Dernière innovation des cyberpirates : un mail mafieux qui ‘empreinte’ l’identité d’un opérateur pour inviter à suivre un QR Code, qui renvoie vers une adresse de phishing.

Décidément, l’ingénierie sociale est devenue un point fort des cyberpirates. Et la dernière attaque en date est l’oeuvre d’un artisan de l’arnaque en ligne plein d’imagination.

Il s’agit d’un mail spammé qui usurpe la marque d’un grand opérateur français pour proposer à l’internaute inconscient le remboursement d’une petite somme (moins de 40 euros). Son originalité est double :

  • Le courriel est une image, pas de texte, pas de lien, il s’affranchit ainsi d’une partie des protections classiques à la recherche de signatures mafieuses.
  • Le lien est pourtant bien présent, mais il se cache derrière un QR Code !
Vade-Retro-QRcode

L’attaque décortiquée

C’est Vade Retro Technology, spécialiste de la protection de la messagerie, qui a porté à notre attention cette nouvelle menace, car l’utilisation d’un QR Code est une première. Il décrit ainsi l’attaque :

  • L’extraction du QR Code renvoie vers une page de phishing hébergée sur un site WordPress non mis à jour hacké par le pirate pour y installer sa page falsifiée.
  • Sur cette page, la victime est incitée à renseigner son identifiant et mot de passe légitime de compte chez l’opérateur usurpé.
  • Une fois exécutée, l’action renvoie systématiquement un message d’erreur. Toutefois, le hacker a récupéré la combinaison mot de passe - identifiant.

Le pirate peut ensuite aller dérober toutes les données personnelles de la victime en se loguant à son compte légitime chez l’opérateur. Le hacker peut tenter d’utiliser l’identifiant et le mot de passe de la victime sur d’autres sites puisqu’il est avéré que les mêmes identifiants sont généralement utilisés sur de nombreux comptes différents.