Les codes QR sont utilisés depuis longtemps pour le hameçonnage, mais les pirates informatiques emploient désormais des méthodes plus sophistiquées.
Selon un nouveau rapport de la plateforme de sécurité INKY Technology, les attaquants utilisent des codes QR qui exécutent immédiatement du JavaScript après le scan, sans que les utilisateurs n’aient à entreprendre d’action.
Canal d’attaque invisible
Cette nouvelle forme de quishing (hameçonnage par code QR) est radicalement différente des codes QR précédents qui dirigeaient les victimes vers des sites web non sécurisés. Les attaquants incorporent désormais directement du HTML et du JavaScript dans le code QR via des URL de données. Lorsqu’une personne scanne le code et l’ouvre dans un navigateur, le code est immédiatement exécuté localement.
Cela peut même se produire hors ligne si le code est conçu à cet effet. Les pirates peuvent utiliser ce code pour imiter des pages de connexion, enregistrer les frappes de l’utilisateur et obtenir des informations sensibles. Tout cela en contournant les systèmes de sécurité traditionnels. Aucune URL n’est visitée, ce qui fait que la plupart des fonctions de sécurité ne détectent pas l’exécution du code.
INKY cite en exemple qu’une version HTML5 du jeu vidéo DOOM peut être entièrement chargée via un code QR. Cela démontre comment une compression avancée permet l’exécution de fichiers malveillants extrêmement volumineux via des codes QR.
Soyez vigilant
INKY prévient que ces techniques seront probablement déployées plus largement. L’entreprise recommande de désactiver l’ouverture automatique dans les navigateurs lors du scan de codes QR, de former les employés à éviter les codes QR dans des contextes suspects et de signaler immédiatement les e-mails suspects au département informatique.
lire aussi