Le Quishing est une attaque de phishing utilisant des codes QR pour inciter les gens à visiter des sites web nuisibles ou à télécharger des logiciels malveillants. Les cybercriminels exploitent la polyvalence des codes QR, qui peuvent contenir des liens, des documents ou des portails de paiement, pour tromper les individus.

Lors de la pandémie de Covid-19, un petit carré noir et blanc s’est solidement installé entre les selfies vaccinaux et les couvre-feux : le code QR. Peu de temps auparavant, il était considéré comme mort et ne valait guère la peine de saisir son smartphone, mais il s’est rapidement transformé en une sorte d’outil à tout faire. Tests rapides, applications d’alerte, certificats de vaccination, billets de train, paiements sans contact… bref : la porte d’entrée dans la vie normale. Il est bien connu qu’il n’y a pas de lumière sans ombre. C’est pourquoi le potentiel de danger que renferme cette petite boîte discrète est terrifiant.

Quishing : Le retour calamiteux du code QR

QR signifie « quick response code ». Code-barres bidimensionnel, il semble être le résultat naturel et organique de notre désir d’accéder à tout aussi rapidement et facilement que possible – tout n’étant qu’à un seul balayage. Il permet le transfert immédiat de grandes quantités d’informations. Sa facilité d’utilisation et la pandémie ont servi de catalyseurs à un nouveau type d’attaque par hameçonnage : le « quishing », terme qui combine « QR » et « phishing ».

Dans les attaques de phishing traditionnelles, les cybercriminels utilisent des courriels, des messages instantanés ou des sites web douteux pour demander des mots de passe et d’autres données personnelles.

Dans le cas des attaques de quishing, les criminels profitent des caractéristiques susmentionnées des codes QR pour dissimuler des informations trompeuses derrière les carreaux noirs et blancs. Les courriels de quishing sont généralement conçus avec le plus grand soin – on pourrait même dire avec amour. Ils sont conçus pour paraître authentiques. Apparemment, il n’est plus à la mode chez les cybercriminels d’essayer de séduire des victimes potentielles en leur annonçant un héritage de plusieurs millions de dollars. Même si certains des destinataires potentiels apprécieraient certainement un voyage imaginaire dans une résidence d’été de rêve à Saint-Tropez, surtout pendant les sombres mois d’hiver.

Les cybercriminels d’aujourd’hui préfèrent une approche subtile. Ils ciblent les faiblesses de l’esprit humain. Le sentiment de torture insupportable que l’on éprouve lorsqu’on est confronté à des procédures fastidieuses. Ils menacent donc de fermer un compte bancaire ou le compte utilisateur de votre boutique en ligne préférée.

La conception sans contact suivie de la chute

Les mécanismes de sécurité conventionnels n’analysent que les pièces jointes et les URL standard. Cependant, ces mesures ont tendance à échouer avec les codes QR. Les demandes d’acceptation d’une politique de données mise à jour ou les invites à mettre en place une nouvelle procédure de sécurité figurent parmi les schémas les plus populaires. Et bien sûr, tout cela peut être fait simplement et confortablement en scannant un code QR. La boîte à outils des criminels contient même des documents importants, qui peuvent être téléchargés sans effort à l’aide d’un code QR.

Il est compréhensible que les destinataires veuillent se débarrasser au plus vite de ce mélange d’émotions désagréables : l’impression d’être contraint à l’action, combinée à l’envie de se tourner vers des choses plus agréables dans l’immédiat. Mais qui n’aime pas savourer le sentiment de productivité après avoir réglé ce problème bancaire ennuyeux ? Scanner le code n’est qu’une question de secondes – souvent avec des conséquences désastreuses. Contrairement au cas de Sainte Marie, cette conception sans contact peut se transformer en péché.

