Boite à outils

Quishing : tout savoir sur cette attaque par phishing

Sachant que les internautes sont désormais en alerte face aux e-mails douteux, les hackers cherchent toujours d’autres moyens pour tromper leur vigilance. L’utilisation des codes QR fait partie de leurs dernières méthodes en date. Au départ, ces codes bidimensionnels facilitent l’accès à des informations comme le pass sanitaire par exemple. Les hackers l’utilisent désormais pour cacher des liens malveillants, d’où le nom quishing.

Thumbnail-Quishing
Contenu mis à jour le

Un faux conseiller bancaire qui envoie un mail, un prétendu recouvrement de la part des impôts, etc. Les hackers ne manquent pas d’idées pour inciter leurs victimes à tomber dans le piège du phishing. La victime reçoit le mail, le lit et clique finalement sur un lien. Si cette dernière va au bout de son processus, elle révèle des informations sensibles comme les coordonnées bancaires ou les identifiants de connexion.

Le quishing repose sur le même principe. L’objectif demeure l’incitation à cliquer sur un lien afin d’obtenir des données personnelles. Seulement, les hackers utilisent le QR code pour cacher le lien malveillant. Malheureusement, les filtres anti-spam sont inefficaces face à ces QR Codes. De plus, ils peuvent être imprimés pour être ensuite utilisés. C’est pourquoi les experts en cybersécurité donnent l’alerte sur ce phénomène qui a pris de l’ampleur pendant la pandémie.

Qu’est-ce que le code QR ?

Le code QR, quick response pour QR, est un code-barre bidimenssionnel qui peut être scanné par un smartphone ou un outil dédié. Il se distingue du code-barre unidimensionnel collé sur les produits dans les grandes surfaces sur plusieurs points :

  • la capacité à stocker une quantité de données plus importante ;
  • la vitesse de transmission des données ;
  • la possibilité de scanner le code même s’il est endommagé.

Les premiers QR codes ont vu le jour en 1994, initiés par l’industrie automobile japonaise. Son utilisation gagne en popularité pendant la pandémie et les périodes de confinement. Les entreprises de service pouvaient poursuivre leur activité tout en respectant la distance de sécurité.

Les utilisateurs se sont habitués au scan de ce code dans la vie quotidienne. Le QR Code séduit les professionnels en raison du nombre de données qu’il peut contenir. Les marques l’utilisent par exemple pour le traitement des paiements. Le secteur du marketing s’en sert à des fins publicitaires. Aujourd’hui, les QR Code se trouvent même sur les panneaux d’affichage.

Deux types de codes QR coexistent :

  • les codes statiques ;
  • les codes dynamiques.

Les codes statiques permettent de coder des informations non modifiables. Le créateur du code ne peut plus effectuer de mise à jour sur le contenu. Ce type de code est utilisé pour le partage d’informations comme le mot de passe wifi par exemple ou les identifiants de connexion.

De son côté, les codes dynamiques permettent de modifier les informations dans le code sans altérer son apparence. Dans ce cas, les codes redirigent vers l’URL d’un serveur qui stocke les données. Le code QR redirige ainsi vers le lien. L’utilisateur accède à des informations qui sont toujours mises à jour.

Le quishing : une nouvelle forme d’attaque dérivée du phishing

L’utilisation des QR code a pris de l’ampleur pendant la pandémie, à cause notamment des pass sanitaires. D’autres secteurs l’ont utilisé par la suite à l’instar des restaurants, des transports publics et des affiches.

La plateforme d’échanges de cryptomonnaies Coinbase l’a par exemple utilisé pendant le Super Bowl de 2022. Elle a incité les internautes à scanné le QR code affiché à l’écran pour télécharger l’application. Cette publicité a permis à Coinbase d’augmenter le téléchargement de son application de 309 %.

Cette montée de la popularité du QR Code attire les hackers. Les escroqueries se multiplient et les victimes ayant scanné les codes voient leur compte vidé. Cette méthode est appelée quishing, une combinaison entre « quick response Code » et « phishing ».

Comme le phishing, le quishing redirige les victimes vers un faux site ou les invite à télécharger un fichier rempli de virus. Sachant qu’un code QR peut abriter des liens, des portails de paiement ou des documents, les hackers s’en servent pour cacher de faux portails et des virus.

Les codes QR se trouvent généralement à la fin d’un e-mail de phishing. Aucun indice ne permet au destinataire de reconnaître la source derrière les codes. Le logiciel malveillant s’installe directement sur l’ordinateur de la victime dès qu’elle commence à scanner le code.

