Blog

Hackeo de la serie Whatsapp, Parte 2: Phishing.

Whatsapp web ha estado fuera por un tiempo

te da la posibilidad de usar whatsapp en tu computadora, simplemente necesitas escanear un código QR con tu teléfono desde whatsapp y obtendrás acceso

1-código QR?

un código QR (abreviatura de código de respuesta rápida) almacena un montón de código en su interior y se usa ampliamente debido a la rapidez con que lo pueden leer los teléfonos inteligentes.

este es un código QR:

¿Cómo se supone que usemos el phishing en este escenario si no hay credenciales?

Bueno, en teoría, si podemos encontrar algo que pueda extraer el código qr de la página web.whatsapp.com abierta en nuestro navegador y mostrarlo en un sitio web que creamos, entonces envíe ese enlace a la víctima para escanear el QR. código en él, la sesión de WhatsApp debe estar abierta en la página web original de WhatsApp en nuestro navegador.

Ahora, debes estar preguntando, ¿esperas que los principiantes codifiquen eso?
No, soy muy consciente de que no puedes
afortunadamente, el trabajo ya está hecho, todo lo que tienes que hacer es seguir los pasos.
OWASP creó una herramienta, capaz de hacer todo eso

este ataque ha estado activo durante tanto tiempo, pero para mi sorpresa, no mucha gente lo sabe, así que pensé en arrojar algo de luz al respecto.

Bien, entonces, ¿cómo lo usamos?

Empecemos por abrir una nueva terminal.
y escribe clon de git https://github.com/OWASP/QRLJacking.git

nota al margen:Hay dos formas de usar esto, ya sea de forma manual o automática mediante el QrlJacker

Para que este tutorial sea breve, y para que sea amigable para principiantes, demostraré cómo hacer esto con QrlJacker.

ahora necesitamos ingresar al directorio que contiene el marco de trabajo, para verificar si tenemos todos los requisitos
para hacer eso usaremos CD
escribe tu terminal cd QRLJacking / QrlJacking-Framework

si está utilizando kali linux, normalmente los requisitos ya se cumplen, pero como una cuestión de precaución, ejecutaremos el script de instalación de requisitos de todos modos.

para hacer ese tipo en pip install -r requirements.txt

Ahora que está hecho, estamos listos para comenzar.
Para usar QrlJacker, escriba lo siguiente:
python QRLJacker.py

Como puede ver, hay muchas opciones disponibles, pero para nuestro tutorial solo nos interesa whatsapp
escriba 1 y haga clic en entrar
luego escribe 1 en otro momento
se le pedirá que elija un puerto, déjelo vacío si desea usar el puerto predeterminado (1337)
Se abrirá una nueva ventana de mozilla firefox y el servidor se iniciará en yourIpAdress: portYouChose
para mí es 192.168.1.103:1337

Como puede ver, el código qr se muestra en este sitio web local que enviaremos a la víctima.
pero ¿quién escanearía eso? Demasiado sospechoso
Vamos a editarlo.
vaya a QRLJacking / QrlJacking-Framework /
haga clic derecho en index.html
abrir con otra aplicación, elegir un editor de texto
luego edítelo para que sea como este código



Whatsapp




¡Escanéame!
Escanea el código con whatsapp


cuerpo {
color de fondo: # 000;
}

#qrcodew {
color de fondo: blanco;
padding-right: 35%;
margen superior: 10%;
acolchado superior: 4%;
fondo acolchado: 4%;
relleno a la izquierda: 35%;
}

a {
decoración de texto: ninguna;
}

Mantuvo ese código lo más simple posible, de esa manera incluso los principiantes tienen la oportunidad de comprender y editar el código a su gusto.

este es el código de nivel de script para niños

Para poder hacer este ataque fácilmente a través de wan, vaya a la página de configuración de su enrutador y reenvíe el puerto 1337 en su ip privada

(en mi caso es 192.168.1.103)
luego
el enlace será yourPublicIpAdress: portYouForward
ejemplo: 93.176.88.82:1337
envíe ese enlace a la víctima si está fuera de su red
y podrá acceder a nuestro sitio web falso

crear una mentira para hacerles escanear el código
y podrás acceder a su whatsapp.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar