Quishing : QR Code Phishing

Le quishing est l'utilisation de codes QR frauduleux pour implanter des logiciels malveillants sur votre appareil et accéder à vos données personnelles.

Découvrez les dangers du QR phishing (Quishing) : Apprenez à l'identifier et à le prévenir, en garantissant votre sécurité et votre vie privée numériques.

Antivirus gratuit

Qu'est-ce que le quishing?

Le QR phishing, connu aussi sous le nom de « quishing », est un cybercrime qui abuse de la popularité des codes QR. Dans cette arnaque, les cybercriminels créent des codes QR malveillants qui, une fois scannés, mènent à des sites frauduleux ou à des téléchargements de logiciels nuisibles. Comme les gens utilisent de plus en plus les codes QR à diverses fins, comme l'accès aux menus ou les paiements, ils peuvent involontairement scanner ces codes trompeurs, mettant ainsi en danger leurs informations personnelles.

Ce comportement a été mis en évidence lors du Super Bowl 2022 lorsque la publicité QR innovante de Coinbase a conduit à une augmentation significative des téléchargements d'applications. Cependant, cela a également soulevé des inquiétudes dans la communauté de la cybersécurité, notamment à la lumière des récents Crypto QR scams où des escrocs ont utilisé des codes QR pour manipuler des victimes afin qu'elles retirent de l'argent de leurs comptes.

Le terme « quishing » combine les codes QR et le phishing, indiquant une méthode où des acteurs malveillants créent de faux codes QR pour diriger les utilisateurs vers des sites usurpés, voler des informations ou installer des malwares sur leurs appareils. Le but est de tromper les individus en leur faisant croire qu'ils interagissent avec un code QR inoffensif ou nécessaire, alors que le véritable objectif est d'accéder à et de voler des informations personnelles et financières.

Qu'est-ce qu'un code QR ?

Les codes QR, ou Quick Response codes, sont des codes-barres bidimensionnels capables de stocker une grande quantité de données et pouvant être lus rapidement par des smartphones ou des lecteurs de code-barres. Inventés à l'origine par un constructeur automobile japonais en 1994 pour améliorer l'efficacité de la production, les codes QR ont connu un regain d'utilisation ces dernières années.

Ils sont devenus particulièrement populaires durant la pandémie comme moyen de maintenir la continuité des affaires tout en respectant les règles de distanciation sociale. En conséquence, les consommateurs se sont habitués à scanner des codes QR, les études prédisant que plus de 100 millions d'utilisateurs aux États-Unis utiliseront leur téléphone pour scanner des codes QR d'ici 2025.

La polyvalence des codes QR, qui peuvent être scannés à partir d'écrans et de papier, a conduit à leur adoption généralisée dans différents secteurs, notamment le traitement des paiements, le marketing et la publicité. Aujourd'hui, les codes QR sont couramment trouvés dans les espaces publics comme les panneaux d'affichage et les restaurants, ainsi que dans les communications numériques telles que les SMS, les réseaux sociaux et les emails.

Statique vs dynamique : les codes QR

Les codes QR peuvent être classés en deux catégories principales selon la flexibilité de leurs données : statiques et dynamiques.

Codes QR statiques sont fixes et ne peuvent pas être modifiés une fois créés. Ils sont couramment utilisés pour partager des informations statiques comme une URL de site web, des coordonnées ou un mot de passe Wi-Fi.

Codes QR dynamiques, en revanche, sont plus flexibles car les informations qu'ils codent peuvent être mises à jour ou modifiées sans changer l'apparence du code. Ils contiennent une URL unique qui dirige les utilisateurs vers un serveur où les informations sont stockées. Cette adaptabilité les rend idéaux pour des situations où le contenu nécessite des mises à jour fréquentes, telles que les informations sur un événement, les offres promotionnelles ou le suivi des stocks en temps réel. Cependant, cette même flexibilité pose également un risque de sécurité, car les escrocs peuvent exploiter les codes QR dynamiques en modifiant leur source pour rediriger les utilisateurs vers des sites malveillants.

Qu'est-ce que le phishing ?

Le phishing est une méthode largement utilisée par les cybercriminels pour accéder à des données précieuses par le biais d'attaques de social engineering, principalement via des emails. Un email de phishing typique contient un lien ou une pièce jointe, incitant l'utilisateur à cliquer ou le télécharger, dans le but de voler des renseignements sensibles tels que des détails financiers ou des identifiants de connexion d'entreprise.

