Une campagne de phishing a été observée ciblant principalement une société énergétique notable aux États-Unis, utilisant des codes QR pour glisser des e-mails malveillants dans les boîtes de réception et contourner la sécurité.
Environ un tiers (29 %) des 1 000 e-mails attribués à cette campagne ciblaient une grande entreprise énergétique américaine, tandis que les tentatives restantes visaient des entreprises du secteur manufacturier (15 %), des assurances (9 %), de la technologie (7 %), et services financiers (6%).
Selon Cofense, qui a repéré cette campagne, c’est la première fois que des codes QR sont utilisés à cette échelle, ce qui indique que davantage d’acteurs de phishing pourraient tester leur efficacité en tant que vecteur d’attaque.
Cofense n’a pas nommé l’entreprise énergétique ciblée dans cette campagne, mais l’a classée comme une « grande » entreprise basée aux États-Unis.
Codes QR dans le phishing
Cofense dit que l’attaque commence par un e-mail de phishing qui prétend que le destinataire doit prendre des mesures pour mettre à jour les paramètres de son compte Microsoft 365.
Les e-mails contiennent des pièces jointes PNG ou PDF contenant un code QR que le destinataire est invité à scanner pour vérifier son compte. Les e-mails indiquent également que la cible doit terminer cette étape en 2-3 jours pour ajouter un sentiment d’urgence.
Les acteurs de la menace utilisent des codes QR intégrés dans des images pour contourner les outils de sécurité des e-mails qui analysent un message à la recherche de liens malveillants connus, permettant aux messages de phishing d’atteindre la boîte de réception de la cible.
Pour échapper à la sécurité, les codes QR de cette campagne utilisent également des redirections dans les services Web3 de Bing, Salesforce et Cloudflare pour rediriger les cibles vers une page de phishing Microsoft 365.
Le masquage de l’URL de redirection dans le code QR, l’abus de services légitimes et l’utilisation de l’encodage base64 pour le lien de phishing permettent d’échapper à la détection et de passer à travers les filtres de protection des e-mails.
Codes QR dans le phishing
Les codes QR ont été utilisés dans des campagnes de phishing, bien qu’à plus petite échelle, dans le passé, dont une en France et une en Allemagne.
Les escrocs ont également utilisé des codes QR pour inciter les gens à les scanner et les rediriger vers des sites Web malveillants qui tentent de voler leur argent.
En janvier 2022, le FBI a averti que les cybercriminels utilisent de plus en plus les codes QR pour voler des informations d’identification et des informations financières.
Malgré leur efficacité à contourner les protections, les codes QR obligent toujours la victime à prendre des mesures pour se faire compromettre, ce qui est un facteur atténuant décisif en faveur d’un personnel bien formé.
De plus, la plupart des scanners de code QR sur les smartphones modernes demanderont à l’utilisateur de vérifier l’URL de destination avant de lancer le navigateur comme mesure de protection.
Outre la formation, Cofense suggère également aux organisations d’utiliser des outils de reconnaissance d’images dans le cadre de leurs mesures de protection contre le phishing, bien qu’il ne soit pas garanti qu’elles détectent toutes les menaces de code QR.