Hameçonnage par code QR : la nouvelle escroquerie que vous ne pouvez pas vous permettre d'ignorer

Les codes QR sont omniprésents, des menus de restaurants aux portes de bureaux. Mais aujourd'hui, ils sont aussi une arme entre les mains des cybercriminels.
Les attaques dites de "quishing" (hameçonnage par code QR) se développent rapidement, et la plupart des employés ne savent même pas qu'elles existent. Si votre formation de sensibilisation ne porte encore que sur les liens contenus dans les courriels, il est temps d'actualiser votre programme.

Attaques par code QR

Qu'est-ce que l'hameçonnage par code QR ?

L'hameçonnage par code QR consiste à intégrer des liens malveillants dans les codes QR qui, lorsqu'ils sont scannés, dirigent les utilisateurs vers de faux sites web, des voleurs d'informations d'identification ou des téléchargements de logiciels malveillants. Ces attaques sont très efficaces parce qu'elles

  • Contourner les filtres anti-spam

  • Apparaître à des endroits où les utilisateurs ne s'attendent pas à des menaces

  • Exploiter un faux sentiment de sécurité physique (par exemple sur des documents imprimés)

Un simple balayage suffit. Sur les appareils mobiles, où la visibilité et la prudence sont réduites, les utilisateurs ne voient souvent même pas l'URL complète.

 

Exemples concrets de Quishing en action

Les cybercriminels font preuve de créativité :

  • Escroqueries aux parcmètres: De faux autocollants QR placés sur des parcmètres légitimes dirigent les victimes vers des sites d'hameçonnage leur demandant des informations de paiement.

  • Hameçonnage d'entreprise: les attaquants insèrent des codes QR dans des courriels ou des prospectus imprimés afin de contourner les contrôles de sécurité des courriels.

  • Récolte de données d'identification informatiques: Des codes à scanner prétendent rediriger les utilisateurs vers des pages d'"authentification multifactorielle", mais volent les données de connexion.

En 2024, plusieurs entreprises européennes ont signalé des escroqueries à l'emploi dans le domaine des ressources humaines, utilisant des codes QR dans les annonces de recrutement. Les victimes ont été incitées à télécharger des documents personnels.

Pourquoi le Quishing fonctionne si bien

Plusieurs facteurs psychologiques et techniques rendent l'hameçonnage par code QR particulièrement dangereux :

  • Les utilisateurs font davantage confiance à la signalisation physique qu'aux messages numériques

  • Pas d'aperçu visible du lien: Contrairement aux courriels, les codes QR masquent l'URL.

  • Comportement "mobile-first": Les gens agissent vite et réfléchissent plus tard sur leur téléphone

  • L'angle mort de la sécurité: La plupart des formations de sensibilisation ne couvrent pas les risques liés aux codes QR

Et contrairement à l'hameçonnage traditionnel, ces attaques peuvent être lancées dans des environnements hors réseau et hors ligne : affiches, cartes de visite, transports publics, etc.

Attaques par code QR

Comment se défendre contre l'hameçonnage par code QR

Pour réduire les risques, les organisations doivent agir maintenant :

  1. Mettre à jour la formation de sensibilisation au phishing pour y inclure les escroqueries basées sur les QR

  2. Sensibiliser le personnel à la prévisualisation des liens QR avant leur ouverture (de nombreuses applications le permettent).

  3. Décourager le balayage aveugle de codes QR inconnus ou non officiels

  4. Utiliser des lecteurs de codes QR sécurisés qui valident les destinations

  5. Simuler des attaques de quishing dans le cadre de vos tests de phishing

Conseil : Rappelez que même un code QR imprimé peut être un lien d'hameçonnage - physique ne veut pas dire sûr.

La prise de conscience est votre meilleure défense

Comme toute nouvelle méthode d'hameçonnage, le quishing mise sur la confiance, la précipitation et les lacunes en matière de formation. Mais une fois que votre personnel est au courant de cette tactique, elle devient beaucoup moins efficace.

La sécurité ne consiste pas seulement à bloquer des liens, mais aussi à donner aux gens les moyens de reconnaître et de résister à la manipulation sous toutes ses formes.

Si votre programme de sensibilisation n'inclut pas le QR phishing, il est temps de revoir votre stratégie.

 

Simulation d'empilage

  •  

Réflexions finales

L'hameçonnage par code QR n'est pas une menace futuriste - elle est déjà là. À mesure que les attaquants font évoluer leurs tactiques, ils trouvent de nouveaux moyens d'exploiter les outils quotidiens dont nous nous servons, y compris l'humble code QR.

Ce type d'hameçonnage fonctionne précisément parce qu'il se fond dans les flux de travail modernes et contourne les contrôles de sécurité traditionnels. C'est pourquoi il est essentiel de former votre personnel, et pas seulement votre technologie.

La meilleure défense est une main-d'œuvre informée. En élargissant votre formation de sensibilisation aux menaces émergentes telles que le quishing, vous vous assurez que votre équipe reste vigilante, même lorsque la menace se présente sous une forme inattendue.

Après tout, en matière de cybersécurité, ce que les gens ne savent pas peut vous nuire.

Veuillez utiliser notre formulaire de contact si vous avez des questions sur la manière dont nous pouvons vous aider, vous et votre organisation, à vous protéger contre les cybercriminels.

Pour en savoir plus sur les configurations techniques, consultez notre WIKI ici : QR Attack notes.

Notre chaîne You tube propose également de nombreux contenus pertinents et utiles.