Discussion :

[Sandra Coret]

Scanner avec prudence, la menace croissante de la fraude au code QR : découvrez 4 façons dont les scanners sont escroqués, par ReliaQuest

Saviez-vous que quelque chose d'aussi innocent qu'un code QR (Quick Response) pouvait être un loup déguisé en agneau ? Imaginez que vous vous promenez dans une rue et que chaque code QR est comme une porte d'entrée. La plupart d'entre eux mènent à l'endroit indiqué : un café, un site web, une affaire. Mais certains ? Ils mènent directement au repaire d'un cyber-escroc.

C'est l'essence même du "quishing", le mélange astucieux de "code QR" et de "phishing". Voici comment cela se passe : Vous recevez un courrier électronique, soigné et professionnel, provenant d'une source apparemment digne de confiance. Il vous invite à scanner un code QR, souvent avec un soupçon d'urgence. C'est comme si vous receviez un cadeau joliment emballé, mais à l'intérieur se cache un piège.

ReliaQuest, une société de cybersécurité, a constaté une augmentation de 51 % de ces cas de quishing en un seul mois, en septembre 2023. C'est sans doute parce qu'aujourd'hui, les smartphones sont de véritables couteaux suisses, équipés de scanners QR que l'on utilise sans réfléchir.

Le costume préféré de ces escrocs du quishing ? Les notifications de sécurité de Microsoft. Au cours de l'année écoulée, plus de la moitié de ces escroqueries se sont fait passer pour des messages urgents de Microsoft, demandant aux utilisateurs de scanner un code QR pour des raisons de sécurité. Mais la seule chose qui soit sûre, c'est la façon dont ce code est verrouillé sur vos données personnelles une fois que vous êtes tombé dans le panneau.

Phishing par code QR : 4 méthodes d'escroquerie pour les scanners

Les codes QR, ces petits réseaux de carrés noirs et blancs que nous scannons avec nos smartphones, sont rapidement passés de pratiques à risqués. Alors que les entreprises adoptent de plus en plus leur utilisation, en particulier depuis que le COVID-19 a accéléré les tendances sans contact, l'hameçonnage par code QR (ou quishing) s'est imposé dans le paysage des cybermenaces.

En septembre 2023, ReliaQuest a constaté une augmentation de 51 % des attaques de quishing par rapport aux chiffres cumulés de janvier à août 2023. Ce pic est au moins partiellement attribuable à la prévalence croissante des smartphones dotés de scanners de codes QR intégrés ou d'applications de numérisation gratuites ; les utilisateurs scannent souvent les codes sans même se soucier de leur légitimité.

Les conséquences du quishing peuvent être graves : perte financière si les identifiants bancaires sont exfiltrés, déploiement de logiciels malveillants entraînant des perturbations opérationnelles et/ou perte de données. Passons en revue quatre techniques utilisées par les acteurs de la menace pour accroître leur succès en matière de quishing, ainsi que les moyens de les atténuer.

Technique d'hameçonnage 1 : faire suer la cible

Les méthodes de quishing recoupent souvent le protocole de phishing standard. Les cibles reçoivent un courriel d'un expéditeur prétendument légitime, qui les encourage à scanner l'image du code QR intégré. L'attaquant tente généralement de créer un sentiment d'urgence, en annonçant par exemple des conséquences désastreuses si le destinataire n'obtempère pas.

Exemple concret

En août 2023, ReliaQuest a enquêté sur un courriel reçu par un employé d'un établissement d'enseignement. L'expéditeur avait usurpé le domaine de l'institution et le courriel contenait une image de code QR menant à une URL qui renvoyait à un site en Russie.

Le domaine hébergeait une page se faisant passer pour l'application web du client. Si l'employé était tombé dans le piège de l'attaque et avait navigué vers cette page, il aurait été invité à fournir les identifiants de connexion de tous ses comptes professionnels, sous peine de voir son compte supprimé. Dans ce cas, il n'y a pas eu de compromission. Passons à la technique suivante.

Technique d'escroquerie 2 : se faire passer pour une entité légitime

Les courriels d'escroquerie imitent généralement l'image de marque et la personnalité d'organisations technologiques ou bancaires légitimes. Dans certains cas, l'imitation n'est même pas nécessaire : L'attaquant a déjà compromis un compte de messagerie appartenant à une organisation et peut alors envoyer un message à partir du domaine légitime de l'entité.

