Saviez-vous que quelque chose d’aussi innocent qu’un code QR (Quick Response) pouvait tre un loup dguis en agneau ? Imaginez que vous vous promenez dans une rue et que chaque code QR est comme une porte d’entre. La plupart d’entre eux mnent l’endroit indiqu : un caf, un site web, une affaire. Mais certains ? Ils mnent directement au repaire d’un cyber-escroc.
C’est l’essence mme du « quishing », le mlange astucieux de « code QR » et de « phishing ». Voici comment cela se passe : Vous recevez un courrier lectronique, soign et professionnel, provenant d’une source apparemment digne de confiance. Il vous invite scanner un code QR, souvent avec un soupon d’urgence. C’est comme si vous receviez un cadeau joliment emball, mais l’intrieur se cache un pige.
ReliaQuest, une socit de cyberscurit, a constat une augmentation de 51 % de ces cas de quishing en un seul mois, en septembre 2023. C’est sans doute parce qu’aujourd’hui, les smartphones sont de vritables couteaux suisses, quips de scanners QR que l’on utilise sans rflchir.
Le costume prfr de ces escrocs du quishing ? Les notifications de scurit de Microsoft. Au cours de l’anne coule, plus de la moiti de ces escroqueries se sont fait passer pour des messages urgents de Microsoft, demandant aux utilisateurs de scanner un code QR pour des raisons de scurit. Mais la seule chose qui soit sre, c’est la faon dont ce code est verrouill sur vos donnes personnelles une fois que vous tes tomb dans le panneau.
Phishing par code QR : 4 mthodes d’escroquerie pour les scanners
Les codes QR, ces petits rseaux de carrs noirs et blancs que nous scannons avec nos smartphones, sont rapidement passs de pratiques risqus. Alors que les entreprises adoptent de plus en plus leur utilisation, en particulier depuis que le COVID-19 a acclr les tendances sans contact, l’hameonnage par code QR (ou quishing) s’est impos dans le paysage des cybermenaces.
En septembre 2023, ReliaQuest a constat une augmentation de 51 % des attaques de quishing par rapport aux chiffres cumuls de janvier aot 2023. Ce pic est au moins partiellement attribuable la prvalence croissante des smartphones dots de scanners de codes QR intgrs ou d’applications de numrisation gratuites ; les utilisateurs scannent souvent les codes sans mme se soucier de leur lgitimit.
Les consquences du quishing peuvent tre graves : perte financire si les identifiants bancaires sont exfiltrs, dploiement de logiciels malveillants entranant des perturbations oprationnelles et/ou perte de donnes. Passons en revue quatre techniques utilises par les acteurs de la menace pour accrotre leur succs en matire de quishing, ainsi que les moyens de les attnuer.
Technique d’hameonnage 1 : faire suer la cible
Les mthodes de quishing recoupent souvent le protocole de phishing standard. Les cibles reoivent un courriel d’un expditeur prtendument lgitime, qui les encourage scanner l’image du code QR intgr. L’attaquant tente gnralement de crer un sentiment d’urgence, en annonant par exemple des consquences dsastreuses si le destinataire n’obtempre pas.
Exemple concret
En aot 2023, ReliaQuest a enqut sur un courriel reu par un employ d’un tablissement d’enseignement. L’expditeur avait usurp le domaine de l’institution et le courriel contenait une image de code QR menant une URL qui renvoyait un site en Russie.
Le domaine hbergeait une page se faisant passer pour l’application web du client. Si l’employ tait tomb dans le pige de l’attaque et avait navigu vers cette page, il aurait t invit fournir les identifiants de connexion de tous ses comptes professionnels, sous peine de voir son compte supprim. Dans ce cas, il n’y a pas eu de compromission. Passons la technique suivante.
Technique d’escroquerie 2 : se faire passer pour une entit lgitime
Les courriels d’escroquerie imitent gnralement l’image de marque et la personnalit d’organisations technologiques ou bancaires lgitimes. Dans certains cas, l’imitation n’est mme pas ncessaire : L’attaquant a dj compromis un compte de messagerie appartenant une organisation et peut alors envoyer un message partir du domaine lgitime de l’entit.
Les malheureux destinataires qui scannent le code QR se retrouvent gnralement sur une page d’accueil qui leur demande leurs identifiants bancaires ou de scurit.
Au cours des 12 derniers mois, environ 56 % des courriels d’hameonnage dtects dans les incidents des clients de ReliaQuest concernaient des rinitialisations ou des activations de l’authentification deux facteurs (2FA) de Microsoft. Les destinataires taient encourags saisir leur adresse lectronique et leur mot de passe Microsoft. Les pages de banque en ligne taient galement une mthode populaire, utilise dans 18 % des courriels de cette priode.
