Les codes QR sont partout – vous pouvez les voir sur les affiches, les dépliants, les écrans des guichets automatiques, les étiquettes de prix et les marchandises, les bâtiments historiques et les monuments, mais qu’en est-il de l’hameçonnage par code QR ? Les codes QR font désormais partie intégrante de notre vie quotidienne. Qu’il s’agisse de menus de restaurants, de billets d’événements ou même d’authentification à deux facteurs, ces petits carrés noirs et blancs rendent l’accès à l’information ou aux services plus pratique que jamais. Toutefois, cette commodité s’accompagne d’un risque d’utilisation abusive. Le phishing par code QR est une menace de plus en plus fréquente. Dans cet article de blog, nous verrons ce qu’est le phishing par code QR, comment il fonctionne et comment vous protéger pour ne pas être victime de cette cybermenace insidieuse.

Qu’est-ce que l’hameçonnage par code QR ?

L’hameçonnage par code QR, également connu sous le nom de Quishing, est une forme d’attaque d’ingénierie sociale qui utilise les codes QR pour tromper les individus et les amener à révéler des informations sensibles ou à compromettre leur sécurité. Les hameçonneurs créent de faux codes QR qui, à première vue, semblent légitimes et dignes de confiance. Ces codes QR malveillants peuvent conduire à diverses escroqueries, notamment au vol d’identité, à la fraude financière et à l’installation de logiciels malveillants. Une campagne de phishing a été observée, ciblant principalement une importante société d’énergie aux États-Unis, utilisant des codes QR pour glisser des courriels malveillants dans les boîtes de réception et contourner la sécurité. Environ un tiers (29 %) des 1 000 courriels attribués à cette campagne visaient une grande entreprise américaine du secteur de l’énergie, tandis que les autres tentatives visaient des entreprises des secteurs de l’industrie manufacturière (15 %), de l’assurance (9 %), de la technologie (7 %) et des services financiers (6 %).

Comment fonctionne l’hameçonnage par code QR ?

Création de codes QR malveillants : Les hameçonneurs conçoivent des codes QR qui semblent mener à des sites web ou des applications légitimes, mais qui redirigent secrètement les victimes vers de faux sites malveillants.

Distribution : Ces codes QR malveillants sont distribués par divers moyens, notamment par courrier électronique, SMS, médias sociaux, prospectus ou même en plaçant des autocollants sur des codes QR légitimes.

Contenu trompeur : Lorsqu’il est scanné, le code QR redirige les utilisateurs vers un site web ou une application frauduleuse qui imite une entité de confiance, telle qu’une banque, une plateforme de commerce électronique ou un réseau de médias sociaux. La page invite généralement l’utilisateur à saisir des informations sensibles, telles que des identifiants de connexion, des détails de carte de crédit ou des informations personnelles.

Récolte de données : Une fois que la victime a saisi ses informations, l’hameçonneur les exploite à des fins malveillantes, notamment l’accès non autorisé à des comptes, l’usurpation d’identité ou la fraude financière.

Installation de logiciels malveillants : Dans certains cas, les faux sites web peuvent également tenter d’installer des logiciels malveillants sur l’appareil de la victime, compromettant ainsi davantage sa sécurité.

Protéger votre organisation contre l’hameçonnage par code QR

  • Sensibilisez votre personnel: Formez vos employés à reconnaître les risques associés à la numérisation de codes QR inconnus et à vérifier la source de tout code qu’ils rencontrent. Patrick Schläpfer, analyste de logiciels malveillants chez HP, a déclaré que son équipe avait observé des activités d’hameçonnage par courrier électronique presque quotidiennement depuis des mois.
  • Utilisez une application de scanner de code QR: Encouragez les employés à utiliser une application de scanner de code QR de bonne réputation qui comprend des fonctions de sécurité telles que l’aperçu de l’URL, qui affiche l’adresse du site web avant de l’ouvrir. Évitez les applications de code QR génériques ou inconnues, car elles peuvent ne pas comporter de mesures de sécurité.
  • Vérifiez les sources: Avant de scanner un code QR, assurez-vous qu’il provient d’une source fiable. Vérifiez l’image de marque, la cohérence de la conception et la légitimité du site web ou de l’événement qu’il représente.
  • Maintenez les logiciels à jour: Veillez à ce que tous les appareils et logiciels utilisés au sein de votre organisation soient régulièrement mis à jour afin de remédier aux failles de sécurité. Les mises à jour comprennent souvent des correctifs pour les vulnérabilités connues liées au code QR.
  • Mettez en œuvre la gestion des appareils mobiles (MDM) : Les solutions MDM permettent aux organisations de mieux contrôler les appareils utilisés par leurs employés, en permettant l’application de politiques de sécurité et la possibilité d’effacer les appareils à distance si nécessaire.
  • Sécurisez l’accès au réseau: Sensibilisez les employés à l’importance des connexions Wi-Fi sécurisées. Encouragez-les à utiliser des réseaux privés virtuels (VPN) lorsqu’ils se connectent à des réseaux Wi-Fi publics et à se méfier des codes QR Wi-Fi inconnus.
  • Authentification à deux facteurs (2FA): Activez l’authentification à deux facteurs pour tous les comptes et applications pertinents au sein de votre organisation. Même si des pirates parviennent à voler les identifiants de connexion, l’authentification à deux facteurs offre un niveau de sécurité supplémentaire.
  • Audits de sécurité réguliers: Effectuez régulièrement des audits de sécurité et des tests de pénétration pour identifier les vulnérabilités des systèmes de votre organisation, y compris celles liées aux codes QR.
  • Signalez toute activité suspecte: Encouragez les employés à signaler tout code QR suspect ou toute tentative d’hameçonnage à l’équipe informatique ou à l’équipe de sécurité de votre organisation.

L’hameçonnage par code QR est une menace croissante à laquelle les organisations doivent faire face pour se protéger et protéger leurs employés. En informant votre personnel, en mettant en œuvre des mesures de sécurité et en restant vigilant, vous pouvez réduire considérablement le risque d’être victime d’attaques de phishing par code QR.

Téléchargez GRATUITEMENT votre poster de sensibilisation à l’hameçonnage par code QR ICI

MicrosoftTeams image