Les malheureux destinataires qui scannent le code QR se retrouvent généralement sur une page d'accueil qui leur demande leurs identifiants bancaires ou de sécurité.

Au cours des 12 derniers mois, environ 56 % des courriels d'hameçonnage détectés dans les incidents des clients de ReliaQuest concernaient des réinitialisations ou des activations de l'authentification à deux facteurs (2FA) de Microsoft. Les destinataires étaient encouragés à saisir leur adresse électronique et leur mot de passe Microsoft. Les pages de banque en ligne étaient également une méthode populaire, utilisée dans 18 % des courriels de cette période.

Technique de quishing 3 : faire passer le code en contrebande

Les attaquants peuvent dissimuler un code QR dans un fichier PDF ou JPEG joint à l'e-mail de quishing, plutôt que dans le corps de l'e-mail. Avec un corps de message inoffensif, voire vide, il y a moins de chances que les filtres de messagerie signalent le message. (La contrebande de pièces jointes est apparue dans 12 % des incidents d'hameçonnage étudiés au cours des 12 derniers mois.

Exemple concret

En juillet 2023, un courriel de quishing a été envoyé à un employé d'une société de soins de santé à partir d'un compte compromis associé à un tiers légitime. Le corps de l'e-mail était vide, mais le texte du fichier PNG invitait l'utilisateur à scanner le code QR qu'il contenait, à l'aide de son appareil mobile. Il s'agissait probablement d'une tentative pour les éloigner de la sécurité de leur réseau d'entreprise, où tout trafic proxy associé serait enregistré.

Le scan menait à une page de destination malveillante qui ressemblait à la page de connexion du client. En la décodant, on a pu identifier une technique de phishing à redirection ouverte utilisant base64 pour transmettre des paramètres, tels que l'adresse électronique, le nom et l'organisation du destinataire. Cette technique permet non seulement de modifier une page de destination en fonction des arguments, mais aussi de faire croire que les informations d'identification de l'utilisateur sont mises en cache.

Cet incident de quishing est typique des campagnes de collecte d'informations d'identification à grande échelle, et l'employé était probablement l'une des nombreuses cibles.

Quishing Technique 4 : Rediriger la cible

Les applications de numérisation de codes QR affichent souvent le lien codé avant de demander à l'utilisateur s'il souhaite s'y rendre. Les auteurs d'attaques par quishing contournent ce problème, par exemple en redirigeant le scanner vers des domaines de confiance de services légitimes et/ou vers des URL contenant des fautes de frappe. Ce type d'activité a été constaté dans 18 % des attaques de quishing échantillonnées au cours des 12 derniers mois.

Exemple concret

Une campagne de spearphishing datant d'août 2023 a utilisé un code QR malveillant dans un courriel adressé au PDG d'une organisation de soins de santé basée aux États-Unis. L'en-tête du courriel se lisait comme suit "[PHISH POTENTIEL] [Externe] 5 Emails non délivrés de [nom du client caviardé]". L'expéditeur a utilisé le domaine d'une entreprise sidérurgique légitime basée en Espagne.

Le corps de l'e-mail comportait un faux logo Microsoft 365, et le destinataire était encouragé à scanner un code QR pour recevoir les e-mails prétendument non délivrés. Le domaine vers lequel le code QR pointait dirigeait rapidement le scanner vers deux domaines différents, pour finalement atterrir sur une troisième page malveillante.

Se défendre contre le phishing

Le phishing par code QR est encore relativement récent, mais il est probable qu'il gagne du terrain à mesure que les acteurs de la menace découvrent à quel point il est difficile pour les entreprises de se défendre contre cette menace. Les futures attaques de quishing seront probablement encore plus répandues et plus sophistiquées.

Il est difficile de détecter les attaques par code QR à l'aide des méthodes de filtrage du courrier électronique : L'activité malveillante a souvent lieu sur un appareil mobile, et les outils de filtrage des courriels ne peuvent pas encore analyser les codes QR. La détection des codes QR dépend largement de l'application de messagerie utilisée par la victime et des alertes qu'elle génère.

