Autrefois cantonnés à quelques initiés, les QR codes se sont généralisés dans notre quotidien. On les retrouve un peu partout : restaurants, magasins, événements, etc. Seulement, les hackers l’ont bien compris et se servent de ces outils pour mener des campagnes massives de phishing. Leur objectif : aspirer un maximum de données personnelles. Petit tour d’horizon de cette nouvelle menace de cybersécurité
Les multiples visages des arnaques par QR code
Les possibilités de fraude sont infinies. Aux États-Unis, des QR codes trafiqués sont collés sur des parcmètres dans de grandes villes comme New York ou San Francisco. Ces faux QR codes renvoient en réalité vers des sites pirate imitant à la perfection les vrais sites de paiement des municipalités. En scannant le code pour payer leur stationnement, les automobilistes envoient en fait leurs coordonnées bancaires directement aux hackers.
Autre technique répandue : les faux procès-verbaux (PV) glissés sournoisement sous les essuie-glaces des voitures. Là aussi, le QR code présent sur ces faux PV amène vers une fausse interface de paiement d’amende. En rentrant leurs informations bancaires pour régler l’amende, les conducteurs se font arnaquer sans le savoir.
Les restaurants et bars sont également des cibles prisées. Certains QR codes présents sur les tables, soi-disant pour accéder au menu, servent en fait à infecter votre smartphone. En scannant le code, vous installez sans le vouloir un logiciel malveillant ou « malware » qui aspire toutes vos données personnelles. Méfiance donc la prochaine fois que vous scannez un QR dans votre bistro préféré !
Les réseaux sociaux représentent un autre vecteur idéal pour les campagnes de phishing via QR code. Selon les informations publiques sur votre profil, les hackers peuvent vous envoyer des QR codes ultra personnalisés. Le taux de clic est alors beaucoup plus élevé qu’avec des campagnes massives non ciblées.
Les professionnels, cibles de choix des hackers
Mais la plus grande menace actuelle vient des campagnes de phishing à grande échelle visant les entreprises. Rien qu’en quelques mois, plus de 1000 e-mails piégés ont été envoyés à des sociétés de toutes tailles et tous secteurs d’activité.
Ces e-mails frauduleux imitent à la perfection des communications officielles de Microsoft. Ils usurpent l’identité de l’éditeur de Windows pour amener les employés à livrer leurs identifiants professionnels. Lors de la dernière campagne, un géant américain du pétrole a été tout particulièrement ciblé par ce type d’attaque.
Mode opératoire rodé pour abuser les salariés
Le mode opératoire des hackers est bien rôdé et difficile à détecter. Ils envoient des e-mails parfaitement imités, qui se font passer pour une demande officielle de Microsoft.
Le message indique que pour des raisons de sécurité, les identifiants Office 365 de l’employé doivent être mis à jour d’urgence. Pour rendre la chose plus crédible, un compte à rebours de 2-3 jours est affiché en gros dans l’e-mail.
La seule action demandée au destinataire est de scanner un QR code joint dans le message avec son smartphone. Problème : ce QR code ne mène pas du tout vers un portail Microsoft, mais vers un faux site créé par les hackers. En rentrant ses identifiants comme demandé, l’employé livre toutes ses données personnelles sans le savoir.
Pour maximiser leur taux de réussite, les hackers utilisent des redirections via des adresses connues comme Bing ou Salesforce. Rien qu’en voyant l’URL d’une marque familière, l’employé sera complètement dupé.
Comment contrer cette cyberscam ?
Plusieurs mesures s’imposent pour se prémunir contre cette nouvelle vague de fraude :
- Former très régulièrement les employés à la vigilance face aux e-mails douteux
- Leur rappeler de toujours vérifier les adresses web avant de cliquer sur un QR code
- Signaler immédiatement les QR codes et e-mails suspects au RSSI
- Sécuriser tous les accès et mots de passe des collaborateurs
- Durcir drastiquement les mesures de cybersécurité en entreprise
Face à la montée fulgurante des QR codes dans notre quotidien, leur détournement par des cybercriminels souligne l’importance d’une vigilance renouvelée. Alors que ces codes promettaient simplicité et efficacité, ils sont devenus, à notre insu, des vecteurs potentiels d’attaques.
Les entreprises, tout comme les individus, doivent être armées d’informations et de précautions pour naviguer dans cet environnement numérique. La technologie, aussi innovante soit-elle, n’est pas exempte de risques. Il est donc essentiel de conjuguer progrès technologique avec sensibilisation et éducation pour garantir une utilisation sécurisée.
