Quishing : QR Code Phishing

Le quishing est l'utilisation de codes QR frauduleux pour implanter des logiciels malveillants sur votre appareil et accéder à vos données personnelles.

Découvrez les dangers du QR phishing (Quishing) : Apprenez à l'identifier et à le prévenir, en garantissant votre sécurité et votre vie privée numériques.

Antivirus gratuit

Qu'est-ce que le quishing?

Le QR phishing, également connu sous le nom de "quishing", est une cybercriminalité qui exploite la popularité des codes QR. Les cybercriminels créent des codes QR malveillants qui, lorsqu'ils sont scannés, mènent à des sites web frauduleux ou invitent à télécharger des logiciels nuisibles. Comme les gens utilisent de plus en plus les codes QR à diverses fins, par exemple pour accéder à des menus ou effectuer des paiements, ils risquent de scanner ces codes trompeurs sans le savoir, mettant ainsi leurs informations personnelles en danger.

Ce comportement a été mis en évidence lors du Super Bowl 2022, lorsque la publicité innovante de Coinbase sous forme de code QR a entraîné une augmentation significative des téléchargements d'applications. Cependant, il a également suscité des inquiétudes au sein de la communauté de la cybersécurité, en particulier à la lumière des récentes escroqueries Crypto QR où des escrocs ont utilisé des codes QR pour manipuler les victimes afin qu'elles retirent de l'argent de leurs comptes.

Le terme "quishing" combine les codes QR et l'hameçonnage, indiquant une méthode par laquelle des acteurs malveillants créent de faux codes QR pour diriger les utilisateurs vers des sites falsifiés, voler des informations ou installer des logiciels malveillants sur leurs appareils. L'objectif est de tromper les individus en leur faisant croire qu'ils interagissent avec un code QR inoffensif ou nécessaire, alors que l'intention réelle est d'accéder à des informations personnelles et financières et de les voler.

Qu'est-ce qu'un code QR ?

Les codes QR, ou Quick Response codes, sont des codes-barres bidimensionnels capables de stocker une grande quantité de données et pouvant être lus rapidement par des smartphones ou des lecteurs de code-barres. Inventés à l'origine par un constructeur automobile japonais en 1994 pour améliorer l'efficacité de la production, les codes QR ont connu un regain d'utilisation ces dernières années.

Ils sont devenus particulièrement populaires durant la pandémie comme moyen de maintenir la continuité des affaires tout en respectant les règles de distanciation sociale. En conséquence, les consommateurs se sont habitués à scanner des codes QR, les études prédisant que plus de 100 millions d'utilisateurs aux États-Unis utiliseront leur téléphone pour scanner des codes QR d'ici 2025.

La polyvalence des codes QR, qui peuvent être scannés à partir d'écrans et de papier, a conduit à leur adoption généralisée dans différents secteurs, notamment le traitement des paiements, le marketing et la publicité. Aujourd'hui, les codes QR sont couramment trouvés dans les espaces publics comme les panneaux d'affichage et les restaurants, ainsi que dans les communications numériques telles que les SMS, les réseaux sociaux et les emails.

Statique vs dynamique : les codes QR

Les codes QR peuvent être classés en deux catégories principales selon la flexibilité de leurs données : statiques et dynamiques.

Codes QR statiques sont fixes et ne peuvent pas être modifiés une fois créés. Ils sont couramment utilisés pour partager des informations statiques comme une URL de site web, des coordonnées ou un mot de passe Wi-Fi.

Codes QR dynamiques, en revanche, sont plus flexibles car les informations qu'ils codent peuvent être mises à jour ou modifiées sans changer l'apparence du code. Ils contiennent une URL unique qui dirige les utilisateurs vers un serveur où les informations sont stockées. Cette adaptabilité les rend idéaux pour des situations où le contenu nécessite des mises à jour fréquentes, telles que les informations sur un événement, les offres promotionnelles ou le suivi des stocks en temps réel. Cependant, cette même flexibilité pose également un risque de sécurité, car les escrocs peuvent exploiter les codes QR dynamiques en modifiant leur source pour rediriger les utilisateurs vers des sites malveillants.

Qu'est-ce que le phishing ?

Le phishing est une méthode largement utilisée par les cybercriminels pour accéder à des données précieuses par le biais d'attaques d'ingénierie sociale, principalement par courrier électronique. Un courriel typique de phishing contient un lien ou une pièce jointe, incitant l'utilisateur à cliquer dessus ou à la télécharger, dans le but de voler des informations sensibles telles que des données financières ou des identifiants de connexion à l'entreprise.

