Phishing, spear phishing, quishing : Comment rester en sécurité face à la montée de ces attaques ?

Quels sont les différents types d’attaques par phishing ?

Le phishing, technique d’usurpation d’identité parmi tant d’autres, se propage de manière de plus en plus sophistiquée. En effet, aujourd’hui les experts du métiers parlent de spear phishing, smishing ou quishing. Plus de 70 % des violations de données commencent par des attaques de phishing. Sachant que, selon l’ANSSI les cyberattaques ont augmenté « de 30% » par rapport à 2022. C’est pourquoi il est de plus en plus difficile de les contrer.

Quelques définitions

• Phishing : Hameçonnage en français, attaque en masse où des emails génériques sont envoyés à un grand nombre de personnes, sans ciblage spécifique, dans le but de voler des données sensibles.
• Spear phishing : Le spear phishing est une variante du phishing pour laquelle le destinataire est ciblé, à la différence d’une attaque plus massive et générique de phishing.
• Quishing : Phishing par code QR, qui consiste à réorienter les cibles vers des sites web malveillants ou à les inciter à télécharger du contenu piraté.
• Vishing ou smishing : d’autres variantes du phishing, qui s’appuient sur la voix et les sms. Les hackers se font passer pour des personnes de confiance, comme des agents de support technique ou des ressources humaines pour voler des informations confidentielles.
• Ingénierie sociale : L’ingénierie sociale est à l’origine de 98 % des attaques informatiques. Il s’agit d’une approche d’attaque reposant sur la manipulation et la tromperie des individus pour obtenir des informations sensibles ou accéder à des systèmes informatiques.

Quelques exemples

Tout d’abord, avec la montée de l’IA, les pirates informatiques sont capables de déployer des attaques beaucoup plus ciblées et complexes à détecter. Ci-dessous en images, des exemples de pièces jointes et emails frauduleux.

Par ailleurs, selon une étude de l’anti virus Kaspersky, le nombre d’attaques de phishing utilisant des codes QR (quishing) a augmenté de 2,5 fois entre 2019 et 2021. Cette popularité croissante permet aux cybercriminels d’exploiter cette tendance pour mener des attaques de phishing dans divers domaines tels que le commerce de détail, la restauration, les transports en commun et la publicité. Plus de 60 % des codes QR malveillants identifiés redirigent les utilisateurs vers des sites de phishing conçus pour voler des informations personnelles, telles que des identifiants de connexion ou des données de carte de crédit.

Comment détecter une attaque par quishing ?

Le phishing a plusieurs dérivés, l’un des plus récents est le phishing par codes QR ou quishing. Toutes ces variations ont le même objectif : voler les données de vos collaborateurs. Pour éviter de se faire piéger, plusieurs points sont à surveiller dans l’entête, le corps et la signature du mail reçu.

• Objet du mail : Souvent il s’agit de demandes de renseignements personnels (ID de connexion) ou financiers (coordonnées bancaires) provoquant une pression urgente pour agir rapidement.
• Corps du mail : Vérifiez l’orthographe et la grammaire, elles ont tendance à être incorrectes et composées par des alarmistes et menaçantes.
  • URL suspecte, demandes de téléchargement de pièces jointes, présence de Codes QR (quishing)
• Expéditeur : Très souvent, l’identité de l’expéditeur paraît suspecte. Par exemple, avec une faute au nom de domaine : « paypal-security-check.com » (pour simuler un site de sécurité PayPal) ou encore « microsoft-support.com » (pour simuler un site de support Microsoft).
• Signature du mail : Parfois les signatures ne sont pas les mêmes que celles de l’expéditeur. Par exemple, votre expéditeur peut être nommé « HENRY » mais le mail sera quand même signé « CLAIRE ». C’est pourquoi il faut prendre le temps d’examiner tous les détails de l’email reçu.

Ci-dessous, un exemple de pièces jointes contenant un code QR malveillant.

Quelles sont les différentes techniques de phishing par Codes QR ?