Les codes QR peuvent également se trouver sur les affichages, dans un lieu public où les victimes peuvent le scanner facilement. Pourtant, après le scan, on leur demande de fournir des informations sensibles comme les coordonnées bancaires.

Comment fonctionne le quishing ?

Il existe aujourd’hui plusieurs générateurs de QR code gratuits en ligne. En seulement deux clics, un utilisateur peut l’obtenir. Cependant, ce processus facilite également le travail des hackers. Il ne reste plus qu’à insérer le QR Code dans un mail frauduleux aux couleurs d’une organisation connue. Néanmoins, les générateurs de ces QR codes gratuits ont limité le nombre de scans. Cela permet de contenir la menace.

L’exemple le plus célèbre d’une entreprise victime de quishing est la banque ING. L’établissement permet à ses clients de s’identifier par QR Code. Malheureusement, ces QR Code d’authentification ont été détournés par les hackers. Ces derniers ont pu dérober les identifiants de centaines de comptes, permettant de voler des milliers d’euros.

Les acteurs de la filière restent néanmoins confiants. Les QR Codes sont difficiles à détourner. Les hackers ont du mal à déchiffrer leurs multiples encodages. La preuve : près de 2,4 milliards de mails cachent des tentatives de phishing par jour. Pourtant, une plateforme de QR Codes génère des millions, voire quelques milliards par an. Ces chiffres signifient que le quishing reste une méthode marginale. Les utilisateurs doivent quand même rester en alerte en adoptant les mêmes réflexes qu’avec le phishing.

Quelques exemples de cas d’attaques par quishing

L’ING Bank est le premier exemple qui vient en tête en matière d’attaque par quishing. Les utilisateurs peuvent accéder à leur compte sur un second appareil en scannant le code QR. Les cybercriminels ont manipulé les codes QR pour rediriger les utilisateurs vers une fausse page de connexion. Les clients moins prudents ont vu leur compte déduit de plusieurs milliers d’euros.

En 2022, les hackers ont usurpé l’identité du ministère chinois des Finances et envoyé des milliers d’e-mails de quishing. Les destinataires ont été invités à scanner un code à partir de WeChat, une application de paiement. Une fois le scan terminé, ils étaient redirigés vers un formulaire à remplir avec des informations sur les coordonnées bancaires et les cartes de crédit.

En 2022, les conducteurs texans étaient invités à scanner un code QR pour payer un ticket de stationnement. Ces faux autocollants étaient placés sur les bornes de stationnement. Heureusement, les autorités locales ont identifié l’escroquerie plus tôt.

Comment se protéger du quishing ?

Sachant que le quishing repose sur les mêmes méthodes que les attaques de phishing, les mêmes recommandations s’appliquent :

  • cela commence par une vérification minutieuse de l’adresse de l’expéditeur.
  • le destinataire doit porter une attention particulière aux fautes d’orthographe et au manque d’effort en matière de mise en page.
  • la prudence reste de mise quant au téléchargement de pièces jointes et au clic sur un lien douteux.

Le quishing présente quand même des spécificités impliquant des recommandations supplémentaires :

  • la méfiance à l’égard des codes QR proposant des offres commerciales alléchantes. Si le message provient d’une marque par exemple, il est préférable de vérifier la promotion sur le site officiel avant de scanner le code.
  • la prévisualisation de l’URL de destination est disponible sur certaines applications de numérisation. Elle permet de vérifier le lien avant d’y accéder et de se prémunir du téléchargement par inadvertance des logiciels malveillants.
  • l’utilisation d’un lecteur de code QR fiable est indispensable. Bien que les smartphones soient équipés de scanner intégré, certains utilisateurs préfèrent télécharger une application. Il y a quelques années, des hackers ont mis en ligne des mises à jour frauduleuses des lecteurs de code QR.
  • la prudence est de mise face à un code QR redirigeant vers un formulaire demandant des informations personnelles. Si tel est le cas, il faut en premier temps vérifier le logo et l’URL de la page. Cependant, certains hackers arrivent à faire une copie très similaire d’un site.
  • l’authentification à deux facteurs représente une couche de protection supplémentaire sur un téléphone et aux comptes. Même si le cybercriminel obtient le mot de passe d’un compte, il ne pourra pas y accéder sans la deuxième authentification.
  • la formation de sensibilisation à la sécurité reste indispensable en milieu professionnel. Les employés se tiennent ainsi au courant des nouvelles pratiques des cybercriminels.