Cependant, comme les attaquants recherchent continuellement des techniques plus efficaces, de nouvelles tactiques d'hameçonnage sont apparues, notamment le vishing(hameçonnage vocal), smishing (hameçonnage par SMS) et le quishing (hameçonnage par QR). Ces variantes exploitent différents canaux de communication pour mener à bien des pratiques trompeuses similaires, le quishing tirant spécifiquement parti de la popularité et de la commodité des codes QR pour inciter les utilisateurs à révéler leurs informations personnelles.

Comment fonctionne le quishing ?

Le Quishing est un type d'attaque par hameçonnage qui utilise les codes QR pour inciter les individus à visiter des sites web nuisibles ou à télécharger des fichiers contenant des logiciels malveillants. Les codes QR peuvent héberger diverses sources, telles que des liens, des documents et des portails de paiement, ce qui en fait un outil polyvalent pour les cybercriminels. Ces codes peuvent être manipulés pour contenir des liens malveillants, des documents chargés de virus ou de faux portails de paiement. Comme le contenu d'un code QR n'est pas visible lorsqu'il est affiché sous forme d'image, il constitue un moyen idéal pour les escrocs d'échapper aux mesures de sécurité en les intégrant dans des courriels.

Une attaque de quishing commence généralement par un cybercriminel créant des codes QR redirigeant vers une page de connexion frauduleuse pour récolter les identifiants des victimes ou vers un site téléchargeant automatiquement des malwares une fois scanné. Ces codes QR malveillants peuvent être insérés dans des emails sous forme d'images ou de pièces jointes, ou bien placés dans des lieux publics où les gens sont susceptibles de les scanner. Une fois le code scanné, les victimes peuvent être invitées à saisir des informations sensibles telles que des détails de connexion ou des informations bancaires, ou bien elles peuvent télécharger sans le savoir des logiciels ou des applications nuisibles. Dans certains cas, le téléchargement de contenu malveillant peut se produire automatiquement juste après le scan du code, compromettant davantage l'appareil de la victime.

Comprendre QRLJacking : une étude de cas sur le quishing

Le QRLJacking est une forme sophistiquée de quishing qui cible spécifiquement les systèmes de Quick Response Login (QRL). Le QRL est une méthode d'authentification conviviale qui permet aux utilisateurs de se connecter à des sites web, des applications ou des services numériques en scannant un code QR avec leur smartphone. Cette méthode élimine la nécessité de se souvenir de mots de passe complexes, offrant ainsi une alternative pratique aux utilisateurs.

Cependant, cette commodité introduit également une vulnérabilité que les cybercriminels ont appris à exploiter. Dans une attaque de QRLJacking, des hackers démarrent une session sur le site web ou l'app visé et clonent le code QR légitime. Ils manipulent ensuite le code cloné en le redirigeant vers leur propre serveur et l'intègrent dans une fausse page de connexion qui imite l'originale. Le code QR malveillant est distribué par email ou d'autres canaux, faisant croire aux utilisateurs qu'ils doivent le scanner pour se connecter.

Le danger du QRLJacking devient apparent lorsque l'authentification à plusieurs facteurs n'est pas activée. Dès que la victime scanne le code QR manipulé, l'attaquant obtient un accès immédiat au compte de la victime. Un exemple notable de cette attaque a eu lieu avec ING Bank, dont l'application permettait aux clients de se connecter à un deuxième appareil en scannant un code QR. Des cybercriminels ont exploité cette fonctionnalité, altérant les codes QR légitimes au sein de l'application. Les utilisateurs imprudents qui ont été victimes de l'escroquerie ont découvert que des sommes importantes d'argent avaient disparu de leurs comptes.

Comment détecter une attaque de quishing ?

La détection d'une attaque de quishing peut s'avérer difficile en raison de la nature inhérente des codes QR, qui dissimulent leur contenu jusqu'à ce qu'ils soient scannés. Contrairement aux attaques de phishing traditionnelles, les courriels de quishing contiennent des codes QR sous forme d'images simples ou dans des pièces jointes avec des extensions non suspectes, ce qui leur permet de contourner les détecteurs de logiciels malveillants et les filtres de courrier électronique. Cela signifie qu'ils peuvent échapper à la détection et ne pas être relégués dans le dossier spam, laissant les individus vulnérables aux tactiques d'ingénierie sociale.

L'attrait des QR codes pour les escrocs réside dans leur capacité à éveiller la curiosité et à exploiter des émotions telles que la peur et l'urgence. Ces déclencheurs émotionnels peuvent amener des victimes inattentives à scanner des codes QR malveillants destinés à des activités frauduleuses, comme le paiement de fausses factures ou amendes. La commodité et la rapidité des codes QR sont exploitées pour faciliter ces arnaques.