En effet, le quishing se répand de plus en plus sous diverses formes. Il va d’une redirection vers un site de phishing jusqu’à la falsification d’informations de localisation (fausses adresses). Voici une liste qui regroupe les différentes techniques de quishing en 2024.

• Étiquettes de prix : Lorsque les clients scannent ces codes frauduleux, ils sont redirigés vers des sites web malveillants conçus pour voler leurs informations personnelles ou financières.
• Affiches publicitaires : Placées dans des endroits publics (métro, bus…), si un utilisateur scanne ces codes, il est redirigé vers des pages de phishing qui tentent de lui voler ses données.
• Restaurants ou cafés : C’est du quishing sur les menus ou les tables des restaurants. Les clients qui les scannent peuvent être dirigés vers de faux sites web de paiement où leurs informations de carte de crédit sont hackées.
• Abribus et autres : Fausses informations d’adresses ou d’horaires, pour rediriger les utilisateurs vers des fausses adresses ou en leur faisant croire qu’ils accèdent à des services ou des promotions dans des lieux, moments spécifiques.

Entre autres, ces attaques se traduisent très souvent par la redirection de la cible vers des sites de phishing ou malware, par l’installation de logiciels malveillants et surtout par la collecte de données confidentielles.

Quelles sont les conséquences du quishing en entreprise ?

Prenons l’exemple de l’attaque récente contre une entreprise pétrolière américiane où des chercheurs en cybersécurité ont identifié une attaque d’envergure utilisant des Codes QR hackés. Des milliers d’emails ont été envoyés dans le cadre de cette attaque. Les cybercriminels ont utilisé ces emails frauduleux pour demander aux collaborateurs d’effectuer une vérification de sécurité liée à leur compte Microsoft 365. Malgré les fonctions de détection natives de Microsoft, ces emails malveillants ont réussi à contourner les mesures de sécurité. En scannant le Code QR, les victimes étaient redirigées vers une fausse page de connexion, permettant ainsi aux cybercriminels de voler leurs identifiants et mots de passe.

Par conséquent, cette attaque a engagé des procédures pénales ainsi qu’un lourd impact direct sur la sécurité des données des collaborateurs ainsi que sur la situation financière de l’entreprise. D’autre part, sa réputation a également été remise en question par ses partenaires et actionnaires (coûts indirects).

Comment protéger votre entreprise contre ces menaces ?

En effet, la détection et la prévention des attaques de phishing basées sur les Codes QR exigent une vigilance constante. Les utilisateurs sont souvent le maillon faible de la sécurité SI. En ce qui concerne le QRishing en particulier, il est nécessaire de dispenser une formation spécifique pour dissuader les utilisateurs de scanner des codes provenant de sources inconnues ou de cliquer sur des liens sans vérifier leur légitimité au préalable.

• Examen attentif : Avant de scanner un Code QR, assurez-vous qu’il provient d’une source fiable. Méfiez-vous des codes inattendus et ne les scannez pas à moins d’être sûr de leur légitimité.
• Éducation et sensibilisation : Formez vos collaborateurs à reconnaître les Codes QR suspects et à être sceptique envers les demandes de paiement ou les redirections vers des sites web non familiers
• Filtrage intelligent : Ces solutions utilisent des algorithmes avancés pour analyser les e-mails à la recherche de contenus malveillants, de pièces jointes suspectes ou de schémas d’attaque.
• Protection contre le phishing et les malwares : Utilisez des solutions conçues pour repérer les tentatives de phishing en examinant le contenu et les liens des e-mails.

L’avenir du quishing

Les attaques de phishing évoluent constamment, passant des emails traditionnels aux Codes QR et à d’autres vecteurs. Les entreprises doivent s’adapter en renforçant leur sensibilisation au phishing, en formant leur personnel et en mettant en place des mesures de sécurité robustes pour faire face à ces menaces. Cela inclut l’utilisation de solutions de sécurité avancées comme Mailsafe d’Altospam (anti-phishing, anti-spearphishing, anti-malware et anti-ransomware) et la révision régulière des politiques de sécurité pour rester un cran en avance sur les cybercriminels.