BeMSP sur IT PARTNERS en version augmentée – Stand P44

Menaces de phishing par QR code : comment éduquer les utilisateurs ?

30 janvier 2024 | usecure

Vous savez que le maillon faible chez vos clients peut être un malencontreux clic sur un lien dans un email. Mais scanner un QR code (!?) peut aussi constituer une menace pour les systèmes informatiques de vos clients.

La formation des clients finaux sur les risques numériques devrait être une des briques clés de votre offre de services en tant que prestataire informatique. Vous n’êtes pas derrière chaque clic de souris d’un utilisateur, alors pour éviter une brèche de données… Il n’y a que la prévention, la sensibilisation et la formation des utilisateurs qui sont une stratégie pertinente. Une démarche proactive comme dans toute votre approche cybersécurité en tant que MSP !

Vous voulez en savoir plus sur les dangers du phishing par QR code ? On vous éclaire sur ce sujet dans cet article. On vous présentera aussi une nouvelle fonctionnalité qui va être un Game Changer pour éduquer les utilisateurs avec le moindre effort.

Qu’est-ce que le phishing par QR code ?

Le phishing par QR code, qu’on appelle également « quishing », est une forme relativement récente de cybercriminalité. À des fins malveillantes, le quishing exploite l’omniprésence des QR Codes dans notre environnement et leur facilité d’utilisation. Ces attaques reposent sur la création de QR codes malveillants par des cybercriminels, qui semblent légitimes. Cela conduit en réalité les utilisateurs vers des sites de phishing ou les amène à télécharger des logiciels malveillants sur leurs appareils. Ces QR codes peuvent être se trouver sur divers supports, comme des affiches, des dépliants ou même des sites web.

Pourquoi les cybercriminels utilisent-ils les QR codes dans les attaques de phishing ?

L’objectif des attaques de phishing par QR code est d’inciter les utilisateurs à divulguer des informations sensibles. Les cybercriminels cherchent à obtenir des données telles que leurs identifiants de connexion, leur carte de crédit ou leurs informations personnelles. Une fois ces informations obtenues, ils peuvent les exploiter à des fins d’usurpation d’identité, de fraude financière ou d’autres activités malveillantes.

Il est crucial que vos clients et utilisateurs soient conscients de cette menace croissante du phishing par QR code, devenue de plus en plus répandue ces dernières années. Avec la prolifération des appareils mobiles et l’utilisation généralisée des QR codes dans différents contextes pro ou perso, les cybercriminels ont développé de nouvelles méthodes pour exploiter cette technologie à des fins malveillantes.

Exemple d’une attaque de phishing par QR code

Voici un exemple d’e-mail dans lequel un pirate conseille d’urgence à une victime de scanner un QR code pour conserver l’accès à son compte. Soit disant, s’il ne le fait pas, le mot de passe du compte de messagerie professionnelle va expirer incessamment sous peu.

Après avoir scanné le code, l’utilisateur est redirigé vers une fausse page de connexion qui se fait passer pour une page de connexion Microsoft. Sur cette page trompeuse, la victime est incitée à fournir les informations d’identification de son compte, créant ainsi une opportunité pour les cybercriminels de récupérer ces données sensibles.

Exemple d’une attaque de phishing par QR code QR, usurpant l’identité d’un email Microsoft

L’essor du phishing par QR code

Avec la généralisation de l’utilisation des QR codes dans divers secteurs, notamment pour les transactions sans contact, on observe une augmentation significative des tentatives de phishing de ce type.

Selon des rapports récents, le nombre d’attaques de phishing par QR code a considérablement augmenté, les cybercriminels adaptant constamment leurs techniques pour rendre leurs QR codes malveillants plus convaincants. Ces attaques peuvent cibler aussi bien les particuliers que les entreprises, représentant ainsi une menace significative pour la sécurité des informations personnelles et sensibles.

Les attaques de phishing par QR codes ont doublé !

D’après une récente étude réalisée par ReliaQuest, en septembre 2023, l’entreprise a enregistré une augmentation de 51 % des attaques de quishing par rapport aux chiffres cumulés de janvier à août 2023.

Parmi les conclusions marquantes de l’étude, on relève notamment :

  • Plus de 50 % des e-mails de phishing par QR code dans l’ensemble de données analysé impliquaient le scénario de quishing le plus répandu : la réinitialisation ou l’activation de Microsoft 2FA. Dans ces attaques, les victimes étaient incitées à fournir leur adresse électronique et leur mot de passe Microsoft.
  • Les pages de banque en ligne représentaient 18 % de toutes les attaques par QR codes, se positionnant ainsi comme la deuxième méthode la plus utilisée par les cybercriminels. Les victimes étaient incitées à divulguer leurs coordonnées bancaires sur ces fausses pages.