Les murènes à l’affût des données

Les personnes qui répondent à ces demandes trompeuses se retrouvent sur des sites Web falsifiés, créés avec un grand souci du détail. Après tout, l’en-tête doit arborer exactement la même nuance de bleu royal que le logo de la Volksbank qui a été piqué sur le site original. Différentes techniques sont utilisées pour dissimuler les liens malveillants et contourner les messages d’avertissement. Une méthode courante consiste à utiliser à mauvais escient des systèmes de gestion de contenu tels que WordPress et leurs plugins. Cachés derrière de fausses pages de renvoi, ils attirent les victimes potentielles dans leur piège. Il a également été signalé que des cybercriminels utilisaient le serveur proxy de Google « FeedBurner » à des fins de redirection. Une autre pratique courante consiste à utiliser un domaine personnalisé pour le processus de redirection ainsi que pour le site d’hameçonnage lui-même. Le danger est imminent – même si les systèmes de défense contre les logiciels malveillants ne tirent pas la sonnette d’alarme.

Une fois l’illusion parfaite créée, les cybercriminels ne veulent plus qu’une chose : les données personnelles. Telle une murène tapie dans sa grotte, ils n’attendent que de s’emparer des noms d’utilisateurs et des mots de passe. Trop de destinataires oublient toute précaution lorsque leur journée de travail s’achève, qu’un apéritif les appelle depuis la terrasse. Ils oublient la lettre supplémentaire dans l’URL et, quelques secondes plus tard, leurs données sont entrées dans l’interface d’enregistrement à l’apparence trompeuse et réaliste. Les URL de phishing ciblant les clients des caisses d’épargne commencent souvent par « spk-« , tandis que « vr- » est un préfixe courant pour les sites falsifiés de la Volksbank.

Dans les environnements professionnels, il existe un risque particulier lorsque des smartphones privés contournent les mécanismes de sécurité internes d’une entreprise. Le « Quishing » est parfaitement adapté à cette fin. Une fois le code dangereux scanné, le contenu malveillant s’infiltre secrètement dans l’appareil mobile. De là, il atteint rapidement les boîtes aux lettres électroniques, les coordonnées ou les documents gérés par des solutions en nuage. La passerelle idéale. Si une telle attaque se produit et affecte des données critiques, l’incendie est susceptible de se propager et d’infecter les ressources de l’entreprise. Un type de logiciel malveillant qui a récemment fait l’objet d’une attention particulière est le ransomware. Son potentiel de menace est énorme. Un sinistre impératif, et selon le BSI (l’Office fédéral allemand pour la sécurité de l’information), sa capacité de nuisance est multipliée lorsqu’il affecte les réseaux d’entreprise.

Tamis d'échantillonnage pour le polissage

Envoi de courriels frauduleux par la Volksbank et la Sparkasse

Reginheris numérique

L’objectif du ransomware est de crypter les données de l’utilisateur. Une fois ce processus achevé, la victime doit faire face à une demande de rançon. Le nombre d’entreprises touchées est scandaleusement élevé. Leurs processus informatiques et commerciaux sont perturbés. De plus, les criminels menacent souvent de divulguer ou de vendre les données. Ils ciblent des entreprises de toutes formes et de toutes tailles. Selon le Cyber Readiness Report publié par Hiscox en 2022, 48 % des entreprises allemandes paient une rançon après une telle attaque. Le montant extorqué est souvent de l’ordre de six chiffres en euros. Selon le BSI, des sommes à huit chiffres ont toutefois été exigées dans certains cas.

De nombreuses victimes sont choquées de constater que les criminels continuent d’exiger quelque chose même après qu’elles ont payé. On pourrait penser que les malfaiteurs ont surgi d’un documentaire historique moyennement passionnant. Ces scénarios rappellent l’année 845, lorsque le chef viking Reginheri a assiégé Paris. Charles le Chauve, roi de Francie occidentale, décida que la résistance était inutile et paya une somme de 7 000 livres d’argent pour que les troupes danoises se retirent. Comme leurs collègues du cyberespace 1 200 ans plus tard, les Norvégiens et les demoiselles d’écu n’ont pas pu résister à la tentation d’extorquer de nouveaux paiements. Ils ont donc poursuivi leurs attaques.

