C'est l'essence même du "quishing", le mélange astucieux de "code QR" et de "phishing". Voici comment cela se passe : Vous recevez un courrier électronique, soigné et professionnel, provenant d'une source apparemment digne de confiance. Il vous invite à scanner un code QR, souvent avec un soupçon d'urgence. C'est comme si vous receviez un cadeau joliment emballé, mais à l'intérieur se cache un piège.
ReliaQuest, une société de cybersécurité, a constaté une augmentation de 51 % de ces cas de quishing en un seul mois, en septembre 2023. C'est sans doute parce qu'aujourd'hui, les smartphones sont de véritables couteaux suisses, équipés de scanners QR que l'on utilise sans réfléchir.
Le costume préféré de ces escrocs du quishing ? Les notifications de sécurité de Microsoft. Au cours de l'année écoulée, plus de la moitié de ces escroqueries se sont fait passer pour des messages urgents de Microsoft, demandant aux utilisateurs de scanner un code QR pour des raisons de sécurité. Mais la seule chose qui soit sûre, c'est la façon dont ce code est verrouillé sur vos données personnelles une fois que vous êtes tombé dans le panneau.
Phishing par code QR : 4 méthodes d'escroquerie pour les scanners
Les codes QR, ces petits réseaux de carrés noirs et blancs que nous scannons avec nos smartphones, sont rapidement passés de pratiques à risqués. Alors que les entreprises adoptent de plus en plus leur utilisation, en particulier depuis que le COVID-19 a accéléré les tendances sans contact, l'hameçonnage par code QR (ou quishing) s'est imposé dans le paysage des cybermenaces.
En septembre 2023, ReliaQuest a constaté une augmentation de 51 % des attaques de quishing par rapport aux chiffres cumulés de janvier à août 2023. Ce pic est au moins partiellement attribuable à la prévalence croissante des smartphones dotés de scanners de codes QR intégrés ou d'applications de numérisation gratuites ; les utilisateurs scannent souvent les codes sans même se soucier de leur légitimité.
Les conséquences du quishing peuvent être graves : perte financière si les identifiants bancaires sont exfiltrés, déploiement de logiciels malveillants entraînant des perturbations opérationnelles et/ou perte de données. Passons en revue quatre techniques utilisées par les acteurs de la menace pour accroître leur succès en matière de quishing, ainsi que les moyens de les atténuer.
Technique d'hameçonnage 1 : faire suer la cible
Les méthodes de quishing recoupent souvent le protocole de phishing standard. Les cibles reçoivent un courriel d'un expéditeur prétendument légitime, qui les encourage à scanner l'image du code QR intégré. L'attaquant tente généralement de créer un sentiment d'urgence, en annonçant par exemple des conséquences désastreuses si le destinataire n'obtempère pas.
Exemple concret
En août 2023, ReliaQuest a enquêté sur un courriel reçu par un employé d'un établissement d'enseignement. L'expéditeur avait usurpé le domaine de l'institution et le courriel contenait une image de code QR menant à une URL qui renvoyait à un site en Russie.
Le domaine hébergeait une page se faisant passer pour l'application web du client. Si l'employé était tombé dans le piège de l'attaque et avait navigué vers cette page, il aurait été invité à fournir les identifiants de connexion de tous ses comptes professionnels, sous peine de voir son compte supprimé. Dans ce cas, il n'y a pas eu de compromission. Passons à la technique suivante.
Technique d'escroquerie 2 : se faire passer pour une entité légitime
Les courriels d'escroquerie imitent généralement l'image de marque et la personnalité d'organisations technologiques ou bancaires légitimes. Dans certains cas, l'imitation n'est même pas nécessaire : L'attaquant a déjà compromis un compte de messagerie appartenant à une organisation et peut alors envoyer un message à partir du domaine légitime de l'entité.
Les malheureux destinataires qui scannent le code QR se retrouvent généralement sur une page d'accueil qui leur demande leurs identifiants bancaires ou de sécurité.
Au cours des 12 derniers mois, environ 56 % des courriels d'hameçonnage détectés dans les incidents des clients de ReliaQuest concernaient des réinitialisations ou des activations de l'authentification à deux facteurs (2FA) de Microsoft. Les destinataires étaient encouragés à saisir leur adresse électronique et leur mot de passe Microsoft. Les pages de banque en ligne étaient également une méthode populaire, utilisée dans 18 % des courriels de cette période.
Technique de quishing 3 : faire passer le code en contrebande
Les attaquants peuvent dissimuler un code QR dans un fichier PDF ou JPEG joint à l'e-mail de quishing, plutôt que dans le corps de l'e-mail. Avec un corps de message inoffensif, voire vide, il y a moins de chances que les filtres de messagerie signalent le message. (La contrebande de pièces jointes est apparue dans 12 % des incidents d'hameçonnage étudiés au cours des 12 derniers mois.