Cependant, GreyMatter Phishing Analyzer (GMPA) de ReliaQuest peut extraire et analyser les URL codées trouvées dans les codes QR, en se concentrant sur les types MIME d'images les plus courants : JPEG et PNG. Le GMPA extrait les images intégrées et jointes de l'e-mail signalé, puis les transforme à l'aide d'un lecteur de codes-barres. Si le texte du code QR est présent, le système l'extrait et recherche des URL. Les URL identifiées sont ensuite transmises aux analyseurs pour une analyse plus approfondie.

Il existe également plusieurs autres mesures que vous pouvez prendre pour minimiser la menace de quishing :

• Former le personnel et organiser régulièrement des exercices de simulation d'hameçonnage, y compris des modules sur l'hameçonnage. L'idée est d'encourager les destinataires de courriels à passer plus de temps à analyser la légitimité des messages qu'ils reçoivent.
  
  
• Mettez en place des règles pour la boîte de réception des courriels qui mettent en évidence les messages provenant d'expéditeurs externes, afin de signaler aux employés les courriels potentiellement malveillants. Bloquer ou signaler les courriels qui ne contiennent pas de corps de texte.
  
  
• Utiliser l'authentification multifactorielle (MFA). Mais n'oubliez pas que les attaquants peuvent parfois contourner l'authentification multifactorielle ; consultez les recommandations pertinentes dans notre blog sur le contournement de l'authentification multifactorielle.

Source : Reliaquest

Et vous ?

Quel est votre avis sur la situation ?
Avez-vous déjà été victime de quishing ?

Voir aussi :

Cybersécurité : pour la première fois, des clés cryptographiques protégeant les connexions SSH sont dérobées dans le cadre d'une attaque, selon des chercheurs

Les développeurs sont la cible d'une porte dérobée très invasive insérée dans des paquets open source, huit outils de développement contenaient des payloads malveillantes, d'après Checkmarx

50 % des applications critiques d'entreprise résideront en dehors des sites centralisés du cloud public d'ici à 2027, selon Gartner

[Jade Emy]

Les codes QR sont utilisés pour escroquer les gens, les escrocs cachent des liens nuisibles dans les codes QR pour voler vos informations, selon la mise en garde de la FTC

Une récente alerte publiée par la FTC révèle que des acteurs malveillants utilisent des codes QR anciens et discrets pour escroquer les gens en toute connaissance de cause. Le principe est le suivant : vous pouvez recevoir un message contenant un code QR ou essayer d'en scanner un que vous trouvez sur une page particulière, ce qui a pour effet de transférer immédiatement de l'argent aux personnes à l'origine de l'escroquerie.

Ceci étant dit, il est important de noter qu'environ 60 000 attaques de ce type ont eu lieu rien qu'en 2023, selon Trellix, une entreprise spécialisée dans les solutions de cybersécurité. Beaucoup de ces escroqueries impliquaient des personnes se faisant passer pour des responsables des ressources humaines ou du personnel de la paie, et dans certains cas, des codes QR avaient été placés sur des parcmètres qui conduisaient les victimes vers un site de paiement frauduleux.

Pour éviter d'être la proie de ces escroqueries, il est essentiel d'ignorer les courriels ou les messages textuels que vous recevez et qui font état d'un paiement urgent. Avant d'effectuer un paiement, les utilisateurs doivent vérifier l'URL du site, car cela peut potentiellement révéler s'il est légitime ou non.

Une autre stratégie utile que les consommateurs avertis peuvent déployer consiste à éviter de télécharger des scanners de codes QR, car la plupart des téléphones intègrent ces scanners dans le logiciel de l'appareil photo. De nombreuses applications de cette catégorie sont elles-mêmes directement impliquées dans un large éventail d'activités frauduleuses, d'où la nécessité de les écarter au profit de lecteurs de codes QR intégrés.

Enfin, il est préférable d'hésiter à scanner des codes QR si vous n'êtes pas totalement sûr de leur origine. Les bonnes pratiques habituelles en matière de cybersécurité, telles que la création de mots de passe avec des combinaisons de caractères uniques et la mise en place d'un système d'accès sécurisé, peuvent également s'avérer utiles, car elles peuvent rendre les cyberattaques plus difficiles à mener qu'elles ne l'auraient été autrement.

Il n'y a pas que l'argent qui est en jeu, puisque des acteurs malveillants utilisent également les codes QR pour obtenir divers types de données sensibles. Il est donc essentiel de faire preuve de bon sens pour se protéger en ligne, d'autant plus que ces attaques se sont multipliées au cours de l'année écoulée et que les codes QR sont devenus de plus en plus courants dans la vie quotidienne.

