Le quishing : les arnaques au QR code
Vous connaissez sans doute le phishing, également appelé hameçonnage. Cette escroquerie consiste à usurper l’identité d’une entité reconnue (souvent un organisme public, une banque ou une grande entreprise) par le biais d’email ou de SMS, dans le but de soutirer des informations aux victimes : données personnelles, mots de passe, informations bancaires, etc.
Une nouvelle forme de fraude, dérivée du phishing, gagne du terrain : le quishing. Voici de quoi il s’agit !
Le quishing : les arnaques au QR code
Pour les pirates, les QR codes sont une aubaine. Massivement utilisés pendant la pandémie pour contrôler les pass sanitaires, ils se sont depuis multipliés sur les affiches, dans les restaurants, musées et transports publics.
Afin de soutirer des informations à leurs victimes, les cybercriminels intègrent désormais des QR codes dans leurs campagnes de phishing par email, dans le but de compromettre les appareils des utilisateurs. Souvent, ces derniers sont menacés de voir leur compte bloqué s’ils ne scannent pas le code, ce qui renforce le sentiment d’urgence.
Alors, quelle est la différence entre un QR code et un simple lien, traditionnellement utilisé pour ce type d’arnaque ? Pour les pirates, les QR codes présentent l’intérêt d’être plus difficiles à détecter par les filtres anti-spam ou anti-phishing. Le risque est d’autant plus élevé que les smartphones sont généralement moins bien protégés que les ordinateurs de bureau contre ce type d’attaques.
Comment se protéger du quishing ?
Le quishing peut être difficile à détecter et, à ce jour, aucune technologie fiable ne permet de s’en prémunir totalement. Il est donc crucial de redoubler de vigilance, en appliquant les mêmes précautions que pour le phishing traditionnel. Méfiez-vous notamment des éléments suivants : offres alléchantes, sentiment d’urgence, alertes relatives à une situation critique, mise en page maladroite, demandes de renseignements personnels, etc.
Par ailleurs, l’usage des QR codes dans les emails est une pratique peu répandue chez les entreprises ou les organisations publiques. Pourtant, il s’agit à ce jour du terrain de jeu privilégié des attaques de quishing. Il est donc préférable d’éviter de scanner ceux issus de cette source. Pour autant, il convient d’être également prudent face aux codes diffusés dans l’espace public, en vous assurant qu’ils sont produits par des acteurs de confiance.