Alors que le phishing par code QR continue de gagner en sophistication, il est impératif que vos clients prennent conscience des risques associés. À vous de mettre en place des mesures proactives pour assurer leur protection !

Les techniques courantes de phishing par QR codes

Les cybercriminels utilisent plusieurs techniques pour élaborer leurs attaques de phishing par QR codes. Voici quelques-unes des méthodes les plus courantes :

  • Création de faux sites web : Les cybercriminels mettent en place des sites web factices qui imitent de manière trompeuse des sites légitimes, incitant ainsi les utilisateurs à divulguer leurs informations sensibles.
  • Malwares : Les QR codes peuvent servir à propager des logiciels malveillants sur l’appareil de l’utilisateur, permettant aux cybercriminels d’obtenir un accès non autorisé ou un contrôle sur l’appareil.
  • Ingénierie sociale : Les cybercriminels peuvent recourir à des techniques d’ingénierie sociale pour manipuler les utilisateurs, les incitant à scanner des QR codes malveillants en proposant souvent des récompenses ou des réductions attrayantes.
  • Redirection d’URL : Les QR codes peuvent être élaborés pour rediriger les utilisateurs vers des sites de phishing ou des contenus malveillants, où ils sont invités à fournir leurs informations.

En ayant connaissance de ce type de méthodes, vous pouvez sensibiliser davantage vos clients aux risques liés au phishing par QR codes, en les aidant à identifier et à éviter les menaces potentielles.

Éduquer les utilisateurs pour prévenir les brèches de données

Pour fournir aux utilisateurs finaux les compétences et la vigilance nécessaires pour contrer les brèches de données, de nombreux MSP s’appuyent sur la plateforme usecure.

Cette plateforme innovante se distingue par son approche proactive en matière de sécurité, avec des fonctionnalités sophistiquées conçues pour éduquer et sensibiliser les utilisateurs aux menaces potentielles. usecure comprend des modules de formation interactifs, des simulations de phishing réalistes et des rapports détaillés, pour une expérience d’apprentissage immersive.

Dans l’arsenal des MSP, c’est un outil essentiel pour renforcer votre posture d’expert en cybersécurité des entreprises.

usecure vient de dévoiler sa dernière fonctionnalité qui permet aux clients et aux partenaires d’évaluer la vulnérabilité des employés face à la menace croissante du phishing par QR code.

Avec la nouvelle fonction de phishing par QR code, disponible sur uPhish – vous pouvez facilement intégrer des QR codes dans vos simulations de phishing afin de voir les utilisateurs compromis.

Lancez facilement des simulations de phishing par QR Code et identifiez les utilisateurs à risque.

Utilisez la bibliothèque de modèles QR codes de usecure pour programmer et mettre en place rapidement des campagnes prêtes à l’emploi. Ou optez pour des simulations personnalisées en exploitant le générateur de modèles d’emails

Programmer des campagnes grâce aux modèles de phishing par code QR

En quelques étapes simples, l’outil de simulation de phishing de usecure uPhish, vous permet de déployer des campagnes de QR codes prêtes à l’emploi ou personnalisées qui indiquent dans quelle mesure vos utilisateurs sont sensibles à ce type d’attaques.

Il vous suffit de vous rendre dans la bibliothèque de modèles d’emails uPhish dans votre portail d’administration usecure, et de rechercher « QR » dans la boîte de recherche pour y jeter un coup d’oeil.

Modèles de phishing par code QR dans la bibliothèque de modèles uPhish

Créer des modèles personnalisés de phishing par QR code

Dans le créateur de modèles uPhish, vous êtes en mesure de créer des emails de phishing avec QR code personnalisés en quelques minutes grâce un système de drag and drop.

Créer une simulation de phishing par code QR dans uPhish

Voir les clics des utilisateurs et les taux de compromission

Lorsqu’un utilisateur scanne un QR code dans l’e-mail de phishing, il est dirigé vers votre page de renvoi présélectionnée, où vous pouvez suivre les visites des employés et les taux de compromission.

La sensibilisation à la cybersécurité ne fait pas encore partie de votre offre MSP ?

Réservez un créneau avec notre équipe pour découvrir comment usecure aide les MSP et les clients professionnels à réduire les risques humains grâce à l’automatisation de ses outils. Vous pouvez réserver un démo ou un essai gratuit de 14 jours pour lancer une simulation gratuite de phishing.

Articles sur le même sujet :