Barracuda full logo

Threat Spotlight : L'utilisation croissante des codes QR dans les attaques par hameçonnage

Thèmes:
22 oct. 2024
|

RÉSULTATS CLÉS

  • Les chercheurs de Barracuda ont détecté plus d'un demi-million d'e-mails d'hameçonnage contenant des codes QR intégrés dans des documents PDF.
  • Les codes QR menant à des sites d'hameçonnage sont maintenant intégrés dans des documents PDF et joints aux e-mails, plutôt que d'être inclus directement dans le corps des e-mails.
  • Les attaques sont conçues pour récupérer des identifiants de connexion afin de les compromettre.

COMPRENDRE LA MENACE

L'hameçonnage par code QR, également connu sous le nom de quishing, est une attaque de type social engineering. Les cybercriminels tentent d'inciter les victimes à utiliser l'appareil photo de leur téléphone portable pour scanner un code QR qui renvoie à un site Web malveillant afin de voler des informations sensibles, telles que des identifiants de connexion ou des données financières.

La façon dont les cybercriminels utilisent les codes QR pour mener leurs attaques évolue. Au cours de la période de trois mois allant de la mi-juin à la mi-septembre, les chercheurs de Barracuda ont identifié et analysé plus d'un demi-million d'e-mails d'hameçonnage contenant des codes QR intégrés dans des documents PDF. Les PDF sont joints à des e-mails d'hameçonnage qui utilisent l'usurpation d'identité et l'urgence pour inciter les victimes potentielles à répondre. Il s'agit d'un changement de tactique notable : par le passé, les codes QR étaient généralement inclus dans le corps des e-mails d'hameçonnage.

Les attaques de quishing en chiffres

Nombre d'e-mails d'hameçonnage contenant des codes QR

Au cours d'une période de trois mois, les chercheurs de Barracuda ont identifié et analysé plus d'un demi-million d'e-mails d'hameçonnage contenant des codes QR intégrés dans des documents PDF.

Dans la plupart des échantillons d'attaques analysés par les chercheurs de Barracuda, les scammers se font passer pour des entreprises connues. L'identité de Microsoft, y compris SharePoint et OneDrive, est usurpée dans plus de la moitié (51 %) des attaques, suivie de DocuSign (31 %) et d'Adobe (15 %). Dans un petit nombre d'attaques, les scammers se font passer pour le service des ressources humaines de l'entreprise de la victime.

Lors de ces attaques, les cybercriminels envoient des e-mails d'hameçonnage et y joignent un simple document PDF d'une ou deux pages comprenant un code QR. Aucun autre lien externe ou fichier intégré n'est inclus dans le PDF. Les destinataires sont invités à scanner le code QR avec l'appareil photo de leur téléphone portable, afin de consulter un fichier, de signer un document ou d'écouter un message vocal. S'ils le font, ils sont dirigés vers un site Web d'hameçonnage conçu pour récupérer leurs identifiants de connexion.

Marques usurpées

Les marques usurpées dans des attaques par code QR

Les scammers se font passer pour des marques connues et utilisent des tactiques d'ingénierie sociale pour tromper les victimes.

Le quishing pose des problèmes de sécurité uniques aux entreprises. Les filtres de messagerie traditionnels ont du mal à détecter ces attaques, car il n'y a pas de liens directs ou de pièces jointes suspectes à analyser. De plus, le quishing implique souvent plusieurs appareils : les employés reçoivent l'e-mail d'hameçonnage sur un seul appareil, mais scannent le code QR sur un autre appareil, comme un téléphone portable personnel qui n'est peut-être pas doté du même niveau de protection de sécurité que les systèmes de l'entreprise. Par conséquent, ces attaques peuvent contourner les défenses de l'entreprise, ce qui les rend difficiles à repérer ou à anticiper.

