Un QR code malveillant peut diriger vers un faux site web. Il peut également saisir des données personnelles ou installer un logiciel malveillant sur le smartphone, pouvant déclencher différents types d’actions :
Ajouter une liste de contacts : les pirates peuvent ajouter une nouvelle liste de contacts sur le téléphone de l'utilisateur et s’en servir pour lancer un hameçonnage.
Lancer un appel téléphonique : en lançant un appel vers un service payant, ce type d'exploit peut exposer le numéro de téléphone.
Envoyer un SMS à quelqu'un : en plus d'envoyer un sms à un destinataire malveillant, les contacts d'un utilisateur peuvent également recevoir ce message et être attaqués.
Ecrire un e-mail : comme pour un sms, un pirate informatique peut rédiger un courriel et en remplir le destinataire et l'objet. Les pirates peuvent cibler le courrier électronique professionnel de l'utilisateur si l'appareil ne dispose pas d'une protection contre les menaces mobiles.
Effectuer un paiement : si le code QR est malveillant, il pourrait permettre aux pirates d'envoyer automatiquement un paiement et de saisir les données financières personnelles de l'utilisateur.
Révéler la localisation de l'utilisateur : les logiciels malveillants peuvent suivre en silence la géolocalisation de l'utilisateur et envoyer ces données à une application ou un site web.
Suivre des comptes réseaux sociaux : les comptes de réseaux sociaux de l'utilisateur peuvent être piratés afin de suivre un compte malveillant. Seraient alors exposés les informations personnelles et les contacts de l'utilisateur.
Ajouter un réseau Wi-Fi préféré : un réseau wifi piraté peut être ajouté à la liste des réseaux préférés de l'appareil et inclure un justificatif d'identité qui connecte automatiquement l'appareil à ce réseau.
Les actions simples pour minimiser les risques
Sensibiliser les utilisateurs aux risques des QR codes est un premier pas, mais les entreprises doivent également renforcer leur sécurité mobile pour se protéger contre les menaces telles que le phishing et la prise de contrôle d'appareils.
A leur niveau, les salariés peuvent :
Bien regarder le QR code et s’assurer qu’il est légitime, en particulier les codes imprimés. Ils peuvent être collés avec un code différent (et potentiellement malveillant).
Ne scanner que les codes provenant d'entités de confiance. Les utilisateurs doivent s'en tenir à scanner les codes qui proviennent uniquement d'expéditeurs de confiance. Il faut être attentif aux signaux d'alerte, comme une adresse web différente de l'URL de l'entreprise - il y a de fortes chances qu'elle renvoie à un site malveillant.
Faire attention aux liens de type « bit.ly » en vérifiant que l'URL d'un lien bit.ly apparaisse bien après avoir scanné un QR code. Ces liens sont souvent utilisés pour dissimuler des URL malveillantes, mais il est possible d'en avoir un aperçu en toute sécurité en ajoutant un symbole plus à la fin de l'URL.
Ce que les entreprises peuvent faire :
Les entreprises doivent utiliser une solution de défense contre les menaces mobiles pour protéger leurs salariés contre les attaques de phishing, les attaques de « man-in-the-middle » et les téléchargements d'applications malveillantes. Chaque service informatique doit s’assurer que la solution est déployée sur chaque appareil qui accède aux applications et aux données de l'entreprise. En outre, l’entreprise doit former et informer ses collaborateurs sur ce qui les protège (et ce qui ne les protège pas).
Comments