Les QR codes, ou codes de réponse rapide, se sont rapidement répandus et sont devenus une facette de la vie quotidienne depuis leur introduction en 1994 - à l'origine pour l'étiquetage des pièces dans l'industrie automobile japonaise.

Les QR codes sont désormais utilisés pour valider les billets de concert, accéder aux systèmes de commande en ligne des restaurants et pour toute une série d'autres applications astucieuses qui facilitent la vie quotidienne. Cependant, à mesure que l'utilisation des QR codes s'est répandue, les cybercriminels se sont mis à les utiliser à mauvais escient.

Outre sa popularité, la caractéristique la plus attrayante des QR codes pour les criminels est qu'avant de scanner un code, il n'est pas possible de savoir quelles données il contient. Par conséquent, si un QR code renvoie à un site web, les utilisateurs ne peuvent savoir à quel site ils seront renvoyés qu'après avoir scanné le code.

Le phishing par QR code est parfois connu sous le nom de "quishing".

Si les escroqueries par QR code peuvent se produire et se produisent effectivement à peu près partout où un QR code peut être présent, un vecteur d'attaque de plus en plus important est constitué par les codes intégrés dans les emails d'entreprise. De nombreux systèmes de messagerie professionnelle s'appuient sur l'analyse du contenu des emails entrants, y compris les URL, pour détecter et bloquer les pièces jointes et les liens malveillants. En incluant un QR code au lieu d'un lien direct, les criminels peuvent contourner entièrement ces filtres et glisser un lien malveillant dans la boîte mail d'un utilisateur par le biais d'un mail qui semble tout à fait inoffensif aux yeux des systèmes de détection des menaces.

En plus de contourner les filtres de messagerie, les escroqueries basées sur les QR codes offrent aux criminels l'avantage supplémentaire de déplacer leurs cibles de leurs ordinateurs portables, qui sont plus susceptibles d'être équipés d'un logiciel de protection des points finaux de l'entreprise, vers des appareils mobiles, qui se trouvent souvent en dehors des systèmes de sécurité informatique de l'entreprise et laissent moins d'espace aux utilisateurs pour repérer les incohérences dans les URL ou les pages de destination.

Nous avons créé vingt modèles de certaines des escroqueries par QR code les plus courantes. Ces modèles vous aideront à éduquer et à former vos utilisateurs sur les formes les plus probables de phishing par QR code qu'ils sont susceptibles de rencontrer. Vous trouverez ci-dessous un exemple de l'un des modèles les plus populaires - mais vous pouvez trouver la liste complète en recherchant "QR" dans la bibliothèque d'emails uPhish.

Configuration MFA Microsoft/Google

De nombreuses escroqueries au QR code tournent autour de la mise en place de l'authentification multifactorielle, car c'est quelque chose que les utilisateurs ont l'habitude de mettre en place avec les QR codes.

Et 19 autres modèles vous attendent...

Dans le créateur, vous pouvez simplement glisser-déposer une tuile de QR code dans votre e-mail ou votre modèle. Le QR code sera automatiquement lié au domaine choisi pour la simulation dans laquelle il est utilisé.

Créez une simulation de QR code avec uPhish.

Notre module de formation uLearn "Se protéger des attaques par QR code" est parfait pour sensibiliser vos utilisateurs finaux aux risques et aux signes d'attaques par phishing. Vous pouvez également utiliser le module comme "formation en ligne" pour votre simulation afin de doubler la formation pour les utilisateurs compromis.

Envoyez le module de formation QR à vos utilisateurs dès maintenant.

Vous pouvez envoyer à vos utilisateurs un email de phishing équipé d'un QR code, soit à partir d'un modèle de usecure prédéfini, soit en créant un nouveau email à partir de zéro.

​Découvrez les étapes complètes avec des captures d'écran ici.
​