Ingram SUSE

QRLJacking: เทคนิคแฮ็คระบบล็อกอินที่ใช้ QR Code

Mohammed Abdelbasset Elnouby นักวิจัยด้านความมั่นคงปลอดภัยข้อมูลชาวอียิปต์จาก Seekurity Inc. ออกมาเปิดเผยถึงเทคนิคการทำ Session Hijacking สำหรับใช้แฮ็คข้อมูลบัญชีผู้ใช้จากการล็อกอินผ่านทาง QR Code โดยเรียกเทคนิคนี้ว่า QRLJacking (Quick Response Code Login Jacking)

qrljacking_2

หลายท่านน่าจะเคยเห็นวิธีการล็อกอินโดยใช้ QR Code บนแอพพลิเคชันชื่อดังหลายประเภท เช่น Line หรือ WhatsApp บน PC/Mac ซึ่งช่วยให้คุณสามารถลงทะเบียนเข้าใช้งานแอพพลิเคชันได้อย่างรวดเร็วโดยไม่จำเป็นต้องพึ่งพารหัสผ่าน แต่ใช้วิธีการแสดง QR Code บนหน้าจอ แล้วสแกนโค้ดดังกล่าวผ่านทางแอพพลิเคชันบนมือถือแทน วิธีการพิสูจน์ตัวตนรูปแบบนี้เรียกว่า SQRL หรือ Secure Quick Response Login

Mohammed ระบุว่า เทคนิค QRLJacking ช่วยให้เขาสามารถแฮ็ค SQRL ผ่านทางการหลอกให้เหยื่อสแกน QR Code ของตนแทน ซึ่งขั้นตอนการโจมตีเป็นดังนี้

  1. แฮ็คเกอร์เริ่ม QR Session ฝั่ง Client แล้วทำการคัดลอก Login QR Code ไปฝากไว้บนเว็บ Phishing
  2. ส่งหน้าเว็บ Phishing ที่มี QR Code ไปยังเหยื่อ
  3. หลอกล่อเหยื่อให้สแกน QR Code ผ่านทางแอพพลิเคชันบนมือถือ เช่น Line หรือ WhatsApp
  4. แอพพิลเคชันส่งข้อมูลการล็อกอินไปยังบริการของตนเพื่อดำเนินการพิสูจน์ตัวตน
  5. ผลลัพธ์คือ แฮ็คเกอร์ผู้ซึ่งเป็นเริ่ม QR Session ฝั่ง Client สามารถเข้าควบคุมบัญชีของเหยื่อได้ทันที
  6. แอพพลิเคชันเริ่มทำการแลกเปลี่ยนข้อมูลของเหยื่อกับ Brower Session ของแฮ็คเกอร์

qrljacking_1

วิดีโอสาธิตเทคนิค QRLJacking

ผลลัพธ์ของการโจมตีแบบ QRLJacking ช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมบัญชีของเหยื่อที่ใช้การพิสูจน์ตัวตนผ่านทาง QR Code เพื่อเข้าถึงแอพพลิเคชันได้ ส่งผลให้แฮ็คเกอร์สามารถขโมยข้อมูลส่วนบุคคลอื่นๆ เช่น ตำแหน่ง GPS ของเหยื่อ หมายเลข IMEI และข้อมูลบน SIM Card ต่อได้

ผู้ที่สนใจสามารถอ่านรายละเอียดของเทคนิค QRLJacking ได้ผ่านทาง OWASP และ GitHub

ที่มา: http://thehackernews.com/2016/07/qrljacking-hacking-qr-code.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] หัวเว่ยเปิดตัวสายผลิตภัณฑ์โซลูชันอินเทอร์เน็ตอัจฉริยะ ช่วยเสริมโครงสร้างพื้นฐาน ไอซีทีของมหาวิทยาลัยไทยและภาคองค์กรธุรกิจให้พร้อมรับมือทุกสถานการณ์

เมื่อเร็วๆ นี้ หัวเว่ยจัดงาน Huawei Asia Pacific IP Club Carnival 2021 ภายใต้หัวข้อ “พร้อมรับการเปลี่ยนแปลงด้วยเทคโนโลยีอินเทอร์เน็ตอัจฉริยะเพื่อขับเคลื่อนอนาคตใหม่ให้วงการ” พร้อมเผยว่าโซลูชันด้านการสื่อสารและส่งข้อมูลจะช่วยเร่งการเปลี่ยนผ่านสู่ยุคดิจิทัลในภาคอุตสาหกรรมต่าง ๆ และจะช่วยกลุ่มองค์กรธุรกิจรวมถึงสถาบันการศึกษาในประเทศไทยให้สามารถสร้างเทคโนโลยีดิจิทัลที่มีความยืดหยุ่น …

CISA ออกเครื่องมือช่วยตรวจสอบกิจกรรมต้องสงสัยใน Microsoft 365

CISA ได้แจกเครื่องมือสำหรับองค์กรซึ่งสามารถช่วยตรวจสอบกิจกรรมแปลกๆที่เกิดขึ้นกับ Azure AD, Office 365 และ Microsoft 365 ที่อาจถูกแฮ็กเกอร์แฝงตัวอยู่