Selon une étude récente de Proofpoint, 83 % des entreprises ont subi une attaque de phishing réussie en 2021. Parmi ces attaques, une nouvelle forme émerge : le quishing. Cette technique sophistiquée combine le phishing traditionnel avec l'utilisation de codes QR, représentant une menace croissante pour la sécurité des données personnelles et professionnelles.
Qu'est-ce que le quishing ?
Le quishing est une technique de cyberattaque combinant le phishing et l'utilisation de codes QR (Quick Response). Les cybercriminels créent des codes QR malveillants qui, une fois scannés, dirigent les victimes vers des sites frauduleux conçus pour voler des informations sensibles ou installer des logiciels malveillants.
Comment fonctionne le quishing ?
Création d'un code QR malveillant
Le quishing repose sur l'utilisation détournée de codes QR, initialement conçus pour des usages légitimes. Les cybercriminels exploitent la confiance des utilisateurs envers ces codes pour dissimuler des liens malveillants. Ils créent des codes QR visuellement attractifs, souvent personnalisés avec des couleurs ou des logos familiers, pour inciter les victimes à les scanner. Comme l'explique Matthew Tyson, expert en cybersécurité, « Il est facile pour les attaquants d'utiliser des ressources gratuites pour générer des e-mails, des pièces jointes et des sites Web de phishing activés par QR code, un mécanisme qui peut augmenter l'efficacité de leurs efforts avec un minimum d'effort ». Cette simplicité et accessibilité augmentent considérablement l'efficacité des attaques de quishing, rendant encore plus important l'éducation des utilisateurs et la vigilance face à de tels codes QR.
Diffusion du code QR via divers canaux
Une fois le code QR malveillant créé, les cybercriminels le diffusent par différents moyens. L'envoi d'e-mails frauduleux contenant le code QR est une méthode courante, exploitant les techniques d'ingénierie sociale pour inciter les destinataires à scanner le code. Les attaquants peuvent également afficher le code QR sur des sites web compromis, profitant de la confiance des visiteurs envers ces plateformes. Dans certains cas, la distribution de flyers ou d'affiches physiques portant le code QR permet d'atteindre un public plus large dans des lieux publics.
Incitation à scanner le code QR
L'efficacité du quishing repose en grande partie sur la capacité des attaquants à inciter les victimes à scanner le code QR. Pour ce faire, ils utilisent diverses techniques psychologiques. L'utilisation de messages d'urgence ou d'offres alléchantes est courante, créant un sentiment de pression ou d'opportunité qui pousse à l'action immédiate. L'exploitation de l'actualité ou d'événements populaires permet de rendre le message plus crédible et pertinent. Les cybercriminels imitent souvent les communications officielles d'entreprises reconnues, profitant de la confiance accordée à ces marques pour tromper les victimes.
Redirection vers un site frauduleux
Lorsqu'une victime scanne le code QR malveillant, elle est redirigée vers un site web frauduleux. Ces sites sont conçus pour imiter des plateformes légitimes, reproduisant fidèlement l'apparence et la structure de sites authentiques. Les attaquants utilisent des noms de domaine trompeurs, souvent très proches des noms originaux, pour renforcer l'illusion. Sur ces sites, des formulaires de collecte de données sont mis en place, conçus pour capturer les informations sensibles des victimes.
Collecte des données sensibles
La dernière étape du processus de quishing consiste à collecter les données sensibles des victimes. Les cybercriminels récupèrent les identifiants de connexion, capturent les informations bancaires et collectent diverses données personnelles. Ces informations peuvent ensuite être utilisées pour l'usurpation d'identité, la fraude financière ou d'autres activités malveillantes.
Comment assurer la cybersécurité de votre entreprise ?
Découvrez des outils pour lutter contre l'intrusion d'individus indésirables dans vos données professionnelles.
- Risques pour les entreprises
- Cyberattaques fréquentes
- Solutions de cybersécurité
- Et plus encore
Télécharger
Tous les champs sont obligatoires.
Merci d'avoir soumis le formulaire
Cliquez sur le lien pour accéder au contenu en tout temps
Exemples de quishing
Arnaque aux bornes de recharge électrique
L'essor des véhicules électriques a créé de nouvelles opportunités pour les cybercriminels. Une arnaque de quishing particulièrement insidieuse cible les utilisateurs de bornes de recharge électrique. Dans ce scénario, les attaquants apposent un code QR malveillant directement sur une borne de recharge légitime. Ce code se fond parfaitement dans l'environnement, semblant faire partie intégrante du système de paiement de la borne.
Lorsqu'un conducteur scanne ce code, pensant accéder au système de paiement officiel, il est en réalité redirigé vers un faux site de paiement. Cette action permet donc aux cybercriminels de collecter frauduleusement les données bancaires de la victime. Ces informations peuvent ensuite être utilisées pour effectuer des transactions non autorisées ou être revendues sur le dark web.
Faux service de livraison de colis
Une autre technique de quishing fréquemment observée implique l'usurpation d'identité de services de livraison connus. Cette attaque commence généralement par l'envoi d'un SMS ou d'un e-mail prétendant provenir d'un service de livraison réputé. Le message informe le destinataire qu'un colis est en attente de livraison et qu'une action est requise de sa part.
