Une campagne de phishing par QR Code a été découverte et signalée à de nombreuses entreprises par les sociétés de cybersécurité Sekoia et Vade. Sekoia a notamment publié un rapport en octobre à destination des potentielles cibles. Dans celui-ci, elle détaille le mode opératoire des cybercriminels.
Les trois campagnes d’hameçonnage par QR Code ciblent les messageries professionnelles liées à la suite Microsoft Office 365 et seraient toujours en cours.
Les malfaiteurs s’appuient sur une célèbre plateforme de kit de phishing baptisé « Dadsec ». Elle permet de fabriquer un faux site — en l’occurrence une copie de Microsoft 365 — avec le QR code associé. Il est possible d’ajouter le logo de l’entreprise ciblée pour ajouter pour donner plus de légitimité au mail. L’objet des messages peut être une prétendue transaction financière ou un rapport comptable. Le site frauduleux sera généralement en anglais, car les pirates n’ont pas pris la peine de traduire.
La double authentification contournée par les hackers
« Le principal intérêt d’un QR code est qu’il permet de contourner les authentifications à multifacteurs », indiquent les analystes de Sekoia. Concrètement, le site malveillant va s’interposer entre l’utilisateur et le service Microsoft. Lorsque l’internaute cherchera à s’identifier pour consulter le document, Microsoft enverra une requête, matérialisée par un jeton de connexion, pour s’authentifier.
La plateforme frauduleuse fait office de relais entre la cible et Microsoft, et va permettre au cybercriminel de récupérer ce jeton, qui ira se connecter sur le compte de la cible. Les identifiants seront dérobés à l’insu de la victime.
Pour les analystes de Sekoia, la campagne cible d’abord des entreprises du secteur de la finance. L’objectif serait de la fraude, des ventes d’identifiants, de documents ou de l’escroquerie pour s’enrichir.
« Les entreprises sont de plus en plus armées pour bloquer le phishing ordinaire. Les cybercriminels passent désormais par de nouveau procédés pour contourner les méthodes d’authentifications à multifacteurs. On rencontre des plateformes de kit de phishing aujourd’hui très populaires qui fournissent tous les pièges en mains aux cybercriminels » expliquent les experts en cyber à Numerama.
Les recommandations restent les mêmes : vérifiez l’URL du site que vous consultez, ne cliquez pas en cas de doute et prenez le temps de contacter votre collègue si son message sort de l’ordinaire.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
