< Back
Beware the Square: Discover the Risks of QR Code Phishing

Tags:

TCS BELUX Risk and threat evaluation Train and experiment
20 March 2025

Attention au carré: découvrez les risques du phishing par QR code

Contexte

La sécurité de l'information est devenue une priorité pour la plupart des organisations en raison de leur prise de conscience de la valeur de l'information et de la nécessité de la protéger. Chaque jour, des incidents affectant les organisations font la une des journaux. La violation de la confidentialité des données peut gravement affecter les personnes concernées et/ou causer des dommages financiers à votre organisation, tandis que la violation de l'intégrité et/ou de la disponibilité des données peut entraîner une interruption de vos activités, ce qui aura un impact financier. L'information a de la valeur et les attaquants, principalement en quête de gains financiers, en sont conscients.

Afin de se protéger, les organisations mettent en place de multiples protections pour réduire le risque lié à un éventuel incident de sécurité de l'information, ce qui signifie qu'il devient de plus en plus difficile pour un attaquant d'accéder à vos informations ou d'impacter vos services. Avec l'accumulation de contrôles techniques, le maillon le plus faible de la chaîne de sécurité de l'information de votre organisation est le facteur humain.

Facteur humain

Le facteur humain est crucial dans le phishing car il exploite la psychologie et le comportement humains pour tromper les individus afin qu'ils divulguent des informations sensibles ou effectuent une action souhaitée. Les phishers utilisent souvent des tactiques telles que la création d'un sentiment d'urgence, l'invocation de la peur ou l'imitation d'entités de confiance pour manipuler leurs cibles. Contrairement aux défenses techniques, qui peuvent être systématiquement renforcées, les vulnérabilités humaines sont plus difficiles à traiter car elles reposent sur la sensibilisation, l'éducation et la vigilance. Même les systèmes les plus sécurisés peuvent être compromis si les individus sont trompés pour fournir des accès à des identifiants ou d'autres données sensibles. Par conséquent, comprendre et atténuer le facteur humain est essentiel pour développer des stratégies anti-phishing efficaces.

Le code QR

Les codes QR, ou codes à réponse rapide, sont des codes-barres bidimensionnels qui stockent des données dans un motif de carrés noirs sur un fond blanc. Ils fonctionnent en encodant des informations à la fois horizontalement et verticalement, ce qui leur permet de contenir plus de données que les codes-barres traditionnels. Lorsqu'un code QR est scanné à l'aide d'un appareil photo de smartphone ou d'un lecteur de code QR dédié, l'appareil lit le motif et décode les informations. Les codes QR sont souvent utilisés pour guider facilement un utilisateur vers un site web grâce à l'URL encodée.

Quishing ?

Le quishing, ou phishing par code QR, est un type d'attaque de phishing où les attaquants utilisent des codes QR pour tromper les individus en les incitant à visiter des sites web malveillants ou à télécharger du contenu nuisible. Ces codes QR peuvent être intégrés dans des e-mails, des publications sur les réseaux sociaux, des documents imprimés ou même des objets physiques. Lorsqu'ils sont scannés, les codes QR dirigent la victime vers un site frauduleux conçu pour voler des informations sensibles, telles que des identifiants de connexion, des données financières ou des informations personnelles, ou pour télécharger des logiciels malveillants.

Le quishing est particulièrement efficace car les codes QR sont souvent perçus comme inoffensifs et sont difficiles à examiner avant d'être scannés. Cela permet aux attaquants de contourner plus facilement les mesures de sécurité traditionnelles et d'exploiter la curiosité ou la confiance des individus.

Livraison de l'attaque

Les attaquants utilisent des techniques d'ingénierie sociale pour inciter les victimes à scanner les codes QR. Les codes QR menant à du contenu malveillant peuvent être intégrés dans des e-mails utilisés pour le phishing classique, des sites web malveillants imitant un site légitime ou même collés physiquement sur des codes QR légitimes, ce qui les rend presque impossibles à détecter avant de scanner le code QR.

Voici deux exemples réels de quishing :

Fake QR code on an electric charging station

Source: Faux code QR sur une borne de recharge électrique (JO de Paris 2024: Faut-il craindre les nouvelles arnaques aux faux QR codes pendant les Jeux ?)

Le premier exemple est un faux code QR collé par-dessus le code QR légitime que les utilisateurs sont censés scanner pour recharger leur véhicule électrique. Une fois scanné, le code QR dirige l'utilisateur vers une page web de phishing imitant les plateformes légitimes de l'opérateur de recharge afin de recueillir des informations sensibles telles que des coordonnées bancaires.

