Du QR code au compromis : la menace croissante du « quishing »

Publié par Andrew Brandt, Principal Researcher chez Sophos X-Ops le 29 nov. 2024 | Mis à jour le 4 déc. 2024 à 10:21

Tant les entreprises que les utilisateurs font face à un nouveau type de menace : le « quishing ». Ce vecteur d'attaque implique l'utilisation de QR codes frauduleux, envoyés par courriel par les cyberattaquants, afin de contourner les mesures de sécurité contre le phishing mises en place par les entreprises.

Ces QR codes frauduleux, généralement intégrés à un document PDF en pièce jointe d'un e-mail, prennent souvent la forme d'un message interne qu'une entreprise peut envoyer à ses collaborateurs, par exemple à propos des salaires, des avantages sociaux ou encore d'autres documents officiels.

Le quishing en pratique

Les QR codes n'étant pas lisibles par les ordinateurs, un employé doit scanner le code à l'aide de son téléphone portable. Le QR code renvoie alors à une page de phishing, que l'employé peut ne pas identifier comme malveillante, car les téléphones sont généralement moins protégés qu'un ordinateur. L'objectif des attaquants est de s'emparer des mots de passe des employés et de leurs tokens d'authentification multi-facteurs (MFA) afin d'accéder au système de l'entreprise en contournant les mesures de sécurité en place.

Les attaques qui exploitent ce vecteur de menace spécifique s'intensifient, à la fois en termes de volume et de sophistication, notamment en ce qui concerne l'apparence du document PDF. Outre les tactiques d'ingénierie sociale, qualité des e-mails, des pièces jointes et du graphisme des QR codes, ces attaques semblent se développer également en termes d'organisation. En effet, certains acteurs malveillants proposent désormais des outils as-a-Service pour mener des campagnes de phishing à l'aide de QR codes frauduleux. En plus de fonctionnalités telles que les contournements de CAPTCHA ou la génération de proxys d'adresse IP permettant de contourner la détection automatisée des menaces, ces organisations criminelles mettent à disposition une plateforme de phishing sophistiquée qui permet de capturer les identifiants ou les tokens MFA des personnes ciblées.

Mieux se protéger

Il existe de nombreuses recommandations que les entreprises et leurs collaborateurs peuvent appliquer pour mieux protéger les systèmes contre ce type d'attaque.

Faire preuve de vigilance concernant les e-mails internes portant sur des sujets RH, les salaires ou les prestations de l'entreprise : les ruses d'ingénierie sociale exploitent ces thématiques pour inciter les employés à scanner les QR codes frauduleux depuis leur mobile.

Surveiller les connexions comportant des risques : à l'aide d'outils de gestion des identités, les entreprises peuvent détecter les activités de connexion inhabituelles.

Mettre en place des accès conditionnels : cette fonctionnalité permet de renforcer les contrôles d'accès en s'appuyant sur l'emplacement où se trouve l'utilisateur, le statut de l'appareil utilisé et le degré de risque.

Permettre un suivi des accès efficace grâce à des logs sophistiqués : ce type de monitoring avancé permet de mieux visualiser l'ensemble des accès au système et de détecter à temps ce type de menace.

Mettre en oeuvre un système de filtrage d'e-mail avancé : qui permet de détecter les QR codes frauduleux inclus directement dans les e-mails et dans les pièces jointes.

Exploiter la récupération d'emails à la demande : cette fonctionnalité permet d'éliminer les spams ou les e-mails de phishing sur les messageries de l'entreprise.

Encourager les collaborateurs à la vigilance et à signaler les incidents : un signalement rapide des anomalies à l'équipe chargée de la réponse aux incidents est essentiel pour protéger les systèmes de l'entreprise contre le phishing.

Révoquer les sessions utilisateurs suspectes : il est impératif de disposer d'un plan permettant de révoquer des accès utilisateurs qui montrent des signes de compromission.

Malgré le développement continu de nouveaux vecteurs d'attaques, les entreprises peuvent se protéger contre la compromission de leurs systèmes en se dotant d'outils adaptés, en favorisant la mise en place d'une culture et d'un environnement de travail et en s'entourant d'éditeurs de cybersécurité.

Andrew Brandt, Principal Researcher chez Sophos X-Ops, allie une expérience de 20 ans dans le journalisme à une analyse approfondie et rétrospective des cyberattaques en tant qu'enquêteur sur les malwares et les réseaux. Son travail au sein de l'équipe Labs aide Sophos à protéger ses clients internationaux et à alerter le monde sur les comportements et activités criminels notables, qu'ils soient normaux ou inédits.