Si le terme de phishing ou de hameçonnage est globalement connu du grand public, le quishing en est une variante récente et moins connue mais tout aussi redoutable.
Pour rappel, le phishing, ou hameçonnage, est une technique utilisée par des pirates pour obtenir des informations personnelles (par exemple des mots de passe, des identifiants ou des numéros de cartes bancaires) de la part de leur victime à l’aide de campagne d’emails envoyés en masse ou de sites internet frauduleux.
L’objectif des cybercriminels est ensuite de se servir des informations personnelles dérobées pour les utiliser à titre illicite ou frauduleux, faire de l’usurpation d’identité, exposer les données ou pour les revendre sur le darknet.
Le quishing appartient à la même grande famille de fraudes que le phishing mais les modalités de ce type d’attaque sont moins connues. Dans cet article, nous revenons sur ce qu’est le quishing et comment s’en protéger.
Qu’est-ce que le quishing ?
Le quishing, ou « QR hameçonnage » en français, est une forme de phishing dans laquelle les attaquants utilisent des faux QR code. Une fois scannés, ces faux QR code renvoient sur des sites frauduleux sur lesquelles les victimes vont renseigner des informations personnelles (nom, prénom, adresse mail, date de naissance…) qui seront exploitées par les pirates. Ces QR code peuvent aussi renvoyer vers de fausses plateformes de téléchargement dont le contenu sera nuisible pour la victime.
Dans tous les cas, l’objectif est de voler des informations personnelles comme des mots de passe, des coordonnées bancaires ou des éléments d’identité. Ces données récoltées peuvent être revendues sur le darknet, être utilisées pour réaliser des attaques par rançongiciels les plus réalistes possible ou pour faire de l’usurpation d’identité.
Comment se déroule une attaque de type quishing ?
Les faux QR codes peuvent être véhiculés par différents moyens : dans des mails directement, sur les réseaux sociaux, sur des affiches publicitaires dans la rue, sur les tables de restaurant, dans des musées… Concrètement, les pirates apposent un autocollant avec leur QR Code frauduleux par dessus le QR Code légitime. Dès lors que les QR Code font partie de notre décor, il est plus facile de déployer des QR Code frauduleux sans éveiller de soupçon.
Ces attaques sont d’autant plus efficaces que les QR Code sont scannés, la plupart du temps, à partir de l’appareil photo de nos téléphones. Or, ces derniers disposent généralement d’un niveau moins élevé de protection contre les cyberattaque. Les QR codes frauduleux sont également plus difficiles à détecter par les filtres anti-spam et sont souvent interprétés comme étant de simples photos.
Par exemple, en décembre 2023, dans le Loiret des automobilistes qui souhaitaient recharger leurs voitures électriques ont été victimes d’un vol de leurs données bancaires suite au scan d’un QR Code malveillant. Le faux QR code renvoyait vers un faux site quasiment identique à la plateforme de paiement du prestataire.
La mairie de Melun a également récemment alerté sur des faux PV déposés sur les pares brises des voitures dont le lien pour procéder au paiement s’obtient en scannant un QR Code frauduleux.
Comment se protéger du quishing ?
Voici quelques mesures pour se protéger du quishing :
- Vérifier l’URL : Avant de scanner un QR Code, il faut toujours vérifier l’URL associée. Si vous avez un doute sur le site vers lequel vous allez être renvoyé, ne cliquez pas sur le lien.
- Attention aux informations communiquées : de manière générale, nous vous conseillons d’éviter de communiquer des informations personnelles ou de procéder à des paiements sur des sites obtenus à l’aide de QR Code.
- Se méfier de l’urgence : Souvent dans les campagnes de quishing véhiculées par mail, les cybercriminels vont vous inciter à scanner le QR Code le plus rapidement possible. Ils peuvent par exemple prétendre que tel ou tel compte sera bloqué, à moins de scanner le QR Code pour procéder à la régularisation. Tout sentiment d’urgence doit éveiller votre vigilance. De la même manière, une offre trop attrayante doit également vous alerter. En effet, les pirates n’hésitent pas à mettre en œuvre toutes les formes de manipulation émotionnelles possibles (peur, curiosité, appât du gain…).
- Attention aux sources inconnues : Nous vous conseillons de ne jamais scanner de QR Code provenant de destinataire inconnu ou d’une source non fiable.
- Vérifier le collage du QR Code : si vous êtes confrontés à des QR Code dans l’espace public, nous vous conseillons de toujours vérifier qu’aucun QR Code n’a été collé au-dessus d’un autre. Si tel est le cas, ne le scannez surtout pas.
- Installer un antivirus sur son téléphone : En installant une solution antivirus sur son téléphone, ce dernier pourra être en mesure de détecter des éventuels QR Code frauduleux. Il est ensuite de nécessaire de maintenir à jour son antivirus pour éviter toute faille de sécurité.
- Activer l’authentification multifacteur : Autant que possible, activez l’authentification multifacteur sur vos comptes en ligne. Cela ajoute une couche de sécurité supplémentaire en cas de compromission de vos informations d’identification.
- Sensibiliser votre entourage : Plus l’information sur ce type d’attaque sera importante, moins de personnes seront susceptibles de tomber dans le piège des faux QR Code.
A l’heure où les QR Codes vont même être utilisés pour contrôler l’accès à certaines zones de Paris pendant les jeux olympiques, il convient de redoubler de vigilance.