Exemple concret
En juillet 2023, un courriel de quishing a été envoyé à un employé d'une société de soins de santé à partir d'un compte compromis associé à un tiers légitime. Le corps de l'e-mail était vide, mais le texte du fichier PNG invitait l'utilisateur à scanner le code QR qu'il contenait, à l'aide de son appareil mobile. Il s'agissait probablement d'une tentative pour les éloigner de la sécurité de leur réseau d'entreprise, où tout trafic proxy associé serait enregistré.
Le scan menait à une page de destination malveillante qui ressemblait à la page de connexion du client. En la décodant, on a pu identifier une technique de phishing à redirection ouverte utilisant base64 pour transmettre des paramètres, tels que l'adresse électronique, le nom et l'organisation du destinataire. Cette technique permet non seulement de modifier une page de destination en fonction des arguments, mais aussi de faire croire que les informations d'identification de l'utilisateur sont mises en cache.
Cet incident de quishing est typique des campagnes de collecte d'informations d'identification à grande échelle, et l'employé était probablement l'une des nombreuses cibles.
Quishing Technique 4 : Rediriger la cible
Les applications de numérisation de codes QR affichent souvent le lien codé avant de demander à l'utilisateur s'il souhaite s'y rendre. Les auteurs d'attaques par quishing contournent ce problème, par exemple en redirigeant le scanner vers des domaines de confiance de services légitimes et/ou vers des URL contenant des fautes de frappe. Ce type d'activité a été constaté dans 18 % des attaques de quishing échantillonnées au cours des 12 derniers mois.
Exemple concret
Une campagne de spearphishing datant d'août 2023 a utilisé un code QR malveillant dans un courriel adressé au PDG d'une organisation de soins de santé basée aux États-Unis. L'en-tête du courriel se lisait comme suit "[PHISH POTENTIEL] [Externe] 5 Emails non délivrés de [nom du client caviardé]". L'expéditeur a utilisé le domaine d'une entreprise sidérurgique légitime basée en Espagne.
Le corps de l'e-mail comportait un faux logo Microsoft 365, et le destinataire était encouragé à scanner un code QR pour recevoir les e-mails prétendument non délivrés. Le domaine vers lequel le code QR pointait dirigeait rapidement le scanner vers deux domaines différents, pour finalement atterrir sur une troisième page malveillante.
Se défendre contre le phishing
Le phishing par code QR est encore relativement récent, mais il est probable qu'il gagne du terrain à mesure que les acteurs de la menace découvrent à quel point il est difficile pour les entreprises de se défendre contre cette menace. Les futures attaques de quishing seront probablement encore plus répandues et plus sophistiquées.
Il est difficile de détecter les attaques par code QR à l'aide des méthodes de filtrage du courrier électronique : L'activité malveillante a souvent lieu sur un appareil mobile, et les outils de filtrage des courriels ne peuvent pas encore analyser les codes QR. La détection des codes QR dépend largement de l'application de messagerie utilisée par la victime et des alertes qu'elle génère.
Cependant, GreyMatter Phishing Analyzer (GMPA) de ReliaQuest peut extraire et analyser les URL codées trouvées dans les codes QR, en se concentrant sur les types MIME d'images les plus courants : JPEG et PNG. Le GMPA extrait les images intégrées et jointes de l'e-mail signalé, puis les transforme à l'aide d'un lecteur de codes-barres. Si le texte du code QR est présent, le système l'extrait et recherche des URL. Les URL identifiées sont ensuite transmises aux analyseurs pour une analyse plus approfondie.
Il existe également plusieurs autres mesures que vous pouvez prendre pour minimiser la menace de quishing :
- Former le personnel et organiser régulièrement des exercices de simulation d'hameçonnage, y compris des modules sur l'hameçonnage. L'idée est d'encourager les destinataires de courriels à passer plus de temps à analyser la légitimité des messages qu'ils reçoivent.
- Mettez en place des règles pour la boîte de réception des courriels qui mettent en évidence les messages provenant d'expéditeurs externes, afin de signaler aux employés les courriels potentiellement malveillants. Bloquer ou signaler les courriels qui ne contiennent pas de corps de texte.
- Utiliser l'authentification multifactorielle (MFA). Mais n'oubliez pas que les attaquants peuvent parfois contourner l'authentification multifactorielle ; consultez les recommandations pertinentes dans notre blog sur le contournement de l'authentification multifactorielle.
Source : Reliaquest
Et vous ?
Quel est votre avis sur la situation ?
Avez-vous déjà été victime de quishing ?
Voir aussi :
Cybersécurité : pour la première fois, des clés cryptographiques protégeant les connexions SSH sont dérobées dans le cadre d'une attaque, selon des chercheurs
Les développeurs sont la cible d'une porte dérobée très invasive insérée dans des paquets open source, huit outils de développement contenaient des payloads malveillantes, d'après Checkmarx
50 % des applications critiques d'entreprise résideront en dehors des sites centralisés du cloud public d'ici à 2027, selon Gartner