Un phishing dissimulé derrière un QR Code

Par:
fredericmazue

lun, 13/06/2016 - 15:05

Vade Retro, éditeur français spécialiste de la protection des boîtes de messagerie, vient de détecter au travers des 250 millions de boîtes emails que la société protège, un premier cas d’email de phishing utilisant un QR Code. L’approche est innovante car l’email se présente comme une image et ne présente donc aucun lien pouvant être détecté comme un potentiel phishing par un outil de détection classique. De plus, l’email a tout pour tromper la vigilance : il s’appuie tout d’abord sur l’usurpation de l’image d’un opérateur français très connu et propose surtout à son destinataire un remboursement consécutif à une facture payée.

Décryptage des étapes de l’attaque :

Les pirates innovent en permanence pour développer de nouvelles techniques et tromper la vigilance de leurs cibles, ça n’est pas nouveau… Au premier abord, cet email n’est qu’un email de phishing très bien présenté. Il en reprend tous les codes : l’usurpation d’une marque très connue de son expéditeur, un contenu adapté pour tromper la vigilance de son destinataire, etc.  

La nouveauté réside bien dans l’utilisation d’un QR Code pour dissimuler une page de phishing. En effet, l’email se présente sous la forme d’une image ne proposant pas de lien. L’email s’affranchit ainsi de beaucoup de barrières de protection censées alerter de l’existence de liens, potentiellement frauduleux.

Derrière ce QR Code, se trouve une page de phishing hébergée sur un site Wordpress non mis à jour qui a été hacké par le pirate pour y installer sa page falsifiée. Sur cette page, la victime est ainsi incitée à renseigner son identifiant et mot de passe légitime de compte chez l’opérateur usurpé.

Une fois exécutée, l’action renvoie systématiquement un message d’erreur. Toutefois, le hacker a lui, récupéré la combinaison mot de passe - identifiant.

Il peut ensuite aller dérober toutes les données personnelles de la victime en se loguant à son compte légitime chez l’opérateur. Le hacker peut tenter d’utiliser l’identifiant et le mot de passe de la victime sur d’autres sites puisqu’il est avéré que les mêmes identifiants sont généralement utilisés sur de nombreux comptes différents.

Le premier d’une nouvelle menace appelée à se répandre ? Sauf si la sensibilisation est rapide…

Cette nouvelle menace est donc bien réelle. D’autant plus qu’elle s’adapte parfaitement au monde du mobile qui est une cible prisée des cybercriminels, puisqu’elle ne bénéficie pas de toutes les protections mises en place dans le cadre professionnel… Sur le mobile, ce type d’attaque peut être utilisé pour dérober des identifiants et mots de passe mais aussi pour injecter des malwares ou encore faire télécharger des applications frauduleuses, de type bancaire par exemple.

Le phishing est déjà identifié sur la plateforme gratuite de détection des URL proposée par Vade Retro : www.isitphishing.org

En cas de doute sur une URL, Isitphishing.org, l’initiative gratuite de Vade Retro, recense toutes les URL frauduleuses détectées par Vade Retro et ses partenaires et permet aux utilisateurs, en un simple clic, de vérifier la légitimité d’un lien.

Georges Lotigier, PDG de Vade Retro conclut : « Nous le répétons mais l’email est la porte d’entrée préférée des pirates sur les réseaux. Rappelons que 91% des attaques informatiques utilisent la technique du phishing. Face à des défenses qui s’organisent, les cybercriminels innovent sans cesse pour trouver de nouvelles parades et franchir les barrières de protection. Ce cas est une vraie illustration de l’agilité des cybercriminels. L’attaque est très cohérente, essentiellement car l’absence de lien dans l’email est une parade à nombre d’outils de détection classiques. Notre but aujourd’hui est donc d’avertir le plus largement pour que les défenses s’organisent rapidement et que les utilisateurs redoublent de vigilance ».