Cependant, alors que les attaquants cherchent continuellement des techniques plus efficaces, de nouvelles tactiques de phishing ont émergé, y compris le vishing (phishing vocal), le smishing (phishing par SMS) et le quishing (phishing par QR). Ces variations exploitent différents canaux de communication pour mener des pratiques trompeuses similaires, le quishing utilisant spécifiquement la popularité et la commodité des codes QR pour inciter les utilisateurs à révéler leurs informations personnelles.

Comment fonctionne le quishing ?

Le quishing est un type d'attaque de phishing qui utilise des codes QR pour tromper les individus en les envoyant sur des sites nuisibles ou en téléchargeant des fichiers contenant des logiciels malveillants. Les codes QR peuvent héberger diverses sources, telles que des liens, des documents et des portails de paiement, ce qui en fait un outil polyvalent pour les cybercriminels. Ces codes peuvent être manipulés pour contenir des liens malveillants, des documents infestés de virus ou de faux portails de paiement. Comme le contenu derrière un code QR n'est pas visible lorsqu'il est affiché comme une image, cela offre un moyen idéal pour les escrocs de contourner les mesures de sécurité en les intégrant dans des emails.

Une attaque de quishing commence généralement par un cybercriminel créant des codes QR redirigeant vers une page de connexion frauduleuse pour récolter les identifiants des victimes ou vers un site téléchargeant automatiquement des malwares une fois scanné. Ces codes QR malveillants peuvent être insérés dans des emails sous forme d'images ou de pièces jointes, ou bien placés dans des lieux publics où les gens sont susceptibles de les scanner. Une fois le code scanné, les victimes peuvent être invitées à saisir des informations sensibles telles que des détails de connexion ou des informations bancaires, ou bien elles peuvent télécharger sans le savoir des logiciels ou des applications nuisibles. Dans certains cas, le téléchargement de contenu malveillant peut se produire automatiquement juste après le scan du code, compromettant davantage l'appareil de la victime.

Comprendre QRLJacking : une étude de cas sur le quishing

Le QRLJacking est une forme sophistiquée de quishing qui cible spécifiquement les systèmes Quick Response Login (QRL). Le QRL est une méthode d'authentification conviviale qui permet aux utilisateurs de se connecter à des sites web, applications ou services numériques en scannant un code QR avec leur smartphone. Cette méthode élimine le besoin de retenir des mots de passe complexes, offrant une alternative pratique aux utilisateurs.

Cependant, cette commodité introduit également une vulnérabilité que les cybercriminels ont appris à exploiter. Dans une attaque de QRLJacking, des hackers démarrent une session sur le site web ou l'app visé et clonent le code QR légitime. Ils manipulent ensuite le code cloné en le redirigeant vers leur propre serveur et l'intègrent dans une fausse page de connexion qui imite l'originale. Le code QR malveillant est distribué par email ou d'autres canaux, faisant croire aux utilisateurs qu'ils doivent le scanner pour se connecter.

Le danger du QRLJacking devient apparent lorsque l'authentification à plusieurs facteurs n'est pas activée. Dès que la victime scanne le code QR manipulé, l'attaquant obtient un accès immédiat au compte de la victime. Un exemple notable de cette attaque a eu lieu avec ING Bank, dont l'application permettait aux clients de se connecter à un deuxième appareil en scannant un code QR. Des cybercriminels ont exploité cette fonctionnalité, altérant les codes QR légitimes au sein de l'application. Les utilisateurs imprudents qui ont été victimes de l'escroquerie ont découvert que des sommes importantes d'argent avaient disparu de leurs comptes.

Comment détecter une attaque de quishing ?

Détecter une attaque de quishing peut être difficile en raison de la nature inhérente des codes QR, qui dissimulent leurs contenus jusqu'à ce qu'ils soient scannés. Contrairement aux attaques de phishing traditionnelles, les emails de quishing contiennent les codes QR sous forme d'images simples ou dans des pièces jointes avec des extensions non suspectes, leur permettant de contourner les détecteurs de malware et les filtres de courriel. Cela signifie qu'ils peuvent passer inaperçus et ne pas être relégués dans le dossier spam, laissant les individus vulnérables aux tactiques de manipulation sociale.

L'attrait des QR codes pour les escrocs réside dans leur capacité à éveiller la curiosité et à exploiter des émotions telles que la peur et l'urgence. Ces déclencheurs émotionnels peuvent amener des victimes inattentives à scanner des codes QR malveillants destinés à des activités frauduleuses, comme le paiement de fausses factures ou amendes. La commodité et la rapidité des codes QR sont exploitées pour faciliter ces arnaques.

