Logiciel de point de contrôle, Le principal fournisseur de solutions de cybersécurité cloud basées sur l’IA a détecté une augmentation des attaques de phishing par code QR. Les chercheurs d’Harmony Email ont découvert une nouvelle campagne dans laquelle le code QR n’est pas sur une image, mais est créé à l’aide de caractères HTML et ASCII. Fin mai, plus de 600 emails suivant ce schéma ont été détectés.
Quishing ou phishing ?
Les attaques de quishing diffèrent des attaques de phishing traditionnelles dans la manière dont le lien est formaté dans un e-mail. Au lieu d’un lien textuel, le site Web malveillant est signalé à l’aide d’un code QR. Lorsqu’un utilisateur scanne le code QR, son appareil peut extraire le lien indiqué et diriger l’utilisateur vers cette URL. Ils ont commencé avec des demandes d’authentification MFA standard et ont ensuite évolué vers des attaques de routage et des cibles personnalisées. Nous assistons désormais à une nouvelle tendance vers la manipulation des codes QR.
Les cybercriminels insèrent de petits morceaux de code dans le code HTML. À première vue, dans un email, cela peut ressembler à un code QR standard, mais pour une OCR, aucune information pertinente n’est détectée. Il existe des plateformes en ligne qui permettent aux cybercriminels de générer automatiquement ces codes malveillants, qui peuvent être configurés pour inclure des liens nuisibles. Dans de nombreux cas d’attaques de phishing par code QR, l’e-mail prétend être une demande d’authentification. Cependant, la présence de caractères ASCII dans le code QR peut amener les systèmes de sécurité à négliger le risque et à interpréter à tort l’e-mail comme sécurisé.
Évolution du quishing
Toutes les formes d’attaques évoluent et le phishing par code QR n’est pas différent. Cependant, il est unique que l’évolution se soit produite si rapidement.
- Tout a commencé avec les codes de vérification MFA standard ; Ils étaient assez simples et demandaient aux utilisateurs de scanner un code, soit pour réinitialiser le MFA, soit même pour afficher des données financières.
- La deuxième variante, QR Code Phishing 2.0, consistait en des attaques de routage. Le lien recherche où l’utilisateur interagit avec lui et s’ajuste. Si l’internaute est sur un Mac, un lien apparaît, si en revanche il possède un téléphone Android, un autre apparaît. Des campagnes de codes QR personnalisées ont également été détectées, dans lesquelles les cybercriminels saisissent dynamiquement le logo de l’entreprise et le nom d’utilisateur correct.
- Nous examinons maintenant le QR Code 3.0, qui en est la représentation textuelle. Cela rend extrêmement difficile pour les systèmes OCR de le voir et de le détecter.
Comment se protéger de ces attaques ?
Pour se protéger contre ces menaces, les entreprises et les professionnels de la sécurité doivent prendre les mesures suivantes :
- Implémentez une sécurité qui décode automatiquement les codes QR intégrés dans les e-mails et analyse les URL à la recherche de contenu malveillant.
- Utilisez une sécurité qui réécrit le code QR intégré dans le corps de l’e-mail et le remplace par un lien sécurisé et réécrit.
- Mettez en œuvre une sécurité qui utilise une IA avancée pour rechercher plusieurs indicateurs de phishing.
Check Point Harmony Email and Collaboration offre une solide protection anti-phishing, y compris les attaques par annulation.
