Urupong - stock.adobe.com
La montée du quishing : comment prévenir le phishing par code QR
Les cybercriminels ne cessent de faire la démonstration de leur capacité à s’adapter aux évolutions technologiques et à profiter de toutes les nouvelles opportunités qui les accompagnent. Les codes QR n’y échappent pas.
Le quishing, également connu sous le nom de phishing par code QR, consiste à tromper quelqu’un pour qu’il scanne un code QR avec son smartphone. Le QR code dirige ensuite l’utilisateur vers un site frauduleux pouvant télécharger des logiciels malveillants ou demander des informations sensibles.
L’intérêt de l’approche est double : le code QR masque l’URL de destination et la navigation mobile se prête bien moins à l’investigation d’une URL que la navigation sur ordinateur personnel. Et cette dernière se prête déjà plutôt bien au hameçonnage…
Patrick Schläpfer, analyste de logiciels malveillants chez HP, déclarait, en juin 2023, que son équipe observait une activité de quishing par email presque quotidiennement depuis des mois. Les chercheurs suivaient alors une campagne de phishing particulière. Elle a attiré leur attention lorsqu’ils ont remarqué une série d’emails suspects avec des documents Word similaires en pièce jointe.
Après une inspection plus approfondie, ils ont découvert que chaque document contenait du texte en chinois et un code QR. Le message semblait provenir du ministère chinois des Finances – bien qu’en réalité, il provenait d’acteurs malveillants – et indiquait aux destinataires qu’ils étaient éligibles à une nouvelle subvention financée par le gouvernement. Pour obtenir leurs paiements, le document les incitait à utiliser leurs appareils mobiles pour scanner le code QR, ce qui les redirigeait vers un formulaire de demande où ils pouvaient soumettre leurs informations personnelles et financières.
Dans une autre opération similaire découverte par HP, les utilisateurs recevaient un email semblant provenir d’un service de livraison de colis, demandant un paiement via un code QR.
Le code QR, selon Patrick Schläpfer, est un moyen de forcer un utilisateur à passer d’un ordinateur de bureau ou portable à un appareil mobile, qui pourrait avoir des protections antiphishing plus faibles. Et, bien que la campagne découverte par les chercheurs de HP visait à solliciter des informations financières, les acteurs malveillants pourraient également utiliser de telles campagnes de quishing pour distribuer des logiciels malveillants mobiles et voler les identifiants de connexion des entreprises.
Qu’est-ce que le quishing et comment ça marche
Le quishing est un type d’attaque de phishing dans laquelle un acteur malveillant utilise un code QR pour manipuler les utilisateurs, généralement en les redirigeant vers un site Web qui télécharge des logiciels malveillants ou sollicite leurs informations sensibles.
Un code QR, ou code de réponse rapide (Quick Response, en anglais), est un code-barres carré que les caméras de terminaux mobiles compatibles peuvent lire. Lorsqu’un utilisateur scanne un code QR, il ouvre souvent une page Web, bien qu’il puisse également déclencher un appel téléphonique, un message texte ou un paiement numérique.
Les preuves anecdotiques suggèrent que les opérations de quishing ont augmenté en nombre depuis le début de la pandémie de COVID-19, lorsque de plus en plus d’organisations légitimes ont commencé à utiliser de tels codes pour permettre des transactions sans contact. Certains restaurants, par exemple, ont alors commencé à lier des codes QR à des menus en ligne, plutôt que de fournir des copies papier. Les portefeuilles numériques utilisent des codes QR pour faciliter les paiements sans contact. Et c’est sans compter tous les documents invitant à scanner un code QR pour télécharger une application mobile.
Bref, à mesure que les utilisateurs sont devenus de plus en plus habitués à interagir avec des codes QR dans la vie quotidienne, les opportunités de quishing ont augmenté.
Par exemple, selon le Better Business Bureau (BBB, une organisation à but non lucratif, non-affiliée aux agences gouvernementales), une arnaque maintenant courante consiste à coller des codes QR frauduleux sur les parcmètres pour tromper les conducteurs et leur faire partager des informations financières lorsqu’ils essaient de payer pour le stationnement. Le BBB a averti de longue date les consommateurs qu’ils pourraient rencontrer des escroqueries par code QR dans des emails, des messages texte, sur des panneaux, dans des courriers directs et même en personne par des criminels se faisant passer pour des travailleurs des services publics ou des employés du gouvernement.
De nombreuses opérations de quishing à ce jour ont ciblé les consommateurs individuels, mais les entreprises et leurs employés sont également vulnérables. En particulier, les campagnes de phishing par code QR basées sur des emails, telles que celles découvertes par les chercheurs de HP l’an dernier, pourraient cibler les comptes d’entreprise pour le vol de données d’identification ou la distribution de logiciels malveillants.
Comment prévenir les attaques de quishing
Comme pour tout type de phishing, la meilleure défense contre les attaques de quishing est une base d’utilisateurs éduquée. Les entreprises devraient fournir une formation de sensibilisation à la sécurité qui inclut les meilleures pratiques suivantes :
- Ne jamais scanner un code QR provenant d’une source inconnue.
- Si vous recevez un code QR d’une source de confiance par email, confirmez par un autre moyen – par exemple, un message texte, un appel vocal, etc. – que le message est légitime.
- Restez vigilant aux signes de campagnes de phishing, tels qu’un sentiment d’urgence et des appels à vos émotions – par exemple, la sympathie, la peur, etc.
- Essayez d’attendre une dizaine d’heures avant de suivre le lien : les pages Web frauduleuses survivent rarement plus longtemps.
- N’hésitez pas à recourir à un service d’analyse déportée de pages Web, comme urlscan.co, par exemple.
- Vérifiez l’aperçu de l’URL du code QR avant de l’ouvrir pour voir s’il semble légitime. Assurez-vous que le site utilise HTTPS plutôt que HTTP, qu’il n’y a pas de fautes d’orthographe évidentes et qu’il a un domaine de confiance. Ne cliquez pas sur des liens inconnus ou raccourcis.
- Soyez extrêmement méfiant si un code QR vous dirige vers un site demandant des informations personnelles, des identifiants de connexion ou un paiement.
- Observez une bonne hygiène de mot de passe en changeant fréquemment votre mot de passe email et en ne réutilisant jamais le même mot de passe pour plus d’un compte.
Les organisations devraient également envisager des contrôles de sécurité supplémentaires pouvant aider à combattre plusieurs types d’attaques de phishing et à atténuer les dégâts si l’une d’elles réussit. Ceux-ci incluent :
- Listes d’autorisation et de blocage.
- Filtres antispam.
- Politiques de sécurité des emails strictes.
- Politiques de mot de passe strictes.
- Authentification multifactorielle.
- Logiciels anti-malware.
- Passerelles de sécurité des emails.
- Services de renseignement sur les menaces.