Pour vous protéger contre la fraude liée aux codes QR, il est important de rester vigilant et de rechercher certains signes avant de scanner un code QR :

  • Codes QR inattendus ou non sollicités : Soyez prudent avec les codes QR qui apparaissent dans des emails ou messages non sollicités, surtout s'ils vous incitent à agir immédiatement.
  • Absence de contexte ou d'explication : Les codes QR légitimes sont généralement accompagnés d'explications claires sur leur objectif. Méfiez-vous des codes qui manquent de contexte ou de source crédible.
  • Expéditeur suspect : Vérifiez l'adresse email ou les informations de contact de l'expéditeur pour tout signe d'illégitimité, tel que des fautes d'orthographe ou des noms de domaine inhabituels.
  • Urgence ou pression : Les escrocs créent souvent un sentiment d'urgence pour inciter à une action rapide. Soyez sceptique vis-à-vis des messages qui vous pressent de scanner un code QR immédiatement.
  • Vérifiez la source : Si possible, vérifiez la légitimité du code QR en contactant l'expéditeur supposé par des canaux officiels.
  • Utilisez un scanner de code QR sécurisé : Certaines applications de scanner de code QR offrent des fonctionnalités de sécurité qui vérifient la sécurité du lien avant de l'ouvrir. Envisagez d'utiliser une telle application pour ajouter une couche de protection supplémentaire.

En étant conscient de ces signes et en faisant preuve de prudence, vous pouvez réduire le risque de devenir victime d'une attaque de quishing et protéger vos informations sensibles contre toute compromission.

Voici comment vous protéger contre le quishing

Pour vous prémunir contre les attaques de quishing, il est important de combiner des stratégies générales de prévention phishing avec des mesures spécifiques aux défis uniques posés par les codes QR :

  1. Vérifiez la source du QR : Faites preuve de prudence lorsque vous scannez des codes QR, en particulier ceux provenant de sources inconnues ou promettant des offres trop belles pour être vraies. Si le code provient d'une source apparemment officielle, d'un ami ou d'un collègue, vérifiez son authenticité directement auprès de ces personnes ou visitez leur site web officiel.
  2. Utilisez un lecteur de code QR fiable : Même si la plupart des smartphones ont des capacités de scan de QR intégrées, si vous optez pour une application tierce, assurez-vous qu'elle est réputée. Méfiez-vous des mises à jour frauduleuses des applications de scan, car elles ont été connues pour distribuer des malwares par le passé.
  3. Prévisualisez l'URL de destination : Si votre application de scan le permet, prévisualisez le lien vers lequel le code QR vous dirige avant de l'accéder. Cette précaution aide à se protéger contre les codes QR qui téléchargent automatiquement des malwares lors du scan.
  4. Soyez prudent avec les informations personnelles : Après avoir scanné un code QR, soyez vigilant lorsque vous êtes invité à entrer des informations personnelles sur une page liée. Vérifiez deux fois le logo et l'URL complète du site, et si possible, tapez manuellement l'URL originale dans votre navigateur plutôt que d'utiliser le lien fourni par le code QR.
  5. Activez l'authentification à deux facteurs : Ajouter cette couche de sécurité supplémentaire peut empêcher un accès non autorisé à vos comptes, même si un cybercriminel obtient vos identifiants. Soyez prudent avant d'accepter des notifications d'authentification sur votre téléphone à moins d'avoir initié une tentative d'accès au compte.
  6. Restez informé avec une formation à la sensibilisation à la sécurité : Mettre régulièrement à jour vos connaissances sur les tactiques des cybercriminels et la façon d'y répondre peut vous permettre de rester en avance sur les menaces.

En suivant ces recommandations, vous pouvez renforcer votre défense contre les attaques de quishing et protéger vos informations sensibles de tomber dans de mauvaises mains.

Qu'est-ce qu'un code QR ?

Qu'est-ce que le phishing ?

Qu'est-ce que l'ingénierie sociale?

Qu'est-ce que l'empreinte numérique ?

Qu'est-ce que le spear phishing ?

Qu'est-ce que l'arnaque au catfishing ?

Qu'est-ce qu'un email de phishing ?

FAQ

Pourquoi les codes QR sont-ils risqués ?

Les codes QR peuvent être utilisés par des cybercriminels pour des actions malveillantes, comme l'intégration de malware dans les codes. Une fois scannés, ces codes QR compromis peuvent infecter les appareils avec divers types de malware, y compris des virus, des vers, des Trojans, des spywares et des adwares, ce qui peut mener au vol d'informations personnelles, à un accès non autorisé à des données sensibles ou à des attaques de phishing.