Le « quishing » (phishing par QR Code) est une nouvelle cyberattaque exploitant les QR Code, c'est-à-dire des codes-barres à deux dimensions. Cette appellation résulte de la combinaison des mots « QR code » et « phishing » (ou « hameçonnage » en français).
Le phishing repose traditionnellement sur des courriels frauduleux ou des sites web trompeurs. Cette technique a été améliorée au fil des années et se base aujourd'hui sur des éléments réels visant à tromper la personne ciblée. L'un des exemples les plus courants dans le milieu professionnel est « l'arnaque au président ».
Pourquoi le quishing est de plus en plus courant ?
Les QR codes visent notamment à faciliter l'expérience utilisateur. Accéder à un menu dès l'arrivée au restaurant, payer son ticket de transport, il suffit d'un smartphone et d'un accès internet pour rapidement ouvrir la page du QR Code et accéder à un bien ou un service. Ainsi, cette arnaque est particulièrement efficace et difficile à détecter pour les utilisateurs non avertis.
Les attaquants utilisent des QR codes pour rediriger les utilisateurs vers des sites web malveillants ou logiciels malveillants. Ces sites et logiciels, souvent conçus pour imiter des plateformes légitimes, ont pour but de recueillir des informations sensibles, telles que des identifiants de connexion, des mots de passe ou des informations financières. Pourtant, la mise en place de cette arnaque est relativement simple pour les cybercriminels.
Comment fonctionne le quishing ?
Tout d'abord, les cybercriminels génèrent un QR code contenant un URL menant à un site web malveillant ayant l'apparence d'un site légitime.
Le QR code est ensuite distribué par tout moyen. Cette distribution peut se faire par voie électronique (e.g. envoi par courriel, communication sur les réseaux sociaux) ou sur un support matériel (e.g. arrêt de bus, borne de stationnement, table de restaurant). Placés à des endroits stratégiques, les utilisateurs sont aisément incités à scanner le code pour accéder à des produits ou services.
Enfin, une fois le QR code scanné, l'utilisateur est redirigé vers le site malveillant, lequel peut demander à l'utilisateur de communiquer des informations personnelles ou installer des logiciels malveillants sur l'appareil.
Comment se protéger contre le quishing ?
En tant que cyberattaque, l'un des enjeux majeurs du quishing est le vol de données. Or, ces codes-barres sont généralement perçus comme pratiques, ce qui rend leur détournement très efficace.
Plusieurs précautions peuvent être prises :
Vérification des sources : avant de
scanner un QR code, il faut vérifier d'où il
provient. Si le code provient d'une source inconnue, il est
préférable de ne pas le scanner.
Utilisation de scanners de
sécurité : certaines applications de
scanner de QR code incluent des fonctionnalités de
sécurité qui permettent de vérifier l'URL
avant de l'ouvrir. Il est recommandé d'utiliser ces
applications pour scanner les QR codes.
Éducation et sensibilisation : les
utilisateurs doivent être informés des risques
liés au quishing et des signes qui peuvent indiquer une
tentative de fraude notamment : offres très
favorables au destinataire, emplacement d'un QR code à
un endroit inhabituel, superposition de QR codes (parfois
très peu visible), distributeur du QR code
inconnu, etc.
Le quishing est une menace croissante. Toutefois, la sensibilisation, la vigilance, la vérification des sources et l'utilisation d'outils de sécurité appropriés permettent de se protéger contre ce type d'attaque.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.