ QRLJacking ช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมบัญชีของเหยื่อที่ใช้การพิสูจน์ตัวตนผ่านทาง QR Code เพื่อเข้าถึงแอพพลิเคชันได้ ส่งผลให้แฮ็คเกอร์สามารถขโมยข้อมูลส่วนบุคคลอื่นๆ เช่น ตำแหน่ง GPS ของเหยื่อ หมายเลข IMEI และข้อมูลบน SIM Card ต่อได้

ผู้ที่สนใจสามารถอ่านรายละเอียดของเทคนิค QRLJacking ได้ผ่านทาง OWASP และ GitHub

ที่มา: http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sophos แจ้งลูกค้าพบเหตุ Data Breach

Sophos ได้อีเมลแจ้งลูกค้าว่าพบเหตุ Data Breach ในเครื่องมือที่ใช้เก็บข้อมูลลูกค้า

[Guest Post] SECPlayground Year-end Non-stop Challenge (SYNC) 2020

แม้ว่าโลกเราจะหมุนไปเร็วเพียงใด มีแนวโน้มในการปรับลดจำนวนพนักงานในตำแหน่งต่าง ๆ ให้ลดลงเพียงใด อาชีพหนึ่งที่ยังคงมีการเปิดรับและเป็นที่ต้องการมากขึ้นเสมอในช่วงหลายปีที่ผ่านมานั่นคืออาชีพในสาย Cybersecurity นั่นเอง