
RÉSULTATS CLÉS
- Les chercheurs de Barracuda ont détecté plus d'un demi-million d'e-mails d'hameçonnage contenant des codes QR intégrés dans des documents PDF.
- Les codes QR menant à des sites d'hameçonnage sont maintenant intégrés dans des documents PDF et joints aux e-mails, plutôt que d'être inclus directement dans le corps des e-mails.
- Les attaques sont conçues pour récupérer des identifiants de connexion afin de les compromettre.
COMPRENDRE LA MENACE
L'hameçonnage par code QR, également connu sous le nom de quishing, est une attaque de type social engineering. Les cybercriminels tentent d'inciter les victimes à utiliser l'appareil photo de leur téléphone portable pour scanner un code QR qui renvoie à un site Web malveillant afin de voler des informations sensibles, telles que des identifiants de connexion ou des données financières.
La façon dont les cybercriminels utilisent les codes QR pour mener leurs attaques évolue. Au cours de la période de trois mois allant de la mi-juin à la mi-septembre, les chercheurs de Barracuda ont identifié et analysé plus d'un demi-million d'e-mails d'hameçonnage contenant des codes QR intégrés dans des documents PDF. Les PDF sont joints à des e-mails d'hameçonnage qui utilisent l'usurpation d'identité et l'urgence pour inciter les victimes potentielles à répondre. Il s'agit d'un changement de tactique notable : par le passé, les codes QR étaient généralement inclus dans le corps des e-mails d'hameçonnage.
Les attaques de quishing en chiffres

Au cours d'une période de trois mois, les chercheurs de Barracuda ont identifié et analysé plus d'un demi-million d'e-mails d'hameçonnage contenant des codes QR intégrés dans des documents PDF.
Dans la plupart des échantillons d'attaques analysés par les chercheurs de Barracuda, les scammers se font passer pour des entreprises connues. L'identité de Microsoft, y compris SharePoint et OneDrive, est usurpée dans plus de la moitié (51 %) des attaques, suivie de DocuSign (31 %) et d'Adobe (15 %). Dans un petit nombre d'attaques, les scammers se font passer pour le service des ressources humaines de l'entreprise de la victime.
Lors de ces attaques, les cybercriminels envoient des e-mails d'hameçonnage et y joignent un simple document PDF d'une ou deux pages comprenant un code QR. Aucun autre lien externe ou fichier intégré n'est inclus dans le PDF. Les destinataires sont invités à scanner le code QR avec l'appareil photo de leur téléphone portable, afin de consulter un fichier, de signer un document ou d'écouter un message vocal. S'ils le font, ils sont dirigés vers un site Web d'hameçonnage conçu pour récupérer leurs identifiants de connexion.
Marques usurpées

Les scammers se font passer pour des marques connues et utilisent des tactiques d'ingénierie sociale pour tromper les victimes.
Le quishing pose des problèmes de sécurité uniques aux entreprises. Les filtres de messagerie traditionnels ont du mal à détecter ces attaques, car il n'y a pas de liens directs ou de pièces jointes suspectes à analyser. De plus, le quishing implique souvent plusieurs appareils : les employés reçoivent l'e-mail d'hameçonnage sur un seul appareil, mais scannent le code QR sur un autre appareil, comme un téléphone portable personnel qui n'est peut-être pas doté du même niveau de protection de sécurité que les systèmes de l'entreprise. Par conséquent, ces attaques peuvent contourner les défenses de l'entreprise, ce qui les rend difficiles à repérer ou à anticiper.
Certains secteurs, comme la finance, la santé et l'éducation, sont de plus en plus ciblés par des attaques de quishing en raison des données sensibles qu'ils traitent. Les petites et moyennes entreprises (PME) sont particulièrement vulnérables, car elles ne disposent souvent pas des outils de sécurité avancés nécessaires pour se protéger contre ces tactiques d'hameçonnage sophistiquées. En raison de ce changement de tactique (intégration des codes QR au corps d'un e-mail ou à des documents PDF), il est plus difficile pour les défenses traditionnelles d'identifier et de bloquer ces attaques avant qu'elles n'atteignent les employés.
EXEMPLES D'E-MAILS DE QUISHING



Cet e-mail d'hameçonnage qui se fait passer pour Adobe demande aux destinataires de scanner le code QR contenu dans un document PDF joint pour consulter un document « Employee Benefits & Salary Adjustment Review ».
PROTÉGER VOTRE ENTREPRISE CONTRE LES ATTAQUES
Voici quelques moyens de se défendre contre le quishing :
Déployer une sécurité de messagerie multicouche
Mettez en place des filtres anti-spam et anti-malware robustes et assurez-vous qu'ils sont correctement configurés pour bloquer efficacement les e-mails d'hameçonnage. Les équipes informatiques doivent effectuer régulièrement un « bilan de santé » des paramètres de leur passerelle de messagerie pour garantir des performances optimales.
Utiliser l'IA et d'autres technologies avancées
Les scammers adaptent leurs tactiques pour contourner les passerelles et les filtres anti-spam. Il est donc essentiel de disposer d'une solution de détection et de protection contre les attaques par hameçonnage ciblées. Renforcez vos passerelles avec une technologie de sécurité des e-mails cloud alimentée par l'IA qui ne repose pas uniquement sur la recherche de liens ou de pièces jointes malveillants.
Sensibiliser les utilisateurs
Assurez-vous que votre formation de sensibilisation à la sécurité informe les employés au sujet du quishing et des risques liés à la numérisation de codes QR provenant de sources inconnues ou douteuses. Veillez à ce que le personnel soit en mesure de reconnaître ces attaques, de comprendre leur nature frauduleuse et de les signaler.
Activer l'authentification multifacteur (MFA)
Ajoutez un niveau de sécurité supplémentaire en plus du nom d'utilisateur et du mot de passe et réduisez les impacts potentiels de la compromission des identifiants en utilisant l'authentification multifacteur pour protéger l'accès aux comptes d'utilisateurs.
RESSOURCES ASSOCIÉES
[Rapport] E-mails : menaces et tendances principales ~ juin 2024
https://www.barracuda.com/reports/email-threats-and-trends-1
[Article de blog] Quishing : ce qu'il vous faut savoir sur les attaques par e-mail avec code QR
https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks
[Article de blog] Nouvelles techniques d'hameçonnage pour contourner la détection : codes QR basés sur ASCII et URI Blob
https://blog.barracuda.com/2024/10/09/novel-phishing-techniques-ascii-based-qr-codes-blob-uri

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter