On connait tous le phishing, aussi connu sous le nom d’hameçonnage, cette arnaque qui consiste en se servant de la tromperie, à dérober les informations personnelles des internautes, comme leur mot de passe, ou leurs coordonnées bancaires.
Il existe désormais une variante de cette arnaque, le quishing, qui monte en popularité !
Depuis la crise du Covid-19, les QR Code ont été popularisés pour la vérification des pass sanitaires, puis se sont étendus dans les menus de restaurants, les affiches, et autres supports.
Qu’est-ce que le quishing ?
Le quishing est un type d’attaque de phishing qui utilise des codes QR pour inciter les gens à visiter un site Web malveillant ou à télécharger un document rempli de virus.
Les QR codes présentent l’avantage d’être plus difficiles à détecter par les filtres anti-spam ou anti-phishing, car la source des codes est indétectable sous forme d’image brute. Cela offre ainsi aux escrocs l’occasion idéale de contourner les filtres de sécurité en les joignant aux mails.
Avec la possibilité d’héberger une variété de sources, telles que des liens, des documents et des portails de paiement, les codes QR peuvent être manipulés pour contenir des liens malveillants, des documents contenant des virus et de faux portails de paiement.
Des stickers collés par-dessus de vrais QR codes
Cette méthode est d’actualité également car le QR code est devenu très populaire. Autour de nous, on les retrouve partout, dans les transports, la rue, les banques, les musées, les billets, dans les magasins, etc. Les arnaqueurs en profitent et viennent coller des QR codes frauduleux, des stickers par-dessus un vrai, et l’utilisateur peut tomber dans le piège.
Il y en a qui vont encore plus loin ! Ils créent de faux avis de passage de la poste avec un QR code et un message du type « vous avez reçu une lettre recommandée, mais on n’a pas réussi à vous la livrer, scannez ce QR code pour une relivraison » et de la même façon, derrière se cache une arnaque.
Recommandations et bonnes pratiques
Le quishing peut être difficile à détecter et, à ce jour, aucune technologie fiable ne permet de s’en prémunir totalement. Il est donc crucial de redoubler de vigilance, en appliquant les mêmes précautions que pour le phishing traditionnel. Méfiez-vous notamment des éléments suivants : offres alléchantes, sentiment d’urgence, alertes relatives à une situation critique, mise en page maladroite, demandes de renseignements personnels, etc.
Mais il existe tout de même quelques bonnes pratiques à avoir pour réduire les chances de tomber dans le piège :
- Vérifiez la source du QRCode !
- Évitez de scanner les codes QR d’inconnus, surtout s’ils proposent des offres ou des réductions irrésistibles.
- Si le message ou l’e-mail provient d’une source officielle ou d’un collègue, vérifiez auprès d’eux l’authenticité du courrier ou visitez leur site Web officiel.
- Tenez-vous au courant !
- Veille, sensibilisation, formation : les attaquants sont malins, ils ajustent sans cesse leur techniques d’attaques. Il est important de connaitre les derniers pièges à la mode !
Pour information la Gendarmerie a récemment lancé une campagne de prévention sur le sujet du quishing.