Scanner avec prudence, la menace croissante de la fraude au code QR : découvrez 4 façons dont les scanners sont escroqués

Par ReliaQuest

Saviez-vous que quelque chose d'aussi innocent qu'un code QR (Quick Response) pouvait être un loup déguisé en agneau ? Imaginez que vous vous promenez dans une rue et que chaque code QR est comme une porte d'entrée. La plupart d'entre eux mènent à l'endroit indiqué : un café, un site web, une affaire. Mais certains ? Ils mènent directement au repaire d'un cyber-escroc.

C'est l'essence même du "quishing", le mélange astucieux de "code QR" et de "phishing". Voici comment cela se passe : Vous recevez un courrier électronique, soigné et professionnel, provenant d'une source apparemment digne de confiance. Il vous invite à scanner un code QR, souvent avec un soupçon d'urgence. C'est comme si vous receviez un cadeau joliment emballé, mais à l'intérieur se cache un piège.

ReliaQuest, une société de cybersécurité, a constaté une augmentation de 51 % de ces cas de quishing en un seul mois, en septembre 2023. C'est sans doute parce qu'aujourd'hui, les smartphones sont de véritables couteaux suisses, équipés de scanners QR que l'on utilise sans réfléchir.

Le costume préféré de ces escrocs du quishing ? Les notifications de sécurité de Microsoft. Au cours de l'année écoulée, plus de la moitié de ces escroqueries se sont fait passer pour des messages urgents de Microsoft, demandant aux utilisateurs de scanner un code QR pour des raisons de sécurité. Mais la seule chose qui soit sûre, c'est la façon dont ce code est verrouillé sur vos données personnelles une fois que vous êtes tombé dans le panneau.

Phishing par code QR : 4 méthodes d'escroquerie pour les scanners

Les codes QR, ces petits réseaux de carrés noirs et blancs que nous scannons avec nos smartphones, sont rapidement passés de pratiques à risqués. Alors que les entreprises adoptent de plus en plus leur utilisation, en particulier depuis que le COVID-19 a accéléré les tendances sans contact, l'hameçonnage par code QR (ou quishing) s'est imposé dans le paysage des cybermenaces.

En septembre 2023, ReliaQuest a constaté une augmentation de 51 % des attaques de quishing par rapport aux chiffres cumulés de janvier à août 2023. Ce pic est au moins partiellement attribuable à la prévalence croissante des smartphones dotés de scanners de codes QR intégrés ou d'applications de numérisation gratuites ; les utilisateurs scannent souvent les codes sans même se soucier de leur légitimité.

Les conséquences du quishing peuvent être graves : perte financière si les identifiants bancaires sont exfiltrés, déploiement de logiciels malveillants entraînant des perturbations opérationnelles et/ou perte de données. Passons en revue quatre techniques utilisées par les acteurs de la menace pour accroître leur succès en matière de quishing, ainsi que les moyens de les atténuer.

Technique d'hameçonnage 1 : faire suer la cible

Les méthodes de quishing recoupent souvent le protocole de phishing standard. Les cibles reçoivent un courriel d'un expéditeur prétendument légitime, qui les encourage à scanner l'image du code QR intégré. L'attaquant tente généralement de créer un sentiment d'urgence, en annonçant par exemple des conséquences désastreuses si le destinataire n'obtempère pas.

Exemple concret

En août 2023, ReliaQuest a enquêté sur un courriel reçu par un employé d'un établissement d'enseignement. L'expéditeur avait usurpé le domaine de l'institution et le courriel contenait une image de code QR menant à une URL qui renvoyait à un site en Russie.

Le domaine hébergeait une page se faisant passer pour l'application web du client. Si l'employé était tombé dans le piège de l'attaque et avait navigué vers cette page, il aurait été invité à fournir les identifiants de connexion de tous ses comptes professionnels, sous peine de voir son compte supprimé. Dans ce cas, il n'y a pas eu de compromission. Passons à la technique suivante.

Technique d'escroquerie 2 : se faire passer pour une entité légitime

Les courriels d'escroquerie imitent généralement l'image de marque et la personnalité d'organisations technologiques ou bancaires légitimes. Dans certains cas, l'imitation n'est même pas nécessaire : L'attaquant a déjà compromis un compte de messagerie appartenant à une organisation et peut alors envoyer un message à partir du domaine légitime de l'entité.

Les malheureux destinataires qui scannent le code QR se retrouvent généralement sur une page d'accueil qui leur demande leurs identifiants bancaires ou de sécurité.

Au cours des 12 derniers mois, environ 56 % des courriels d'hameçonnage détectés dans les incidents des clients de ReliaQuest concernaient des réinitialisations ou...