Dans le panorama continuellement changeant des cybermenaces, une forme de phishing subtile, mais puissante, émerge désormais : le quishing, qui désigne le phishing par QR code. 30 années se sont écoulées depuis l'invention du QR code ; néanmoins, le quishing représente un risque considérable, notamment après l'ère de la COVID, pendant laquelle l'usage des QR codes s'est normalisé pour permettre le contrôle de statuts ou l'inscription à des événements, et même pour commander de la nourriture.
Depuis 2020, la solution Cloud Email Security de Cloudflare (anciennement appelée Area 1) évolue sur les premières lignes de la lutte contre les attaques par quishing et examine proactivement ces menaces afin de mieux protéger nos clients. Examinons maintenant les mécanismes à l'œuvre derrière le phishing par QR code, pourquoi ce vecteur est devenu un outil de prédilection des acteurs malveillants et comment Cloudflare contribue à la lutte contre cette menace changeante.
Comment fonctionne le quishing
Les effets du phishing et du quishing sont assez similaires : en effet, ces deux techniques d'attaque peuvent entraîner la compromission d'informations d'identification d'utilisateurs ou la compromission d'appareils, voire des pertes financières. Elles utilisent également toutes deux des pièces jointes malveillantes ou des sites web pour permettre à des acteurs malveillants d'accéder à des contenus auxquels ils ne pourraient accéder en temps normal. Cependant, elles diffèrent dans le fait que le quishing est généralement très ciblé et qu'il utilise un QR code pour échapper davantage à la détection.
Puisque les moteurs de détection de phishing nécessitent des informations telles que des URL ou des pièces jointes incluses dans un e-mail pour détecter une attaque, la technique du quishing parvient à perturber la détection de ces entrées. Dans l'exemple A ci-après, l'URL de l'attaque par phishing a été indexée ; après deux redirections, elle renvoie vers un site web malveillant qui exécute automatiquement un logiciel malveillant de journalisation de clés, afin de copier les identifiants de connexion et les mots de passe. Dans l'exemple A, l'attaque déclenche clairement les détections ; en revanche, l'exemple B n'offre aucun lien pouvant être indexé, et par conséquent, les détections qui ont fonctionné dans l'exemple A sont inopérantes.
C'est étrange, non ? Si mon téléphone peut lire ce QR code, un moteur de détection ne pourrait-il pas également le reconnaître ? En termes simples, non. En effet, les moteurs de détection de phishing sont optimisés pour intercepter les tentatives de phishing, mais l'identification et la lecture des QR codes nécessitent un moteur complètement différent, à savoir un moteur d'interprétation de données visuelles. Ceci nous amène à examiner les raisons pour lesquelles les QR codes sont un outil préféré des acteurs malveillants.
Pourquoi utiliser des QR codes pour exécuter des attaques par phishing ?
Il existe trois raisons principales pour lesquelles les QR codes sont un outil prisé lors des attaques par phishing. Tout d'abord, les QR codes disposent de puissantes capacités de correction des erreurs, qui leur permettent de résister au redimensionnement, aux changements de pixels, aux variations d'éclairage, au recadrage partiel, ainsi qu'à d'autres distorsions. En effet, les modèles d'interprétation de données visuelles peuvent lire les QR codes, mais il est assez difficile pour une machine d'identifier quelle partie d'un e-mail, d'une image ou d'une page web dont le lien figure dans un e-mail comporte un QR code ; cette tâche s'avère encore plus difficile si les QR codes ont été masqués, afin de les dissimuler aux modèles d'interprétation de données visuelles. Par exemple, si QR codes sont inversés, mélangés à d'autres couleurs ou images ou rendus extrêmement petits, les modèles de vision artificielle auront du mal à identifier leur présence, et auront encore plus de difficultés à les lire. S'il est effectivement possible d'appliquer des filtres et un traitement supplémentaire à n'importe quelle image, la désobfuscation d'un QR code est un problème informatique extrêmement coûteux, pour peu que l'on ne sache pas quel traitement appliquer, ni où l'appliquer. Dans cette situation, la détection de toutes les attaques par quishing est non seulement difficile, mais également susceptible de frustrer les utilisateurs finaux s'ils ne reçoivent pas rapidement leurs e-mails parce qu'une image ou un amas de texte ressemble à un QR code, entraînant par conséquent des retards d'acheminement.
