Les QR codes frauduleux concernent tous les secteurs et exposent les utilisateurs de smartphones à des vols de données, d’identifiants et peuvent même donner accès aux réseaux d’entreprises.

Zimperium, plateforme de sécurité mobile de référence pour les appareils et les applications, explique le fonctionnement de ces hameçonnages par QR code ou « quishing » (contraction de « QR code » et « phishing ») et comment les détecter.

Comment les attaques de type "Quishing" fonctionnent-elles ?

Les hackers intègrent un QR code malveillant sur des supports, a priori, légitimes : affiches publicitaires, emballages, menus de restaurants, … Ils peuvent être envoyés par emails, SMS ou via les réseaux sociaux. Dès lors que les utilisateurs scannent le code frauduleux avec leur smartphone, ils sont dirigés vers une URL associée, souvent un faux site web qui semble légal.

L'utilisateur est ensuite invité à saisir des données personnelles : identifiants, informations bancaires, ... Le QR code peut également être utilisé pour télécharger un malware sur un appareil mobile afin d'espionner ou de prendre le contrôle de l'appareil et accéder à d’autres réseaux.

Les smartphones sont les principaux terminaux utilisés pour accéder aux données des entreprises, et en 2023 50% des appareils personnels ont été exposés à une attaque de phishing mobile. Par ailleurs, 78% des employés utilisent leurs appareils professionnels pour des activités personnelles. Ils sont donc une cible de choix pour le « Quishing ».

Les hackers incitent les utilisateurs à scanner des QR codes de plusieurs façons différentes :

• un colis n'a pas pu être livré et l'utilisateur doit reprogrammer la livraison.
• un prétendu problème avec le compte de l'utilisateur nécessite une complément d’informations.
• une activité suspecte sur le compte de l'utilisateur requiert la modification du mot de passe

Quels sont les signes avant-coureurs qui permettent de les détecter ?

Détecter les attaques de « quishing » peut s'avérer difficile. Lorsqu'un code QR est redirigé vers un site web susceptible d'être victime d'hameçonnage, il est dans un premier temps important de se méfier des fautes de frappe, d’orthographe, des offres trop belles pour être vraies ou qui incitent l’utilisateur à agir dans l’urgence, des demandes d'informations personnelles ou financières trop nombreuses.

Il faut également faire preuve de vigilance et surveiller :

• les tentatives de connexion ou demandes d’authentification inhabituelles, en particulier celles provenant de sites web ou d'applications inconnus.
• les opérations bancaires suspectes. Il est recommandé de surveiller les relevés bancaires et transactions par carte de crédit pour détecter toute opération non autorisée ou anormale.
• les applications inconnues : Toute nouvelle application qui apparaît sur un smartphone, en particulier si elle n'a pas été téléchargée à partir d’un appstore officiel, est le signe d’un « quishing ». Les utilisateurs doivent donc faire preuve de la plus grande prudence lorsqu'ils sont invités à installer des applications provenant de sources inconnues, comme les QR code.
• la consommation de la batterie : Une baisse rapide de la batterie ou une utilisation anormalement élevée des données sur un appareil mobile peuvent indiquer une activité malveillante (processus en arrière-plan exécutés à partir d'un « quishing »). Les utilisateurs doivent surveiller les performances de la batterie de leur appareil et l'utilisation des données afin d'identifier tout comportement suspect.

Même si la meilleure façon de protéger les collaborateurs contre le « quishing » est de les informer et de leur rappeler les risques liés à l'utilisation d'appareils personnels ou appartenant à l'entreprise, la mise en œuvre de mesures de sécurité solides - telles que l'authentification multifactorielle et les solutions de détection des menaces mobiles – peut apporter une sécurité et une surveillance supplémentaires.

Dotée d'un puissant scanner de QR codes intégré, la plateforme de sécurité mobile unifiée de Zimperium, scanne et détecte, en quelques secondes, si une URL mène à un site malveillant. Les collaborateurs et l'équipe de sécurité ou le service informatique sont immédiatement alertés. Grâce à des politiques flexibles, les administrateurs peuvent ensuite rapidement bloquer les liens d'hameçonnage et autres URL à risque associés aux escroqueries par hameçonnage avant qu'ils ne deviennent des problèmes de sécurité plus importants.

¹  Source : observatoire Résonance