Les criminels modernes n’arborent peut-être pas de barbe tressée ni de hache de guerre sur l’épaule, mais ils sont sérieux dans leurs demandes, même lorsque la rançon a déjà été payée. Qu’ils cèdent ou non aux tentatives d’extorsion, les conséquences sont généralement graves pour les particuliers, les entreprises et les institutions publiques. Le « quishing » peut causer des dommages considérables : perte de données et de réputation, infractions au GDPR ou pertes financières, pour n’en citer que quelques-uns.

Comment puis-je me protéger contre le Quishing ?

La question n’a peut-être pas le même potentiel cinématographique que les attaques de Vikings, mais elle est tout aussi passionnante : comment se protéger du quishing ?

« En cas de doute, ne scannez pas les codes QR » – c’est une réponse plutôt évidente, mais néanmoins valable. Cependant, les problèmes ont tendance à survenir dans les cas où il ne semble pas y avoir de doutes. Les cybercriminels sont habiles à exploiter des dispositions et des besoins humains profondément ancrés pour manipuler les individus – ce que l’on appelle l’ingénierie sociale. Il suffit d’un soupçon d’ignorance pour compléter le cocktail de la catastrophe. C’est pourquoi il est si difficile de se protéger sans faille. Pourtant, quelques règles simples permettent de minimiser les risques :

    • Traitez les codes QR comme des liens. Que vous les trouviez sur des affiches de campagne de guérilla, sur des documents ou dans des courriels, les codes QR sont essentiellement des liens et présentent les mêmes risques.

    • Ne saisissez pas de données sensibles. Les fournisseurs de services dignes de confiance n’enverront jamais d’e-mail vous demandant de fournir des identifiants de connexion confidentiels.

    • Vérifiez toujours l’adresse électronique ou la barre d’adresse du navigateur si vous accédez déjà à une page web douteuse.

    • Vérifiez soigneusement les courriels et le contenu des sites web. Les fautes de frappe amusantes ne sont plus un trait distinctif de la cybercriminalité. La plupart des textes sont bien formulés. Toutefois, le BSI mentionne plusieurs caractéristiques qui devraient éveiller les soupçons, même si une seule d’entre elles s’applique :

    1. Il est urgent d’agir

    1. Menaces de conséquences graves en cas de non-respect des règles.

    1. Demande de saisie de données sensibles

    1. Le courriel contient des liens, des codes QR ou des formulaires.

    1. Demandes inhabituelles émanant d’une personne ou d’une organisation connue

    • En cas de doute, vérifiez par le biais d’un canal de communication officiel du fournisseur de services en question.

    • Ne téléchargez ou n’ouvrez jamais de fichiers provenant de pièces jointes à des courriels ou de sites web si vous n’êtes pas absolument sûr de leur authenticité.

Utilisez l’authentification à deux ou plusieurs facteurs. Même si des criminels parviennent à mettre la main sur vos données, il leur manquera toujours un facteur supplémentaire pour se connecter.

Tout comme les images de poumons de fumeurs sur les paquets de cigarettes, les discours alarmistes et les règles de conduite simplifiées n’ont qu’un succès modéré – ils sont généralement oubliés au bout de quelques jours. Cela signifie que la sécurité de l’information doit être intégrée dans la philosophie de l’entreprise. C’est pourquoi notre conseil le plus important est de mettre en place une formation continue de sensibilisation à la sécurité et de promouvoir la sensibilisation au sein de votre entreprise. En effet, la méconnaissance de ces questions par les employés reste le principal problème face aux différents risques liés au tabnabbing ou à d’autres cyberattaques. Découvrez comment notre programme de sensibilisation à la cyberformation pour les employés peut renforcer les défenses de votre organisation contre le tabnabbing et d’autres menaces en ligne.