Même si les modèles d'interprétation de données visuelles peuvent se heurter à des difficultés lors de la désobfuscation de QR codes, nous avons découvert par expérience que lorsqu'un humain rencontre un QR code dissimulé, avec suffisamment de temps et d'efforts, il parviendra généralement à le scanner. En effectuant différentes opérations (qu'il s'agisse d'augmenter la luminosité de l'écran, d'imprimer l'e-mail ou encore de redimensionner lui-même le QR code), un humain peut se débrouiller pour lire un QR code dissimulé à une machine.
Vous ne nous croyez pas ? Essayez par vous-même avec les QR codes suivants, qui ont été dissimulés afin d'être masqués pour les machines. Ils contiennent tous un lien renvoyant vers https://blog.cloudflare.com/.
(Image d'un mur de briques par rawpixel.com sur Freepik)
Si vous avez scanné l'un des exemples de QR code ci-dessus, vous venez de démontrer la deuxième raison pour laquelle les acteurs malveillants privilégient le quishing. Les appareils utilisés pour accéder aux QR codes sont généralement des appareils personnels, dotés de fonctionnalités de sécurité limitées, ce qui les rend vulnérables à l'exploitation. Si les appareils sécurisés des entreprises disposent généralement de mesures permettant d'avertir ou d'arrêter les utilisateurs, voire de les transférer vers un sandbox lorsqu'ils accèdent à des liens malveillants, ces protections ne sont pas nativement disponibles sur les appareils personnels. Ce constat peut être particulièrement inquiétant, car nous avons constaté une tendance à l'utilisation de QR codes personnalisés ciblant les cadres d'entreprises.
D'autres techniques de dissimulation (telles que les pièces jointes chiffrées, les répliques imitant des sites web connus, les validations invitant l'utilisateur à prouver qu'il est humain avant de révéler des contenus malveillants et bien d'autres encore) peuvent également être superposées avec facilité à des QR codes. Cette diversité fait des QR codes un choix intéressant pour les cybercriminels à la recherche d'approches innovantes pour tromper des utilisateurs peu méfiants, notamment en ajoutant des QR codes à des vecteurs de phishing autrefois efficaces, mais désormais bloqués par des produits de sécurité.
La stratégie de protection de Cloudflare
Cloudflare est en première ligne pour défendre les utilisateurs contre les attaques par quishing. Nous adoptons une approche multi-facettes et, au lieu de nous concentrer sur la superposition de règles archaïques de configuration des e-mails, nous avons formé nos modèles de détection par apprentissage automatique avec des données représentant près d'une décennie d'informations de détection. Nous disposons par ailleurs d'un grand nombre de modèles d'interprétation de données proactifs, qui assurent à tous nos clients de disposer d'une solution clé en main dès la mise en service.
La détection des attaques par quishing est divisée en deux parties : 1) identification et lecture des QR codes 2) analyse des QR codes décodés
Pour la première partie, nous employons nos propres méthodes heuristiques de détection de QR codes, qui précisent comment, à quel instant et à quel endroit nos modèles d'interprétation de données visuelles doivent s'exécuter. Nous utilisons ensuite les bibliothèques et outils les plus récents pour faciliter l'identification, le traitement et, plus important encore, le décodage des QR codes. Bien qu'il soit relativement facile pour un humain d'identifier un QR code, il n'y a presque aucune limite au nombre de manières dont il peut être dissimulé aux machines. Les exemples fournis ci-dessus ne sont qu'un petit échantillon des méthodes que nous avons observées « dans la nature », et les acteurs malveillants découvrent continuellement de nouvelles méthodes pour rendre difficiles la localisation et l'identification rapides des QR codes. Cela devient donc un jeu du chat et de la souris, qui nous oblige à régulièrement mettre à jour nos outils de détection des techniques de masquage les plus prisées.
