Semaine 31: nouvelle méthode d'hameçonnage fondée sur l'envoi de factures à code QR

09.08.2022 - Le nombre de signalements transmis au Centre national pour la cybersécurité (NCSC) reste stable. Ils ont notamment porté sur deux nouvelles méthodes d'hameçonnage. La première est basée sur un lien prétendant mener à un service de partage de fichiers en ligne, dans lequel la victime est invitée à saisir le mot de passe donnant accès à sa boîte de courrier électronique. La seconde méthode consiste en l'envoi d'un courriel contenant une facture à code QR qui semble provenir de Sunrise.

Hameçonnage du compte webmail au moyen d'un faux service de partage de fichiers en ligne

Comme les signalements transmis récemment au NCSC en témoignent, les cybercriminels utilisent les courriels d'hameçonnage pour obtenir les données de connexion des victimes. Ils ciblent en particulier les données d'accès des entreprises. Afin de mettre la main sur ces informations, ils envoient un courriel avec un lien menant à un document qui doit être validé. Dans le cas présenté ci-après, le document en question est le plan des vacances. L'en-tête et le pied de page font croire que ce document provient du service du personnel de l'entreprise ciblée.

Courriel d'hameçonnage avec le lien menant au document à valider
Courriel d'hameçonnage avec le lien menant au document à valider

Le lien apparaissant dans le courriel ne mène pas à un document, mais renvoie à un site d'hameçonnage qui se présente comme un service de transfert de fichiers en ligne. L'application cherche à récupérer automatiquement le logo de l'entreprise qui se trouve sur le site Internet de cette dernière sous la forme d'une icône informatique (favicon) et à l'insérer sur la page d'hameçonnage pour inspirer confiance aux utilisateurs. En soi, la page est très simple: elle contient uniquement une image de fond et un lien vers le document PDF qui doit être validé. 

Site web du faux service de transfert de fichiers L'icône du fichier PDF est le seul élément sur lequel il est possible de cliquer. Le logo de l'entreprise ciblée est affiché en haut à gauche de la fausse page, pour autant qu'il soit disponible au format favicon.ico sur la page d'accueil authentique de l'entreprise.
Site web du faux service de transfert de fichiers L'icône du fichier PDF est le seul élément sur lequel il est possible de cliquer. Le logo de l'entreprise ciblée est affiché en haut à gauche de la fausse page, pour autant qu'il soit disponible au format favicon.ico sur la page d'accueil authentique de l'entreprise.

L'hameçonnage se produit lorsque la victime essaie d'ouvrir le fichier PDF. À ce moment-là, une nouvelle fenêtre s'affiche et comporte l'adresse électronique de l'utilisateur. Celui-ci n'a plus qu'à saisir son mot de passe.

Fenêtre pop-up contenant la tentative d'hameçonnage
Fenêtre pop-up contenant la tentative d'hameçonnage

L'examen approfondi de la page a permis de découvrir que le tout est transmis par un message d'erreur, la page elle-même affichant le message «status code 404 – site not found». On suppose que ce message d'erreur permet de contourner les programmes qui détectent automatiquement les tentatives d'hameçonnage et bloquent les sites en question.

  • Ne cliquez sur aucun lien dans les courriels dont vous ne pouvez pas identifier la provenance avec certitude.
  • Ne saisissez pas de données de connexion sur une page que vous avez ouverte au moyen d'un lien reçu par courriel.
  • Signalez les tentatives d'hameçonnage au NCSC en remplissant le formulaire prévu à cet effet.
    Formulaire d'annonce NCSC

Facture de Sunrise avec code QR

L'utilisation généralisée des codes QR facilite non seulement le paiement des factures et les transactions à partir d'un téléphone portable, mais sont aussi une aubaine pour les cybercriminels. Les tentatives d'hameçonnage signalées au NCSC le montrent: le courriel d'hameçonnage est sophistiqué et difficilement identifiable comme tel au premier coup d'œil. En l'examinant de plus près, on constate toutefois que les cybercriminels ont utilisé l'ancien logo de Sunrise et s'adressent à la victime en citant son adresse électronique au lieu de son nom. Les sélections habituelles «Payer maintenant» et «Voir la facture» apparaissent comme des boutons sur lesquels il est possible de cliquer.

Page d'hameçonnage avec code QR menant à une fausse facture
Page d'hameçonnage avec code QR menant à une fausse facture

Un code QR qui mène à la page d'hameçonnage est représenté au moyen du réducteur de liens (URL shortener) «qrco.de/xxx». Le site Internet «qrco.de» permet de créer des codes QR, chaque code devant toutefois être généré manuellement. Par conséquent, les cybercriminels doivent créer un nouveau code pour chaque lien, ce qui représente une quantité de travail importante pour toute page d'hameçonnage produite. Il est intéressant de constater que le lien du code QR est différent de celui qui se cache derrière le bouton «Payer maintenant» (alors que les deux renvoient à la même page d'hameçonnage). Ceci peut s'expliquer par le fait que les cybercriminels sont encore en train de tester l'efficacité des codes QR et de compter le nombre d'hameçonnages réussis grâce à cette méthode.

  • Utilisez une application fiable et sécurisée lorsque vous scannez des codes QR.
  • Une fois le code scanné, la plupart des applications affichent l'action qui sera exécutée ou la page vers laquelle le code renvoie. Vérifiez ces informations.
  • Ne saisissez jamais de données d'authentification sur un site Internet auquel vous avez accédé au moyen d'un code QR.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 09.08.2022

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2022/wochenrueckblick_31.html