Imaginez : vous arrivez au travail et découvrez une affiche (par exemple festive), vous incitant à scanner un code QR pour obtenir une surprise. Seriez-vous prêt à vous munir de votre téléphone pour scanner ce code inconnu ? Si oui, alors vous avez mordu à l’hameçon. Découvrez le cas d’une simulation d’ingénierie sociale particulière, et découvrez pourquoi vous devriez toujours être prudent. Et pas seulement lorsque vous êtes assis devant un écran.
La menace de l’ingénierie sociale continue d’inquiéter les entreprises de toutes tailles. Au lieu de se concentrer sur les points faibles de votre défense logicielle, les techniques d’ingénierie sociale font appel à un élément beaucoup plus difficile à influencer positivement, et qui est prédestiné à faillir de temps à autre : le facteur humain. Pour rester à l’abri de cette menace, les entreprises encouragent leurs employés à améliorer leur attention et leur sensibilisation de plusieurs manières : séminaires éducatifs, bulletins d’information, quiz, ou même simulations d’ingénierie sociale.
Quand le code QR vous fait votre fête
C’est ce qui s’est passé dans une entreprise que nous garderons anonyme, qui a essayé de piéger ses employés pendant la période des fêtes.
“Cette année, nous avons décidé d’organiser une fête de Noël quelque peu différente des autres années. Nous avons une surprise spéciale de Noël pour vous ! Il suffit de scanner le code. Mais faites vite car le nombre de participants est limité" |
Des employés ont trouvé des affiches avec un texte similaire sur l’extérieur de la porte des bureaux. Si certains ont scanné le code, ravis de voir ce qui les attendait sur le lien, d’autres se sont montrés méfiants, et certains ont même signalé les affiches au service informatique.
Réaction excessive ? Pas du tout. En fait, c’est le dernier groupe qui s’est comporté correctement. Les affiches ont en fait été placées par l’équipe informatique pour tester le degré de sensibilisation des employés aux techniques d’ingénierie sociale. L’affiche contenait plusieurs indices. Même si le texte invitait apparemment les employés à une fête, il s’agissait pourtant d’un exemple parfait d’hameçonnage par code QR. Pourrez-vous deviner certains des indices ?
Tout d’abord, le texte de l’affiche était très générique, sans aucune information sur le moment ou le lieu de la fête. Cela a conduit de nombreux employés de différents départements à se faire prendre plus facilement. Deuxièmement, il y avait un sentiment d’urgence, l’un des signes les plus courants et les plus connus de l’ingénierie sociale. L’affiche était également présente à un endroit où presque n’importe qui aurait pu la poser.
Un cybermalfaiteur potentiel n’a même pas besoin de pénétrer dans les locaux de l’entreprise. Il lui suffit simplement d’accéder à une partie publique du bâtiment, ce qui est relativement facile à faire. Finalement, certains employés ont découvert la supercherie lorsqu’ils ont vu que le code QR menait à une page nommée « Surprise-Fête-Noël », qui n’avait rien à voir avec leur entreprise et qui était, une fois encore, suspecte.
Étant donné que de nombreuses sociétés s’efforcent de former leurs employés aux techniques d’ingénierie sociale en détail, notamment parce qu’elles constituent l’une des menaces les plus courantes pour la cybersécurité, comment est-il possible que de nombreux collaborateurs aient quand même mordu à l’hameçon ? Si les gens sont aujourd’hui plus attentifs lorsqu’ils reçoivent un email ou voient un lien en ligne, ils ne sont pas aussi prudents lorsqu’ils rencontrent des dangers similaires dans le monde hors ligne. C’est une explication possible. Ils savent peut-être que les menaces d’ingénierie sociale se présentent sous de nombreuses formes, mais lorsqu’ils y sont confrontés, ils sont trop confiants pour prendre le recul nécessaire.
C’est également la raison pour laquelle le phishing par code QR est devenu de plus en plus populaire au sein des cybercriminels. Ces dernières années, les autorités ont dû faire face à de nombreuses escroqueries similaires, comme les récentes campagnes d’hameçonnage par code QR au Texas, où des pirates ont distribué des autocollants autour d’un parking, demandant aux conducteurs de simplement scanner le code pour payer le parking en ligne. Certains usagers ont suivi les instructions et ont ensuite communiqué leurs informations bancaires, devenant ainsi victimes de l’arnaque.
Réfléchissez avant de scanner !
Comment éviter que vos collaborateurs ne tombent dans ces pièges ? L’éducation est la clé. Ne limitez pas vos formations aux types d’attaques d’ingénierie sociale les plus courantes, mais incluez également celles qui étaient rares jusqu’à présent. Encouragez vos collaborateurs à rester toujours attentifs aux éventuels cyberdangers. S’ils tombent sur un code QR, ils doivent se poser les questions suivantes avant de le scanner :
- Le code est-il placé dans un espace public ?
- L’autocollant recouvre-t-il quelque chose ? Peut-être un autre code officiel ?
- Le code est-il accompagné de signes typiques de l’ingénierie sociale, tels qu’un sentiment d’urgence ou un texte trop générique ?
- Lorsque l’on pointe la caméra sur le code et que l’on voit le nom du site web, l’adresse semble-t-elle légitime ? Conduit-elle au site de l’organisation qui a prétendument affiché le code QR ?
- Si je recevais le même texte ou le même code QR par email, cela me semblerait-il suspect ?
- Si le code QR se trouve dans les bureaux, puis-je vérifier son authenticité, par exemple auprès de l’équipe informatique ou des RH ?
Lorsque vos collaborateurs apprennent à prendre du recul et à réfléchir à la légitimité de ce qu’ils voient, ils ont déjà fait un pas de plus vers la sécurité.
Êtes-vous tenté d’essayer une simulation d’ingénierie sociale sur vos propres collaborateurs ? Si tel est le cas, ne punissez pas ou n’humiliez pas ceux qui ne reconnaissent pas votre piège, mais utilisez plutôt les résultats pour en savoir plus sur le niveau de sensibilisation à la cybersécurité dans votre entreprise. La formation par simulation ne doit pas être une expérience stressante, mais une occasion de s’améliorer encore.
Et vous ? Seriez-vous mesure de désamorcer le piège ?