De nos jours, les codes QR sont devenus un moyen populaire pour les utilisateurs d’accéder rapidement à des informations sur un produit ou un service, éliminant ainsi le besoin de recherches manuelles. Cependant, profitant de cette commodité et des politiques de sécurité assouplies des clients de messagerie, les acteurs malveillants auraient commencé à utiliser des codes QR dans des campagnes de phishing généralisées et à cibler les principales institutions américaines.
Selon Cofense, parmi les 1 000 e-mails associés à la campagne de phishing, 29 % étaient dirigés vers une seule grande entreprise énergétique américaine, tandis que les autres ciblaient un large éventail de secteurs, notamment l’industrie manufacturière (15 %), les assurances (9 %). , technologie (7 %) et services financiers (6 %).
Pourquoi utiliser les codes QR ?
Alors que les plateformes de messagerie comme Gmail et Outlook ont mis en œuvre des protocoles de sécurité robustes pour protéger les utilisateurs contre les attaques de phishing courantes, les codes QR, souvent présentés sous forme de fichiers image comme .PNG ou .JPG, offrent aux acteurs malveillants un moyen de contourner les mesures de sécurité conventionnelles. De plus, pour échapper davantage à la détection, ces e-mails utilisent un codage base64 pour les liens de phishing, avec des codes QR utilisant des redirections via des plateformes telles que Bing, Salesforce et les services Web3 de Cloudflare.
« Ce qu’il est important de noter, c’est qu’en plus de se cacher dans les codes QR, les menaces abusent d’un domaine de confiance pour mener des attaques. L’abus de domaines de confiance, l’utilisation de tactiques d’obscurcissement, couplés au masquage des URL dans des codes QR intégrés dans une pièce jointe PNG ou PDF, permettent de garantir que les e-mails contournent la sécurité et arrivent dans les boîtes de réception », lit-on dans le rapport.
Le mode opératoire de la campagne consiste à envoyer un e-mail de phishing invitant les destinataires à mettre rapidement à jour les paramètres de leur compte Microsoft 365 en scannant un code QR, prétendument pour la vérification du compte. De plus, les auteurs de menaces manipulent les destinataires en imposant un délai de trois jours pour mettre à jour les paramètres de leur compte, capitalisant ainsi sur un déclencheur psychologique courant.
Quelle est la solution?
Compte tenu de l’efficacité des codes QR pour échapper aux détections de sécurité, des entreprises comme Google et Microsoft devront développer de nouvelles méthodes pour scanner les codes QR à la recherche de liens de phishing. De plus, Cofense recommande une formation complète des employés pour reconnaître les signes de tentatives de phishing, notamment les e-mails incitant à une action immédiate et les pages de destination qui s’écartent des conceptions officielles.
