Français

La menace croissante de phishing par QR codes et comment former les employés.

Dans cet article, vous découvrirez les dangers du phishing par QR code et apprendrez comment sensibiliser vos employés pour éviter une brèche de données liée à l'utilisateur.

Qu'est-ce que le phishing par QR code ?

Le phishing par QR code, également appelé "quishing", est une forme relativement nouvelle de cybercriminalité qui tire parti de l'omniprésence et de la commodité des QR codes à des fins malveillantes.

Ces attaques reposent sur la création par les cybercriminels de QR codes malveillants qui semblent légitimes mais qui, en réalité, mènent à des sites de phishing ou au téléchargement de logiciels malveillants sur l'appareil de l'utilisateur. Ces QR codes peuvent se trouver sous différentes formes, notamment sur des affiches, des prospectus ou même sur des sites web.

Pourquoi les cybercriminels utilisent-ils les QR codes dans les attaques de phishing ?

L'objectif de ce phishing par QR code est d'inciter les utilisateurs à fournir leurs informations sensibles, telles que leurs identifiants de connexion, les données de leur carte de crédit ou leurs informations personnelles. Une fois que les cybercriminels ont obtenu ces informations, ils peuvent les utiliser à des fins d'usurpation d'identité, de fraude financière ou d'autres activités malveillantes.

Il est important d'être conscient du phishing par QR code, car il est devenu de plus en plus répandu ces dernières années. Avec l'essor des appareils mobiles et l'utilisation généralisée des QR codes à diverses fins, les cybercriminels ont trouvé de nouveaux moyens d'exploiter cette technologie à leur avantage.

Exemple d'une attaque de phishing par QR code

Voici un exemple d'e-mail dans lequel un pirate conseille d'urgence à une victime de scanner un QR code pour conserver l'accès à son compte. S'il ne le fait pas, le mot de passe du compte de messagerie de l'entreprise expirera bientôt.

Example of a QR code phishing attack, impersonating a Microsoft Outlook email

Après avoir scanné le code, l'utilisateur est redirigé vers une fausse page de connexion, présentée comme une page de connexion Microsoft, où la victime est encouragée à soumettre les informations d'identification de son compte.

L'essor du phishing par QR code

Avec l'utilisation accrue des QR codes dans divers secteurs, notamment lors de la pandémie de COVID-19 pour les transactions sans contact, on constate une augmentation notable de ce type de tentatives de phishing.

Selon des rapports récents, le nombre d'attaques de phishing par QR code a considérablement augmenté, les cybercriminels faisant constamment évoluer leurs techniques pour rendre leurs QR codes malveillants plus convaincants. Ces attaques peuvent viser aussi bien les particuliers que les entreprises, ce qui constitue une menace importante pour la sécurité des informations personnelles et sensibles.

Augmentation de 51 % des attaques de phishing par QR codes

D'après une récente étude réalisée par ReliaQuest, en septembre 2023, l'entreprise a enregistré une augmentation de 51 % des attaques de quishing par rapport aux chiffres cumulés de janvier à août 2023.

Most popular QR phishing attacks

Parmi les autres résultats de l'étude, on peut citer :

  • Le scénario de QR phishing le plus populaire impliquait la réinitialisation ou l'activation de Microsoft 2FA, dans plus de 50 % des e-mails de phishing par QR code de cet ensemble de données. Les victimes étaient invitées à saisir leur adresse électronique et leur mot de passe Microsoft.
  • Les pages de banque en ligne représentaient 18 % de toutes les attaques par QR codes, ce qui en fait la deuxième méthode la plus populaire utilisée par les cybercriminels. Les victimes étaient encouragées à saisir leurs coordonnées bancaires sur la page.

Alors que le phishing par code QR continue de prendre de l'ampleur, les entreprises doivent comprendre les risques et prendre des mesures proactives pour se protéger et protéger leurs clients.

Techniques courantes de phishing par QR codes

Les cybercriminels utilisent différentes techniques pour mener à bien les attaques de phishing par QR codes. Voici quelques-unes des méthodes les plus courantes :

  • Faux sites Web – Les cybercriminels créent de faux sites web qui ressemblent à s'y méprendre à des sites légitimes et qui incitent les utilisateurs à saisir leurs informations sensibles.
  • Envoie de Malwares – Les QR codes malveillants peuvent être utilisés pour distribuer des logiciels malveillants sur l'appareil de l'utilisateur, ce qui permet aux cybercriminels d'obtenir un accès ou un contrôle non autorisé sur l'appareil.
  • Ingénierie sociale – Les cybercriminels peuvent utiliser des techniques d'ingénierie sociale pour manipuler les utilisateurs afin qu'ils scannent des QR codes malveillants, souvent en proposant des récompenses ou des réductions alléchantes.
  • Redirection URL – Les QR codes peuvent être conçus pour rediriger les utilisateurs vers des sites de phishing ou des contenus malveillants, où ils sont invités à saisir leurs informations.

En comprenant ces techniques courantes, les entreprises peuvent mieux informer leurs employés et leurs clients sur les risques associés au phishing par QR codes et sur la manière d'identifier et d'éviter les menaces potentielles.

L'éducation est la clé de la prévention des brèches de données liées aux utilisateurs

Grâce à la solution de gestion des risques humains de usecure, les responsables informatiques et les MSP peuvent donner aux utilisateurs finaux les connaissances et la vigilance nécessaires pour prévenir les brèches de données.

Envoyer une attaque de phishing par QR code avec usecure

En quelques étapes simples, l'outil de simulation de phishing de usecure, uPhish, vous permet de déployer des campagnes de QR codes prêtes à l'emploi ou personnalisées qui indiquent dans quelle mesure vos utilisateurs sont sensibles à ce type d'attaques.

Vous trouverez ci-dessous un exemple d'e-mail de phishing par QR code imitant Microsoft qui est préchargé dans la bibliothèque de modèles uPhish, ce qui vous permet de suivre les visites d'atterrissage et les compromissions.

Example of a QR quishing email attack

Lancez dès aujourd'hui une simulation gratuite de phishing

Bénéficiez d'un essai gratuit de 14 jours et lancez une campagne gratuite de QR code phishing pour découvrir le risque humain au sein de votre entreprise.

QR code phishing simulation