Le message contient un code QR que l'utilisateur est invité à scanner pour suivre son colis ou organiser la livraison. Ce code est présenté comme un moyen pratique et rapide d'accéder aux informations de suivi. Cependant, lorsque la victime scanne le code, elle est redirigée vers un site web frauduleux.
Quels sont les risques du quishing ?
Vol d'informations personnelles et financières
L'un des principaux dangers du quishing réside dans le vol d'informations personnelles et financières. Les cybercriminels peuvent obtenir un accès non autorisé aux comptes bancaires des victimes, ouvrant la porte à des transactions frauduleuses. L'utilisation abusive des cartes de crédit est également un risque majeur, pouvant entraîner des dépenses non autorisées et des dommages financiers importants. De plus, le vol de données d'identification personnelle peut avoir des conséquences à long terme, compromettant la sécurité et la vie privée des victimes.
Infection par des logiciels malveillants
Le quishing peut également servir de vecteur pour l'installation de logiciels malveillants sur les appareils des victimes. Les ransomwares, en particulier, représentent une menace sérieuse, chiffrant les données de l'utilisateur et exigeant une rançon pour leur libération. La propagation de virus sur les appareils connectés peut compromettre l'intégrité des systèmes d'information d'une entreprise, entraînant des perturbations opérationnelles et des pertes de données critiques.
Usurpation d'identité
L'usurpation d'identité est un autre risque majeur associé au quishing. Les informations collectées peuvent être utilisées pour créer des comptes frauduleux au nom de la victime, effectuer des demandes de crédit non autorisées, ou mener diverses activités illégales sous une fausse identité. Ces actions peuvent avoir des répercussions graves sur la réputation et la situation financière de la victime, nécessitant souvent des efforts considérables pour rétablir son identité et sa crédibilité.
Pertes financières pour les entreprises et les particuliers
Les conséquences financières du quishing peuvent être substantielles, tant pour les individus que pour les entreprises. Les coûts liés à la récupération des données volées et à la restauration des systèmes compromis peuvent être élevés. Les entreprises se voient souvent contraintes d'investir dans des mesures de sécurité informatique renforcées pour prévenir de futures attaques. De plus, les pertes dues aux transactions frauduleuses peuvent avoir un impact significatif sur la santé financière des victimes.
Comment se protéger ainsi que ses utilisateurs du quishing ?
La sensibilisation et la formation des employés aux risques du quishing constituent la première ligne de défense. Les organisations doivent investir dans des programmes de formation réguliers qui enseignent aux employés à reconnaître les signes d'une attaque de quishing. Ces formations doivent couvrir les techniques d'ingénierie sociale couramment utilisées par les cybercriminels et fournir des exemples concrets de tentatives de quishing. En comprenant comment les attaquants exploitent la psychologie humaine, les employés seront mieux équipés pour détecter et signaler les menaces potentielles. Cela est particulièrement important compte tenu de l'augmentation des attaques ciblant des individus spécifiques, comme les cadres, qui sont 42 fois plus susceptibles de subir des attaques de quishing que les employés moyens en 2023
La mise en place de solutions de sécurité avancées est également essentielle. Cela inclut l'utilisation de pare-feu nouvelle génération, de systèmes de détection et de prévention des intrusions, ainsi que de solutions antivirus et anti-malware robustes. Ces outils peuvent aider à bloquer les tentatives de quishing avant qu'elles n'atteignent les utilisateurs finaux. De plus, l'implémentation de filtres de courrier électronique sophistiqués peut réduire considérablement le nombre d'e-mails de phishing et de quishing qui parviennent aux boîtes de réception des employés.
La vérification de l'authenticité des codes QR avant de les scanner est une pratique à ne pas oublier. Les utilisateurs doivent être encouragés à examiner attentivement l'origine et le contexte d'un code QR avant de le scanner. Dans la mesure du possible, il est préférable d'utiliser des applications de scan de codes QR de confiance qui intègrent des fonctionnalités de sécurité, comme la vérification de l'URL de destination avant la redirection. Avec près de 2 % de tous les codes QR scannés identifiés comme malveillants, le risque associé à l'utilisation imprudente des QR codes est plus élevé que jamais.
L'adoption d'une approche Zero Trust représente un changement de paradigme important dans la lutte contre le quishing. Cette approche part du principe qu'aucune entité, qu'elle soit interne ou externe à l'organisation, ne doit être automatiquement considérée comme fiable. Chaque accès aux ressources de l'entreprise doit être vérifié et authentifié, réduisant ainsi les risques associés aux compromissions d'identifiants. L'implémentation du Zero Trust implique l'utilisation de l'authentification multifactorielle, la segmentation du réseau et le contrôle d'accès basé sur le contexte.
L'utilisation d'outils de détection de phishing et de quishing spécialisés peut aussi grandement renforcer la sécurité. Ces outils utilisent souvent l'intelligence artificielle et l'apprentissage automatique pour analyser les comportements suspects et identifier les tentatives de quishing en temps réel. Ils peuvent scanner les URL, analyser le contenu des e-mails et des sites web, et alerter les utilisateurs ou les équipes de sécurité en cas de menace détectée.
Pour aller plus loin, découvrez comment lutter contre l'intrusion d'individus dans vos données en téléchargeant le guide sur la cybersécurité ; ou découvrez l'outil de gestion des données. 
