Depuis fin 2022, le Centre de recherche avancée (ARC) de Trellix a constaté une forte augmentation des attaques de phishing via QR codes. Beaucoup de pays sont à ce jour touchés, bien que ce ne soit pas encore le cas de la France. Voici ce que les chercheurs de l’ARC ont constaté :
Campagne 1 : Attaque phishing de comptes Microsoft via QR code
Depuis la mi-mai 2023, une nouvelle technique d’attaque de phishing sévit et cible les comptes Microsoft. Son originalité, elle utilise un QR code, ce qui lui permet d’échapper à la vigilance des systèmes de sécurité qui se basent uniquement sur la détection de texte et d’URL.
Plus en détails :
- Le mail suspect contient simplement du texte et un QR code, tous les deux sous forme d’images, tandis que l’objet du mail appelle les destinataires à procéder d’urgence à une authentification multifactorielle, par exemple, en annonçant une « Mise à jour de la sécurité 2FA (Authentification à deux facteurs) ». Les destinataires sont alors invités à scanner le QR code avec leur téléphone portable.
- Cette campagne a touché plusieurs secteurs stratégiques, dont l’énergie, la finance, les télécommunications, l’informatique, les soins de santé, les transports et l’industrie.
- Les pays actuellement touchés sont : les États-Unis, le Qatar, le Danemark, la Suède, l’Australie, l’Afrique du Sud, Abu Dhabi, le Pakistan, l’Inde, Singapour et la Chine.
Campagne 2 : Fausse campagne d’aides gouvernementales en Chine à base de codes QR
Cette campagne de phishing qui utilise également des QR codes intégrés à des mails redirige cette fois vers un site d’hameçonnage copie du réseau bancaire “China Union Pay” afin de récupérer une aide octroyée par le gouvernement chinois.
Plus en détails :
- Les mails suspects promettent des aides du gouvernement chinois qui seraient octroyées par le ministère des finances et incitent les destinataires à scanner un code QR pour en bénéficier.
- Si au départ les mails contenaient une pièce jointe Word dans lequel se trouvait le QR code, plus récemment le QR code a été intégré directement au mail de phishing.
- Les pays actuellement touchés par cette campagne sont : la Chine continentale, la République de Corée, Hong Kong, le Japon, les États-Unis, l’Allemagne, la Suisse, l’Australie, l’Italie, le Royaume-Uni et l’Arabie saoudite
Dans le cadre de l’utilisation croissante des QR codes à des fins malveillantes, Trellix a récemment intégré un module de détection des tentatives de phishing par le biais de codes QR dans son produit ETP. Ce module a la capacité d’analyser les images (et donc les QR codes intégrés à un mail/une pièce jointe) ainsi que les URL associées.
Vous trouverez ici plus de détails sur ces recherches et les conclusions du Centre de recherche avancée de Trellix (ARC).