La FTC met en garde contre les codes QR d'escrocs

Les codes QR semblent être partout. Vous en avez peut-être scanné un pour consulter le menu d'un restaurant ou payer un parking public. Vous en avez peut-être aussi utilisé un sur votre téléphone pour entrer dans un concert ou un événement sportif, ou pour embarquer sur un vol. Il existe d'innombrables autres façons de les utiliser, ce qui explique leur popularité. Malheureusement, des escrocs cachent des liens dangereux dans les codes QR pour voler des informations personnelles. Voici ce qu'il faut savoir.

Des escrocs auraient dissimulé des codes QR sur des parcmètres avec un code QR de leur cru. Certains escrocs rusés peuvent également vous envoyer un code QR par SMS ou par courrier électronique et inventer une raison pour que vous le scanniez. Voici quelques-unes des façons dont ils essaient de vous escroquer :

• ils mentent et disent qu'ils n'ont pas pu livrer votre colis et que vous devez les contacter pour fixer un nouveau rendez-vous
• ils prétendent qu'il y a un problème avec votre compte et que vous devez confirmer vos informations
• ils mentent en disant qu'ils ont remarqué une activité suspecte sur votre compte et que vous devez changer votre mot de passe.

Ce sont tous des mensonges qu'ils vous racontent pour créer un sentiment d'urgence. Ils veulent que vous scanniez le code QR et que vous ouvriez l'URL sans réfléchir.

Le code QR d'un escroc peut vous amener à vous connecter à un site falsifié qui semble réel, mais qui ne l'est pas. Et si vous vous connectez au site falsifié, les escrocs peuvent voler toutes les informations que vous entrez. Ou bien le code QR peut installer un logiciel malveillant qui vole vos informations avant que vous ne vous en rendiez compte.

Comment pouvez-vous vous protéger ?

• Si vous voyez un code QR à un endroit inattendu, examinez l'URL avant de l'ouvrir. S'il ressemble à un URL que vous reconnaissez, assurez-vous qu'il n'est pas usurpé - recherchez les fautes d'orthographe ou les lettres interverties.
  
  
• Ne scannez pas un code QR figurant dans un courriel ou un SMS que vous n'attendiez pas, surtout s'il vous invite à agir immédiatement. Si vous pensez que le message est légitime, utilisez un numéro de téléphone ou un site web que vous savez réel pour contacter l'entreprise.
  
  
• Protégez votre téléphone et vos comptes. Mettez à jour le système d'exploitation de votre téléphone pour le protéger contre les pirates et protégez vos comptes en ligne à l'aide de mots de passe forts et d'une authentification multifactorielle.

Source : FTC

Et vous ?

Pensez-vous que cette mise en garde est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Scanner avec prudence, la menace croissante de la fraude au code QR : découvrez 4 façons dont les scanners sont escroqués par ReliaQuest

Une application nommée Barcode Scanner sur Google Play infecte 10 millions d'utilisateurs avec une seule mise à jour, après avoir été transformée un véritable parasite sur des appareils Android

Le code-barres sur les produits sera remplacé par un code plus riche de type QR à partir de 2027 qui présente plus d'avantages à la fois pour les consommateurs et les détaillants

[doc]

Le principe est le suivant : vous pouvez recevoir un message contenant un code QR ou essayer d'en scanner un que vous trouvez sur une page particulière, ce qui a pour effet de transférer immédiatement de l'argent aux personnes à l'origine de l'escroquerie.

A ma connaissance, ce n'est pas le fait de lire un QRCode qui peut permettre un transfert d'argent. Un QRCode véhicule des données, pas un programme; si la donnée est une URL, le logiciel de lecture peut provoquer l'ouverture de la page concernée qui peut être malveillante ou imitée. Les bonnes pratiques voudraient que l'ouverture d'une page web soit acceptée par l'utilisateur. Si en soit un qrcode était capable de provoquer un transfert d'argent sans autre interaction que son ouverture, ce serait la fin de cette technologie, car on n'a aucun moyen d'en deviner le contenu avant son ouverture. Le sous-titre de cet article est accrocheur, le contenu de l'article est plus sensé.