O QRCode têm gerado um novo vetor que pode ser explorada através de engenharia social. Como? O vetor de ataque para geração de QRCode permite que o usuário para criar este tipo de imagens que podem ser lidos e interpretados por aplicativos móveis. A engenharia social usando QRCode pretende usá-los para publicar essas imagens no maior número de sites, ou seja, a granel, e conseguir que, cada vez mais, os usuários de smartphones pode cair na armadilha. Geralmente, depois de um QRCode é um site malicioso, que também poderia ser montado com a opção do SET “Website Attack Vectors”, e nosso amigo Metasploit, sempre em segundo plano, em nossas intenções sombrias.

Exemplificando o Processo

Utilizaremos a posibilidade de gerar o QRCode a través de SET, Social Engineer Toolkit, para redirecionar o usuario a um site web malicioso. o Cenário é montado em uma rede local, onde todo dispositivo se encontra controlado.

A imagem é armazenada no caminho /pentest /exploits /set /reports /formato.PNG. Esta imagem serão colocados em outros sites ou enviados via e-mail para obter as acesso das vítimas depois de lerem o QRCode e conectar-se ao servidor web malicioso. Lembre-se que há leitores QRCode  que não informam o recurso ao qual eles estão conectados, ou seja, automaticamente tentar acessar o recurso apontado pelo QRCode. Na foto você pode ver o QRCode gerado usando SET.