Technique de quishing 3 : faire passer le code en contrebande
Les attaquants peuvent dissimuler un code QR dans un fichier PDF ou JPEG joint l’e-mail de quishing, plutt que dans le corps de l’e-mail. Avec un corps de message inoffensif, voire vide, il y a moins de chances que les filtres de messagerie signalent le message. (La contrebande de pices jointes est apparue dans 12 % des incidents d’hameonnage tudis au cours des 12 derniers mois.
Exemple concret
En juillet 2023, un courriel de quishing a t envoy un employ d’une socit de soins de sant partir d’un compte compromis associ un tiers lgitime. Le corps de l’e-mail tait vide, mais le texte du fichier PNG invitait l’utilisateur scanner le code QR qu’il contenait, l’aide de son appareil mobile. Il s’agissait probablement d’une tentative pour les loigner de la scurit de leur rseau d’entreprise, o tout trafic proxy associ serait enregistr.
Le scan menait une page de destination malveillante qui ressemblait la page de connexion du client. En la dcodant, on a pu identifier une technique de phishing redirection ouverte utilisant base64 pour transmettre des paramtres, tels que l’adresse lectronique, le nom et l’organisation du destinataire. Cette technique permet non seulement de modifier une page de destination en fonction des arguments, mais aussi de faire croire que les informations d’identification de l’utilisateur sont mises en cache.
Cet incident de quishing est typique des campagnes de collecte d’informations d’identification grande chelle, et l’employ tait probablement l’une des nombreuses cibles.
Quishing Technique 4 : Rediriger la cible
Les applications de numrisation de codes QR affichent souvent le lien cod avant de demander l’utilisateur s’il souhaite s’y rendre. Les auteurs d’attaques par quishing contournent ce problme, par exemple en redirigeant le scanner vers des domaines de confiance de services lgitimes et/ou vers des URL contenant des fautes de frappe. Ce type d’activit a t constat dans 18 % des attaques de quishing chantillonnes au cours des 12 derniers mois.
Exemple concret
Une campagne de spearphishing datant d’aot 2023 a utilis un code QR malveillant dans un courriel adress au PDG d’une organisation de soins de sant base aux tats-Unis. L’en-tte du courriel se lisait comme suit « [PHISH POTENTIEL] [Externe] 5 Emails non dlivrs de [nom du client caviard] ». L’expditeur a utilis le domaine d’une entreprise sidrurgique lgitime base en Espagne.
Le corps de l’e-mail comportait un faux logo Microsoft 365, et le destinataire tait encourag scanner un code QR pour recevoir les e-mails prtendument non dlivrs. Le domaine vers lequel le code QR pointait dirigeait rapidement le scanner vers deux domaines diffrents, pour finalement atterrir sur une troisime page malveillante.
Se dfendre contre le phishing
Le phishing par code QR est encore relativement rcent, mais il est probable qu’il gagne du terrain mesure que les acteurs de la menace dcouvrent quel point il est difficile pour les entreprises de se dfendre contre cette menace. Les futures attaques de quishing seront probablement encore plus rpandues et plus sophistiques.
Il est difficile de dtecter les attaques par code QR l’aide des mthodes de filtrage du courrier lectronique : L’activit malveillante a souvent lieu sur un appareil mobile, et les outils de filtrage des courriels ne peuvent pas encore analyser les codes QR. La dtection des codes QR dpend largement de l’application de messagerie utilise par la victime et des alertes qu’elle gnre.
Cependant, GreyMatter Phishing Analyzer (GMPA) de ReliaQuest peut extraire et analyser les URL codes trouves dans les codes QR, en se concentrant sur les types MIME d’images les plus courants : JPEG et PNG. Le GMPA extrait les images intgres et jointes de l’e-mail signal, puis les transforme l’aide d’un lecteur de codes-barres. Si le texte du code QR est prsent, le systme l’extrait et recherche des URL. Les URL identifies sont ensuite transmises aux analyseurs pour une analyse plus approfondie.
Il existe galement plusieurs autres mesures que vous pouvez prendre pour minimiser la menace de quishing :
- Former le personnel et organiser rgulirement des exercices de simulation d’hameonnage, y compris des modules sur l’hameonnage. L’ide est d’encourager les destinataires de courriels passer plus de temps analyser la lgitimit des messages qu’ils reoivent.
- Mettez en place des rgles pour la bote de rception des courriels qui mettent en vidence les messages provenant d’expditeurs externes, afin de signaler aux employs les courriels potentiellement malveillants. Bloquer ou signaler les courriels qui ne contiennent pas de corps de texte.
- Utiliser l’authentification multifactorielle (MFA). Mais n’oubliez pas que les attaquants peuvent parfois contourner l’authentification multifactorielle ; consultez les recommandations pertinentes dans notre blog sur le contournement de l’authentification multifactorielle.
Source : Reliaquest
Et vous ?
Quel est votre avis sur la situation ?
Avez-vous dj t victime de quishing ?
Voir aussi :