Alerte aux attaques de phishing par code QR : une hausse mondiale

Les chercheurs recensent chaque mois des milliers d'attaques liées aux codes QR. Ce rapport vise à fournir aux utilisateurs un aperçu de la montée en puissance des attaques de « Quishing » (le mot anglais « Quishing » est une combinaison des mots « QR code » et « phishing »), des risques associés à l'exploitation des codes QR et des précautions importantes à prendre pour se protéger contre cette menace croissante en matière de cybersécurité.

Les codes QR (Quick Response) sont des codes-barres bidimensionnels, dont la capacité de stockage est environ 100 fois supérieure à celle des codes-barres classiques. Combinés à l'utilisation généralisée des smartphones, les codes QR offrent un moyen abordable de transmission de données, pouvant être fixé sur n'importe quelle surface.

Une attaque de type Quishing commence généralement par l'envoi d'un e-mail contenant un code QR qui, après lecture, redirige l'utilisateur vers un site web frauduleux. Par exemple, une victime peut recevoir une notification après avoir réglé un achat en ligne. Le pirate persuade la victime que la transaction a échoué et qu'elle doit saisir à nouveau ses informations de carte bancaire. Si le client n'a aucun doute, il remplira le formulaire et fournira des informations confidentielles au pirate.

Les codes QR sont désormais un outil courant et populaire dans la vie quotidienne de nombreux pays à travers le monde. Au Royaume-Uni et en Europe, environ 86,66 % des utilisateurs de smartphones ont scanné au moins un code QR au cours de leur vie, et 36,40 % en ont scanné un au moins une fois par semaine.

Les codes QR sont facilement exploitables, et les codes piratés peuvent rapidement rediriger les utilisateurs vers des sites web malveillants. Des chercheurs de l'entreprise de sécurité américaine SlashNext ont constaté que les attaquants utilisent souvent deux méthodes d'attaque courantes pour exploiter les codes QR : le Quishing et le QRLJacking, ces attaques ayant fortement augmenté.

Le quishing est une forme d'attaque d'hameçonnage. Des utilisateurs peu méfiants sont incités à visiter des sites web malveillants ou à télécharger des logiciels malveillants après avoir scanné un code QR. Plusieurs raisons expliquent la multiplication des attaques de quishing, notamment leur popularité : des millions de personnes les utilisent pour effectuer des paiements et accéder à des informations, ce qui en fait une cible de choix pour les pirates.

De plus, les codes QR peuvent être exploités pour masquer des liens malveillants, qui peuvent conduire les utilisateurs vers n’importe quel site Web souhaité par l’attaquant sans les alerter d’une activité suspecte.

La société de sécurité Check Point a remarqué que les attaquants redirigent récemment les utilisateurs vers des sites Web qui collectent des informations d'authentification via des codes QR, en utilisant l'ingénierie sociale pour cibler les utilisateurs avec des e-mails contenant des codes QR.

Les experts en sécurité expliquent que les signes indiquant qu'un e-mail peut être faux incluent le fait que l'expéditeur soit insistant, affirmant que la situation est urgente et que le code QR doit être scanné immédiatement ; la victime est invitée à configurer une authentification à deux facteurs ou à activer toute autre fonction de l'ordinateur/navigateur.

L'appât utilisé dans l'e-mail est que l'authentification multifacteur de Microsoft est sur le point d'expirer et que l'utilisateur doit se réauthentifier. Il est important de noter que le contenu de l'e-mail est censé provenir de Microsoft, mais l'adresse de l'expéditeur est différente.

Pour lutter contre le Quishing, les utilisateurs doivent intégrer la reconnaissance optique de caractères (OCR) à leurs solutions de sécurité afin de détecter les codes QR malveillants. L'OCR permet de traduire le code en adresse web (Uniform Resource Locator : URL), puis d'analyser l'URL. Cependant, la prudence est de mise dès qu'un code QR est détecté dans un e-mail.

Les attaques par quishing deviennent une menace majeure ; il est donc essentiel que les utilisateurs redoublent de précautions. Pour se protéger, il est conseillé de ne jamais scanner les codes QR sans vérifier l'origine de l'expéditeur et d'éviter de scanner les codes fournis avec les e-mails sans vérification de l'expéditeur.

Une autre mesure importante consiste à sensibiliser les clients et les employés aux risques. Les codes QR nécessitent une réaction rapide, surtout lorsque les personnes ne sont pas conscientes de la menace et ne sont pas préparées à se défendre. Les dommages sont inévitables.