Quishing example by proofpoint

Source: Exemple de quishing par Proofpoint (https://www.proofpoint.com/au/blog/email-and-cloud-threats/cybersecurity-stop-month-qr-code-phishing)

Le deuxième exemple est une attaque de quishing reposant sur un faux e-mail Sharepoint. Comme d'habitude dans les attaques de phishing, l'adresse de l'expéditeur n'est pas liée à l'identité revendiquée et le contenu joue sur les émotions de l'utilisateur en concernant le plan de prestations des employés. L'objectif de l'attaquant est de faire en sorte que l'utilisateur scanne le code QR pour accéder à une page web de phishing qui recueillera les identifiants de l'utilisateur.

QRLJacking

Grâce à sa facilité d'utilisation, les codes QR sont désormais utilisés pour se connecter à certaines applications. Cela permet aux utilisateurs de saisir leurs identifiants de manière plus pratique ou d'éviter complètement de saisir des identifiants s'ils sont déjà connectés sur leurs smartphones.

Cette méthode d'authentification est détournée par les attaquants pour accéder au compte de l'utilisateur en utilisant une attaque de QRLJacking (Quick Response code Login Jacking). Tout d'abord, l'attaquant initie une session de code QR côté client pour obtenir un code QR légitime et inclut ce code QR dans une page web de phishing imitant la page de connexion légitime. Ensuite, l'attaquant trompe l'utilisateur pour qu'il scanne le code QR afin de se connecter à son compte. L'attaquant a maintenant accès au compte.

QRLJacking by OWASP

Source: QRLJacking par OWASP (https://owasp.org/www-community/attacks/Qrljacking)

Comment vous protéger contre le phishing par code QR en tant qu'utilisateur ?

En tant qu'utilisateur, voici les principaux conseils pour vous protéger contre le quishing :

Vérifiez la source du code QR : Si vous avez reçu un code QR par e-mail, vérifiez tous les détials come pour toute vérification de phishing.

  • Est-il normal de recevoir un tel e-mail de l'identité revendiquée ?
  • L'adresse e-mail de l'expéditeur est-elle correctement orthographiée et correspond elle à l'identitée revendiquée ?
  • L'e-mail joue-t-il sur mes émotions pour déclencher une réaction rapide ?

Vérifiez l'URL avant de cliquer : Lisez attentivement l'URL affichée par le scanner de code QR avant de cliquer dessus pour vérifier la correspondance entre l'URL affichée et les domaines du fournisseur supposé du code QR. Si l'URL est raccourcie, soyez particulièrement vigilant.

Vérifiez l'URL après avoir cliqué : Vérifiez si l'URL finale (après raccourcissement ou rediretions) correspond toujours aux domaines du fournisseur suppose du code QR.

Utilisez un gestionnaire de mots de passe : Les gestionnaires de mots de passe stockent vos identifiants en toute sécurité et vérifient le domaine avant de vous permettre de saisir vos identifiants.

Vérifiez les codes QR physiques : Vérifiez le placement et l'alignement du code QR.

Comment protéger votre entreprise contre le phishing par code QR ?

Voici les principaux conseils pour protéger votre organisation contre le quishing:

Eduquez votre personnel : Formez vos employés à reconnaître toutes les formes de phishing (y compris le quishing) et à réagir en conséquence grâce à des sessions de sensibilisation à la sécurité et des supports pédagogiques. Thales propose des programmes de formation complets pour aider vos employés à reconnaître les différentes formes de phishing, y compris la nouvelle menace du quishing. Grâce à des sessions de sensibilisation à la sécurité et des supports éducatifs, Thales s'assure que votre personnel est bien équipé pour identifier et répondre efficacement à ces menaces.

Implémentez l'authentification multi-facteur (MFA) : Activez la MFA (avec une méthode qui ne repose pas sur les codes QR) sur les systèmes que vous souhaitez protéger. Thales propose des solutions MFA robustes qui renforcent la sécurité de vos systèmes. En activant la MFA avec des méthodes critiques contre les accès non autorisés, garantissant que seuls les utilisateurs vérifiés peuvent y accéder.

Utilisez un gestionnaire de mots de passe : Fournissez une solution de gestionnaire de mots de passe à votre personnel. Cela améliore non seulement la sécurité, mais réduit également le risque de violations liées aux mots de passe, garantissant que les informations sensibles de votre organisation restent protégées.

Auteur

Pierre Danhier

Contact us

Discover more on this topic

cards image

CryptoLove Report