La deuxième partie, l'analyse des QR codes décodés, repose sur le même traitement que celui que nous appliquons aux attaques par phishing, ainsi que sur d'autres opérations. Nous disposons de moteurs qui déconstruisent les URL complexes et approfondissent l'examen jusqu'à l'URL finale, d'une redirection à une autre, qu'elles soient automatiques ou non. Dans le cadre de l'analyse, nous recherchons les pièces jointes malveillantes et analysons les sites web malveillants et les conclusions dans les journaux, afin que ces informations puissent être utilisées aux fins de détections futures. Si nous découvrons des fichiers ou des contenus chiffrés ou protégés par mot de passe, nous utilisons un autre groupe de moteurs afin d'essayer de les déchiffrer et d'annuler leur protection, ce qui nous permet d'identifier la présence éventuelle de contenus malveillants dissimulés. Plus important encore, nous utilisons toutes ces informations pour continuellement mettre à jour nos bases de données avec ces nouvelles données (notamment les méthodes de dissimulation de QR codes), afin de mieux évaluer les attaques semblables reposant sur les méthodes que nous avons documentées.
Cependant, même avec une suite d'outils de détection du phishing bien formée, les contenus malveillants résident souvent à la fin d'une longue chaîne de redirections, qui empêche les robots d'indexation automatisée d'identifier quoi que ce soit, et encore moins les contenus malveillants. Entre les redirections, un blocage physique nécessitant une validation humaine peut être présent (un CAPTCHA, par exemple), rendant ainsi pratiquement impossible l'exploration par un processus d'indexation automatisé et, par conséquent, la classification du contenu. Un blocage conditionnel peut également être mis en œuvre, avec des exigences d'identification de la campagne ; aussi, si un utilisateur se trouve en dehors de la région de la cible initiale ou s'il utilise un navigateur web et un système d'exploitation dont la version ne correspond pas aux critères de la campagne, il est acheminé vers un site web légitime, tandis que la cible de l'attaque sera exposée à un contenu malveillant. Au fil des ans, nous avons développé des outils permettant d'identifier et de réussir ces validations, afin d'identifier les contenus malveillants susceptibles d'être mis en ligne.
Toutefois, même avec toutes les technologies que nous avons développées au fil des ans, il existe certaines situations dans lesquelles nous ne sommes pas en mesure d'accéder facilement aux contenus finaux. Dans ces cas, nos modèles d'apprentissage automatique dédiés à la réputation des liens, qui ont été formés avec plusieurs années de liens analysés et de métadonnées associées, se sont révélés particulièrement utiles et peuvent être facilement appliqués après le décodage des QR codes. En corrélant des éléments tels que les métadonnées de domaines, les structures d'URL, les chaînes de requête d'URL et nos ensembles de données historiques, nous sommes en mesure de réaliser des déductions afin de protéger nos clients. Nous adoptons également une approche proactive : nous utilisons nos modèles d'apprentissage automatique, qui nous apprennent où rechercher les QR codes, même s'ils ne sont pas immédiatement visibles. Par ailleurs, l'examen des domaines, du sentiment, des informations contextuelles, des adresses IP, de l'utilisation historique et des modèles sociaux entre expéditeurs et destinataires permet à Cloudflare d'identifier et de neutraliser les menaces potentielles avant qu'elles ne puissent causer des dommages.
Exemples créatifs et exemples réels
Avec les milliers de QR codes que nous traitons quotidiennement, nous constatons des tendances intéressantes. D'éminentes sociétés, parmi lesquelles Microsoft et DocuSign, ont souvent été victimes d'usurpations d'identité dans le cadre d'attaques par quishing. Ce qui complique la tâche des utilisateurs (et les rend encore plus susceptibles d'être victimes d'une escroquerie) est que ces entreprises utilisent réellement des QR codes dans leurs flux de travail légitimes. Ce constat souligne encore davantage l'urgence pour les entreprises de renforcer leurs défenses contre cette menace changeante.
