Les pirates exploitent les QR codes contenus dans les pièces jointes des courriels au format PDF pour s'emparer des informations d'identification de l'entreprise à partir d'appareils mobiles.

Les chercheurs de Sophos X-Ops offrent des conseils pour s’en protéger

PARIS, FR — 十一月 19, 2024 —

Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques,publie les résultats d’une recherche de Sophos X-Ops sur un nouveau type de menace: le «quishing». Ce vecteur d'attaque implique l'utilisation de QR codes frauduleux, envoyés par courriel par les cyberattaquants, afin de contourner les mesures de sécurité contre le phishing mises en place par les entreprises.

Ces QR codes frauduleux, généralement intégrés à un document PDF en pièce jointe d’un e-mail, prennent souvent la forme d’un message interne qu’une entreprise peut envoyer à ses collaborateurs, par exemple à propos des salaires, des avantages sociaux ou encore d'autres documents officiels. Les QR codes n'étant pas lisibles par les ordinateurs, un employé doit scanner le code à l'aide de son téléphone portable. Le QR code renvoie alors à une page de phishing, que l'employé peut ne pas identifier comme malveillante, car les téléphones sont généralement moins protégés qu'un ordinateur. L'objectif des attaquants est de s'emparer des mots de passe des employés et de leurs tokens d'authentification multi-facteurs (MFA) afin d'accéder au système de l'entreprise en contournant les mesures de sécurité en place.

«Nous avons consacré un temps considérable à passer au crible l’ensemble des échantillons de spams dont nous disposions afin de trouver des exemples de quishing,» commente Andrew Brandt, Principal Researcher chez Sophos X-Ops. «Nos recherches ont dévoilé que les attaques qui exploitent ce vecteur de menace spécifique s’intensifient, à la fois en termes de volume et de sophistication, notamment en ce qui concerne l’apparence du document PDF.»

Outre les tactiques d’ingénierie sociale, qualité des e-mails, des pièces jointes et du graphisme des QR codes, ces attaques semblent se développer également en termes d’organisation. En effet, certains acteurs malveillants proposent désormais des outils as-a-Service pour mener des campagnes de phishing à l’aide de QR codes frauduleux. En plus de fonctionnalités telles que les contournements de CAPTCHA ou la génération de proxys d’adresse IP permettant de contourner la détection automatisée des menaces, ces organisations criminelles mettent à disposition une plateforme de phishing sophistiquée qui permet de capturer les identifiants ou les tokens MFA des personnes ciblées.

Pour inciter les entreprises à mieux protéger les systèmes contre ce type d’attaque, Sophos X-Ops partage la liste de recommandations suivantes :

  • Faire preuve de vigilance concernant les e-mails internes portant sur des sujets RH, les salaires ou les prestations de l’entreprise: les recherches de Sophos X-Ops ont révélé que les ruses d’ingénierie sociale exploitaient ces thématiques pour inciter les employés à scanner les QR codes frauduleux depuis leur mobile.
  • Installer Sophos Intercept X for Mobile: disponible sur Android, iOS et Chrome OS, cette solution intègre un scanner de QR code sécurisé qui permet de bloquer les menaces connues et d’alerter si l’adresse URL est considérée comme malveillante.
  • Surveiller les connexions comportant des risques: à l’aide d’outils de gestion des identités, les entreprises peuvent détecter les activités de connexion inhabituelles.
  • Mettre en place des accès conditionnels: cette fonctionnalité permet de renforcer les contrôles d’accès en s’appuyant sur l’emplacement où se trouve l’utilisateur, le statut de l’appareil utilisé et le degré de risque.
  • Permettre un suivi des accès efficace grâce à des logs sophistiqués:ce type de monitoring avancé permet de mieux visualiser l’ensemble des accès au système et de détecter à temps ce type de menace.
  • Mettre en œuvre un système de filtrage d’e-mail avancé:la solution de Sophos de protection contre le phishing à l’aide d’un QR code permet de détecter les QR codes frauduleux inclus directement dans les e-mails et envisage de développer sa solution pour l’étendre aux QR codes contenus dans les pièces jointes dès le premier trimestre 2025.
  • Exploiter la récupération d’emails à la demande:les clients Sophos Central Email qui utilisent Microsoft365 disposent de cette fonctionnalité pour éliminer les spams ou les e-mails de phishing sur les messageries de l’entreprise.
  • Encourager les collaborateurs à la vigilance et à signaler les incidents:un signalement rapide des anomalies à l’équipe chargée de la réponse aux incidents est essentiel pour protéger les systèmes de l’entreprise contre le phishing.
  • Révoquer les sessions utilisateurs suspectes:il est impératif de disposer d’un plan permettant de révoquer des accès utilisateurs qui montrent des signes de compromission.

Malgré le développement continu de nouveaux vecteurs d’attaques, les entreprises peuvent se protéger contre la compromission de leurs systèmes en se dotant d’outils adaptés, en favorisant la mise en place d’une culture et d’un environnement de travail et en s’entourant d’éditeurs de cybersécurité tels que Sophos.

关于 Sophos

Sophos 是全球领先的网络安全公司,凭借其人工智能驱动的平台和专家主导的服务,保护着全球 60 万家组织的安全。Sophos 根据各组织在不同安全成熟度的各式各样的需求提供支持,并与其共同成长,携手应对日益严峻的网络攻击。其解决方案结合机器学习、自动化、实时威胁情报以及来自 Sophos X-Ops 的前线真人专家的专业知识,提供 24/7 全天候高级威胁监控、侦测与响应服务。
Sophos 提供行业领先的托管式侦测与响应 (MDR) 服务,同时配备一整套全面的网络安全技术组合,包括端点、网络、电子邮件和云安全、扩展式侦测与响应 (XDR)、身份辨识威胁侦测与响应 (ITDR),以及下一代 SIEM。结合专家咨询服务,这些能力帮助组织主动降低风险,并更迅速地响应,提供力求在不断变化的威胁面前保持领先所需的可见性和可扩展性。
Sophos 通过全球合作伙伴生态系统进入市场,包括托管式服务提供商 (MSPs)、托管式安全服务提供商 (MSSPs)、经销商、分销商、市场集成商以及网络风险合作伙伴,为组织提供灵活的选择,使其能够在保护业务安全的同时建立值得信赖的合作关系。  Sophos 总部位于英国牛津。如欲了解更多信息,请访问 www.sophos.cn。