Le Quishing : se prémunir des attaques par QR code

À première vue, les QR codes peuvent sembler inoffensifs. Mais en réalité, ce n’est pas toujours le cas. Ils peuvent être exploités à des fins malveillantes et avoir de graves conséquences sur votre sécurité numérique. On vous explique tout ici !

Le « Quishing » est le terme employé pour désigner les attaques par QR Code (Quick Reponse code). Ces attaques consistent à créer des QR codes qui, une fois scannés, mèneront sur un site phishing ou libéreront un logiciel malveillant sur l’appareil de l’utilisateur.

Ces QR codes sont généralement très facilement accessibles. Ils peuvent se trouver sur divers supports, tels que des prospectus, des affiches, un site internet ou encore dans vos e-mails. Cette « hyper-accessibilité » accroit fortement le risque d’attaques réussies.

Les cybercriminels peuvent exploiter les QR codes malveillants de diverses manières. L’une des méthodes les plus courantes consiste à l’intégrer à une campagne phishing.

Les pirates informatiques insèrent le QR code compromis en pièce jointe ou directement dans le corps du mail. Lorsque la victime le scannera à l’aide de son mobile, elle sera redirigée vers un site frauduleux sur lequel elle sera habilement incitée à communiquer des données personnelles ou confidentielles. Ces données seront, par la suite, revendues sur le dark web ou utilisées à des fins malveillantes (cyberattaques, usurpations d’identité…).

En scannant un QR code compromis, l’utilisateur risque également de télécharger involontairement un malware ou autres logiciels malveillants. Ces programmes permettent aux cybercriminels d’obtenir un accès ou un contrôle non autorisé sur les appareils. Ils compromettent la sécurité du réseau de l’entreprise, entrainant dans certains cas une interruption d’activité, la perte de donnée ou autres problèmes de sécurité.

Le vol d’information et la compromission du réseau ne sont pas les seules conséquences. Le Quishing peut également avoir d’autres dommages tels que :

• • • L’extraction de la liste de contacts de votre appareil en vue de l’envoi d’e-mail ou de SMS
    • Le déclenchement d’appels téléphoniques vers des numéros surtaxés
    • L’envoi de SMS malveillants (smishing)
    • La réalisation de paiements mobiles sans consentement

Les attaques par QR code ne datent pas d’hier, elles persistent depuis plusieurs années. Cependant, elles se sont particulièrement intensifiées au cours de ces quatre dernières années.

La pandémie COVID-19 en est pour le moins responsable. Lors de la crise sanitaire, l’utilisation des QR codes s’est généralisée afin de minimiser les contacts avec des sources potentielles de contamination. Cette adoption massive a toutefois ouvert la porte à des cybercriminels qui ont saisi cette opportunité pour mener à bien leurs attaques.

La société de cybersécurité ReliaQuest a enregistré une augmentation de 51% des cas de Quishing en septembre 2023 comparé aux chiffres cumulés entre janvier et août de cette même année. Parallèlement, Trellix a répertorié 60 000 attaques via QR code au cours du 3e trimestre 2023. Ces chiffres témoignent clairement de l’ampleur de cette menace.

Des chercheurs en cybersécurité de la société Trellix ont récemment identifié deux campagnes phishing utilisant le QR code et échappant aux mécanismes de détection des antivirus.

La plus récente en date impliquait les utilisateurs des produits Microsoft. Ils recevaient un e-mail de phishing les invitant à réactiver ou à réinitialiser leur authentification multifacteur en scannant le QR code affiché. Ce dernier les redirigeait vers une page web reprenant à l’identique les codes visuels de Microsoft et sur laquelle les utilisateurs devaient saisir leur adresse électronique et leur mot de passe.

En utilisant le QR code et non un lien textuel, les pirates informatiques réussissent à contourner la détection des solutions de sécurité les moins avancées. Le QR code est considéré comme une simple image par le filtre d’e-mail et non comme un lien dangereux.

De plus, le fait que le QR code soit scanné par un téléphone mobile rend les liens de redirection moins visibles que sur une interface d’ordinateur et complexifie l’identification des pages malveillantes. Cette caractéristique amplifie de manière significative les risques pour les utilisateurs.

La plupart d’entre nous ont déjà scanné des QR codes au cours de notre vie. Généralement, nous l’avons fait sans nous poser de questions et sans savoir qu’ils pouvaient représenter un risque pour notre sécurité.

Alors voici quelques conseils pour éviter de mettre en danger la confidentialité et l’intégrité des données de votre entreprise ainsi que votre propre sécurité :

Avant toute chose, sensibilisez et formez vos collaborateurs à la menace Quishing. Aidez-les à comprendre comment fonctionne les attaques par QR code et l’ampleur de leurs impacts sur la sécurité de l’entreprise. N’hésitez pas à illustrer vos propos avec des exemples concrets afin de renforcer leur compréhension.

Apprenez-leur également à détecter les tentatives de Quishing et à réagir en conséquence. Encouragez la vigilance en soulignant les signes révélateurs d’activités suspectes et insistez sur l’importance de suivre des protocoles de sécurité rigoureusement.

Lire aussi : Comment mieux sensibiliser vos collaborateurs à cybersécurité ?

Appliquez au quotidien les bonnes pratiques numériques afin de limiter les risques d’attaques réussies. En ce qui concerne le Quishing, voici quelques réflexes à adopter et précautions à prendre :

• • Ne scannez plus vos QR code sans réfléchir ! Vérifiez en amont la source afin de vous assurer qu’il ne s’agit pas d’une tentative d’attaque ou d’une arnaque. Évitez de scanner des codes provenant de sources inconnues ou douteuses.
  • Évitez de scanner les QR codes non sollicités : Si vous recevez un QR code de manière imprévue et sans l’avoir consenti, que ce soit par e-mail, message ou autre, abstenez-vous de le scanner.
  • Vérifiez l’URL proposé sur la notification avant de cliquer sur le lien de redirection. Si l’URL vous paraît suspecte, quitter la notification.
  • Désactivez l’installation automatique d’applications sur votre smartphone professionnel afin de réduire le risque de téléchargements de logiciels non autorisés.
  • Utilisez des scanners de QR codes sécurisés
  • Utiliser une authentification multifacteur pour les applications d’entreprise.
  • Effectuez régulièrement les mises à jour de votre application de numérisation de QR code pour bénéficier des correctifs de sécurité.

Passez de la théorie à la pratique ! Entrainez vos équipes à réagir aux attaques Quishing en condition réelle. Comment ? En réalisant des campagnes de simulations d’attaques phishing par QR code. Des plateformes de sensibilisation telle que BA’Secure vous offrent la possibilité de reproduire fidèlement les scénarios de Quishing les plus récents et sophistiqués.

Ces simulations permettent à vos collaborateurs de développer leurs compétences en matière de détection et la posture de sécurité globale de votre entreprise.

Pour réduire les risques de Quishing, vous avez tout intérêt de vous doter de solutions de sécurité avancées, telles qu’un antivirus et un anti-spam professionnels. Ces outils peuvent détecter et bloquer les logiciels malveillants contenus dans les QR codes.

Intéressez-vous particulièrement aux solutions qui exploitent une technologie capable de détecter les liens de phishing intégrés dans les QR codes, ainsi que les menaces avancées dissimulées dans des images.

Le pare-feu est également indispensable. Ce dispositif vous permettra de surveiller et de contrôler le trafic réseau. En cas d’attaque Quishing, il filtrera les connexions entrantes et sortantes empêchant ainsi les QR codes malveillants de communiquer avec des serveurs distants et de télécharger du contenu nuisible. Il contribue à les identifier et à bloquer.