Pour vous protéger contre la fraude liée aux codes QR, il est important de rester vigilant et de rechercher certains signes avant de scanner un code QR :

  • Codes QR inattendus ou non sollicités : Soyez prudent avec les codes QR qui apparaissent dans des emails ou messages non sollicités, surtout s'ils vous incitent à agir immédiatement.
  • Absence de contexte ou d'explication : Les codes QR légitimes sont généralement accompagnés d'explications claires sur leur objectif. Méfiez-vous des codes qui manquent de contexte ou de source crédible.
  • Expéditeur suspect : Vérifiez l'adresse email ou les informations de contact de l'expéditeur pour tout signe d'illégitimité, tel que des fautes d'orthographe ou des noms de domaine inhabituels.
  • Urgence ou pression : Les escrocs créent souvent un sentiment d'urgence pour inciter à une action rapide. Soyez sceptique vis-à-vis des messages qui vous pressent de scanner un code QR immédiatement.
  • Vérifiez la source : Si possible, vérifiez la légitimité du code QR en contactant l'expéditeur supposé par des canaux officiels.
  • Utilisez un scanner de code QR sécurisé : Certaines applications de scanner de code QR offrent des fonctionnalités de sécurité qui vérifient la sécurité du lien avant de l'ouvrir. Envisagez d'utiliser une telle application pour ajouter une couche de protection supplémentaire.

En étant conscient de ces signes et en faisant preuve de prudence, vous pouvez réduire le risque de devenir victime d'une attaque de quishing et protéger vos informations sensibles contre toute compromission.

Voici comment vous protéger contre le quishing

Pour vous prémunir contre les attaques de quishing, il est important de combiner des stratégies générales de prévention phishing avec des mesures spécifiques aux défis uniques posés par les codes QR :

  1. Vérifiez la source du QR : Faites preuve de prudence lorsque vous scannez des codes QR, en particulier ceux provenant de sources inconnues ou promettant des offres trop belles pour être vraies. Si le code provient d'une source apparemment officielle, d'un ami ou d'un collègue, vérifiez son authenticité directement auprès de ces personnes ou visitez leur site web officiel.
  2. Utilisez un lecteur de code QR fiable : Même si la plupart des smartphones ont des capacités de scan de QR intégrées, si vous optez pour une application tierce, assurez-vous qu'elle est réputée. Méfiez-vous des mises à jour frauduleuses des applications de scan, car elles ont été connues pour distribuer des malwares par le passé.
  3. Prévisualisez l'URL de destination : Si votre application de scan le permet, prévisualisez le lien vers lequel le code QR vous dirige avant de l'accéder. Cette précaution aide à se protéger contre les codes QR qui téléchargent automatiquement des malwares lors du scan.
  4. Soyez prudent avec les informations personnelles : Après avoir scanné un code QR, soyez vigilant lorsque vous êtes invité à entrer des informations personnelles sur une page liée. Vérifiez deux fois le logo et l'URL complète du site, et si possible, tapez manuellement l'URL originale dans votre navigateur plutôt que d'utiliser le lien fourni par le code QR.
  5. Activez l'authentification à deux facteurs : Ajouter cette couche de sécurité supplémentaire peut empêcher un accès non autorisé à vos comptes, même si un cybercriminel obtient vos identifiants. Soyez prudent avant d'accepter des notifications d'authentification sur votre téléphone à moins d'avoir initié une tentative d'accès au compte.
  6. Restez informé avec une formation à la sensibilisation à la sécurité : Mettre régulièrement à jour vos connaissances sur les tactiques des cybercriminels et la façon d'y répondre peut vous permettre de rester en avance sur les menaces.

En suivant ces recommandations, vous pouvez renforcer votre défense contre les attaques de quishing et protéger vos informations sensibles de tomber dans de mauvaises mains.

Qu'est-ce qu'un code QR ?

Qu'est-ce que le phishing ?

Qu'est-ce que l'ingénierie sociale?

Qu'est-ce que l'empreinte numérique ?

Qu'est-ce que le spear phishing ?

Qu'est-ce que l'arnaque au catfishing ?

Qu'est-ce qu'un email de phishing ?

FAQ

Pourquoi les codes QR sont-ils risqués ?

Les codes QR peuvent être utilisés par des cybercriminels pour des actions malveillantes, comme l'intégration de malware dans les codes. Une fois scannés, ces codes QR compromis peuvent infecter les appareils avec divers types de malware, y compris des virus, des vers, des Trojans, des spywares et des adwares, ce qui peut mener au vol d'informations personnelles, à un accès non autorisé à des données sensibles ou à des attaques de phishing.