Au début de ce mois, le FBI a donné l'alerte sur des campagnes de phishing par QR codes contenus dans des e-mails. Le Quishing court toujours.
Dans les e-mails professionnels, tout est passé au peigne fin, a fortiori les liens visibles qu'ils contiennent. Entre les filtres qui inspectent les adresses et ne passent même pas le dossier des spams et les contrôles stricts des liens, qui détectent la moindre redirection suspecte, en passant par l'étude fine du langage utilisé, aujourd'hui, les utilisateurs ont de quoi éviter de se faire piéger. Mais c'est sans compter l'utilisation du QR code qui rend tous ces contrôles obsolètes. L'utilisateur ne voit que le QR code, se dit que c'est bien pratique et rapide, dégaine son smartphone et le flashe. Il ne se doute pas qu'à l'instant où la nouvelle page s'affiche, il vient de tomber dans le piège du Quishing. Il saisit alors ses identifiants sans savoir qu'ils partent vers un serveur… malveillant.
C'est ce qu'explique le FBI dans son communiqué. L’institution montre comment un scan redirige des identifiants à un serveur contrôlé par un cybercriminel. Les attaquants utilisent des messages crédibles, parfois associés à des documents ou à des invitations légitimes, pour inciter l’utilisateur à flasher le QR code.
Offre partenaire
La Samsung Galaxy Watch 8 reste incontestablement une excellente montre connectée, probablement la meilleure proposée par Samsung depuis longtemps. Élégante, innovante et performante, elle saura convaincre les amateurs du genre et mérite pleinement l’attention de ceux qui souhaitent s’équiper d’une smartwatch fiable et polyvalente. Un vrai coup de coeur !
Offre partenaire
Le QR code contourne les contrôles qui protégeaient encore les boîtes mail
On l'a vu, les cybercriminels savent que désormais, les boîtes mails, surtout celles des professionels, sont bien mieux protégées qu'avant. Pourtant, comme ils cherchent toujours à avoir un métro d'avance, ils ont trouvé le moyen de continuer d'utiliser les e-mails comme appât de leur phishing.
Ainsi, ils envoie un simple e-mail anodin, une invitation à rejoindre une réunion Zoom, un itinéraire à transférer directement à son smartphone dans Google Maps, ou encore un module supplémentaire à installer dans une application de la suite bureautique de la boîte. Pas de quoi éveiller le moindre soupçon au destinataire, qui va suivre les instructions, mais à la place d'un lien à cliquer, on lui demande de flasher un QR code et donc, d'utiliser son smartphone. Il laisse tomber l'e-mail et s'exécute. Comme les outils de sécurité ne peuvent rien analyser, car aucune URL n’est visible, que l'utilisateur ne lit pas une adresse ni un lien suspect, c'est en totale confiance qu'il scanne « juste » une image.
Une fois le QR code flashé, le téléphone affiche une page web qui reprend l’apparence du service cité dans le message. Logo, couleurs, mise en page, tout correspond. L’écran du smartphone affiche moins les détails, ce qui rend les incohérences plus difficiles à repérer. L’utilisateur saisit alors ses identifiants comme il le ferait habituellement. Et voilà. À ce moment précis, les informations sont redirigées ni vu ni connu vers un serveur contrôlé par l’attaquant.
Le FBI insiste sur ce point dans son communiqué. Les protections mises en place sur les messageries fonctionnent surtout sur les liens visibles et sur le contenu textuel. Le QR code court-circuite ces vérifications. L’attaque ne passe plus par le navigateur de l’ordinateur, mais par le téléphone personnel ou professionnel, souvent moins surveillé et moins équipé en outils de détection.
C'est aussi la raison pour laquelle ces campagnes ciblent fréquemment les environnements de travail. Dans un cadre professionnel, scanner un QR code pour accéder à un document partagé ou valider une action courante ne surprend personne. Le geste paraît logique, surtout lorsque le message évoque une urgence ou une action attendue. Quelques secondes suffisent pour que les identifiants changent de mains.
Des campagnes structurées qui visent des accès précis
On pourrait croire que derrière la technique, on retrouve une équipe de pieds Nickelés qui bricolent des fausses pages ou rédigent des e-mails avec les pieds. C'est tout le contraire, explique le FBI.
Les attaquants préparent des sites qui copient fidèlement les services visés. Microsoft 365, portails de connexion internes, outils collaboratifs, plateformes cloud, tout y passe. Chaque page correspond à un objectif précis, souvent lié à un accès professionnel.
Et pour éviter de se faire repérer, les cybercriminels déploient des infrastructures temporaires, parfois actives seulement quelques heures. Les serveurs changent régulièrement d’adresse. Les pages disparaissent dès que la campagne s’achève. De quoi compliquer le travail des équipes de sécurité, qui disposent de peu de temps pour identifier et bloquer les domaines utilisés.
Pendant ce temps, une fois les identifiants récupérés, l’attaquant peut se connecter aux comptes concernés. Et là, on connaît la chanson triste. Il accède alors à des documents internes, à des boîtes mail professionnelles ou à des outils partagés. Dans certains cas, ces accès servent à préparer une seconde vague d’e-mails piégés, envoyés depuis une adresse légitime de l’entreprise. Le message inspire confiance, car il provient d’un collègue ou d’un service connu. Le FBI précise également que certains QR codes peuvent demander bien plus que de simples identifiants de connexion, comme la saisie d'un code de validation, des informations personnelles, ou une confirmation d’identité. Le kit complet pour exploiter un maximum de données.
Selon The Register, plusieurs campagnes de ce type ont été associées à des groupes nord-coréens déjà impliqués dans des opérations de cybersespionnage.
Source : The Register, The Hacker News, FBI