Certains secteurs, comme la finance, la santé et l'éducation, sont de plus en plus ciblés par des attaques de quishing en raison des données sensibles qu'ils traitent. Les petites et moyennes entreprises (PME) sont particulièrement vulnérables, car elles ne disposent souvent pas des outils de sécurité avancés nécessaires pour se protéger contre ces tactiques d'hameçonnage sophistiquées. En raison de ce changement de tactique (intégration des codes QR au corps d'un e-mail ou à des documents PDF), il est plus difficile pour les défenses traditionnelles d'identifier et de bloquer ces attaques avant qu'elles n'atteignent les employés.

EXEMPLES D'E-MAILS DE QUISHING

Exemple de DocuSign usurpé dans une attaque par code QR
Dans cet e-mail d'hameçonnage qui usurpe l'identité de DocuSign, le destinataire est invité à scanner le code QR d'un document PDF joint pour examiner et signer électroniquement des « documents sécurisés ». 
Exemple d'usurpation de l'identité de Microsoft dans une attaque par code QR
Les destinataires de cet e-mail d'hameçonnage qui usurpe l'identité de Microsoft sont invités à scanner le code QR d'un document PDF joint pour écouter un message vocal.
Exemple d'usurpation de l'identité d'Adobe dans une attaque par code QR

Cet e-mail d'hameçonnage qui se fait passer pour Adobe demande aux destinataires de scanner le code QR contenu dans un document PDF joint pour consulter un document « Employee Benefits & Salary Adjustment Review ».

PROTÉGER VOTRE ENTREPRISE CONTRE LES ATTAQUES

Voici quelques moyens de se défendre contre le quishing :

Déployer une sécurité de messagerie multicouche
Mettez en place des filtres anti-spam et anti-malware robustes et assurez-vous qu'ils sont correctement configurés pour bloquer efficacement les e-mails d'hameçonnage. Les équipes informatiques doivent effectuer régulièrement un « bilan de santé » des paramètres de leur passerelle de messagerie pour garantir des performances optimales.

Utiliser l'IA et d'autres technologies avancées
Les scammers adaptent leurs tactiques pour contourner les passerelles et les filtres anti-spam. Il est donc essentiel de disposer d'une solution de détection et de protection contre les attaques par hameçonnage ciblées. Renforcez vos passerelles avec une technologie de sécurité des e-mails cloud alimentée par l'IA qui ne repose pas uniquement sur la recherche de liens ou de pièces jointes malveillants.

Sensibiliser les utilisateurs
Assurez-vous que votre formation de sensibilisation à la sécurité informe les employés au sujet du quishing et des risques liés à la numérisation de codes QR provenant de sources inconnues ou douteuses. Veillez à ce que le personnel soit en mesure de reconnaître ces attaques, de comprendre leur nature frauduleuse et de les signaler.

Activer l'authentification multifacteur (MFA)
Ajoutez un niveau de sécurité supplémentaire en plus du nom d'utilisateur et du mot de passe et réduisez les impacts potentiels de la compromission des identifiants en utilisant l'authentification multifacteur pour protéger l'accès aux comptes d'utilisateurs.

RESSOURCES ASSOCIÉES

[Rapport] E-mails : menaces et tendances principales ~ juin 2024
https://www.barracuda.com/reports/email-threats-and-trends-1

[Article de blog] Quishing : ce qu'il vous faut savoir sur les attaques par e-mail avec code QR
https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks

[Article de blog] Nouvelles techniques d'hameçonnage pour contourner la détection : codes QR basés sur ASCII et URI Blob
https://blog.barracuda.com/2024/10/09/novel-phishing-techniques-ascii-based-qr-codes-blob-uri

Billets associés :
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 Back to school, back to scams
Back to school, back to scams
 Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
 Tredion utilise Barracuda Managed XDR pour aider un groupe d'écoles des Pays-Bas à maîtriser les cybermenaces
Tredion utilise Barracuda Managed XDR pour aider un groupe d'écoles des Pays-Bas à maîtriser les cybermenaces
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.