Vous trouverez ci-dessous trois exemples des attaques par quishing les plus intéressantes que nous avons observées et que nous avons comparées aux scénarios d'utilisation réels par les entreprises correspondantes. Les QR codes utilisés dans ces e-mails ont été masqués.
Microsoft Authenticator
Microsoft utilise les QR codes pour traiter plus rapidement l'authentification multifactorielle, au lieu de transmettre par SMS des codes à six chiffres, dont l'acheminement peut être retardé. Les QR codes sont également considérés comme plus sûrs, car la MFA par SMS peut être interceptée par le biais d'attaques par échange de cartes SIM. Les utilisateurs ont enregistré leurs appareils de manière indépendante et ont déjà vu l'écran d'inscription présenté sur la droite ; par conséquent, il ne leur paraît pas incongru de recevoir un e-mail les invitant à se réauthentifier.
DocuSign
DocuSign utilise des QR codes pour faciliter le téléchargement, par les utilisateurs, de son application mobile, qui permet la signature de documents, la vérification d'identité (avec l'utilisation d'un appareil mobile pour prendre des photos) et la prise en charge de l'intégration de fonctionnalités DocuSign dans des applications tierces disposant de leur propre fonctionnalité de scan de QR codes. L'utilisation de QR codes dans les applications DocuSign natives et les applications non natives est source de confusion pour les utilisateurs fréquents de DocuSign, mais n'a toutefois rien d'inhabituel pour les utilisateurs sporadiques de la solution. Bien que le QR code de téléchargement de l'application DocuSign ne soit pas utilisé dans les demandes de signature, un utilisateur fréquent peut considérer qu'il s'agit d'une méthode permettant d'accéder rapidement à la demande dans l'application préalablement téléchargée sur son appareil mobile.
Microsoft Teams
Microsoft utilise des QR codes pour Teams, afin de permettre aux utilisateurs de rejoindre rapidement une équipe via un appareil mobile ; et bien que Teams n'utilise pas de QR codes pour les messages vocaux, le logiciel dispose d'une fonctionnalité de messagerie vocale. L'e-mail affiché à gauche ressemble à un rappel invitant l'utilisateur à consulter sa messagerie vocale dans Teams, et réunit les deux scénarios d'utilisation réels à droite.
Comment vous pouvez contribuer à prévenir les attaques par quishing
Face à la menace persistante que constitue le quishing, la vigilance est cruciale pour les individus et les entreprises. Bien qu'aucune solution ne puisse garantir une protection à 100 %, la diligence collective peut considérablement réduire le risque, et nous encourageons la collaboration dans la lutte contre le quishing.
Si vous êtes déjà client de la solution Cloud Email Security de Cloudflare, nous vous invitons à nous transmettre des exemples d'attaques par quishing depuis notre portail, afin d'arrêter les menaces actuelles et de renforcer les capacités des futurs modèles d'apprentissage automatique, et ainsi, conduire à l'élaboration de stratégies de défense plus proactives. Si vous n'êtes pas client, vous pouvez toujours transmettre des exemples d'attaques par quishing originales en pièce jointe au format EML à quish@cloudflare.com ; n'oubliez pas d'utiliser le processus de signalement de votre fournisseur de sécurité des e-mails pour l'informer sur ces vecteurs de quishing.
La lutte contre le quishing continue, et nécessite de poursuivre l'innovation et la collaboration. Pour encourager la transmission d'exemples d'attaques par quishing, nous développons de nouvelles méthodes pour permettre à nos clients de transmettre des commentaires ciblés à nos modèles, et nous ajoutons également une transparence supplémentaire à nos indicateurs afin de faciliter le suivi de différents vecteurs, parmi lesquels le quishing.