Qu'est-ce que le quishing ?
Le QR phishing, également connu sous le nom de "quishing", est une cybercriminalité qui exploite la popularité des codes QR. Les cybercriminels créent des codes QR malveillants qui, lorsqu'ils sont scannés, mènent à des sites web frauduleux ou invitent à télécharger des logiciels nuisibles. Comme les gens utilisent de plus en plus les codes QR à diverses fins, par exemple pour accéder à des menus ou effectuer des paiements, ils risquent de scanner ces codes trompeurs sans le savoir, mettant ainsi leurs informations personnelles en danger.
Ce comportement a été mis en évidence lors du Super Bowl 2022, lorsque la publicité innovante de Coinbase sous forme de code QR a entraîné une augmentation significative des téléchargements d'applications. Cependant, il a également suscité des inquiétudes au sein de la communauté de la cybersécurité, en particulier à la lumière des récentes escroqueries Crypto QR où des escrocs ont utilisé des codes QR pour manipuler les victimes afin qu'elles retirent de l'argent de leurs comptes.
Le terme "quishing" combine les codes QR et l'hameçonnage, indiquant une méthode par laquelle des acteurs malveillants créent de faux codes QR pour diriger les utilisateurs vers des sites falsifiés, voler des informations ou installer des malwares sur leurs appareils. L'objectif est de tromper les individus en leur faisant croire qu'ils interagissent avec un code QR inoffensif ou nécessaire, alors que l'intention réelle est d'accéder à des informations personnelles et financières et de les voler.
Qu'est-ce qu'un code QR ?
Les codes QR, ou codes à réponse rapide, sont des codes-barres bidimensionnels qui peuvent stocker une grande quantité de données et être lus rapidement par des smartphones ou des lecteurs de codes-barres. Inventés à l'origine par un constructeur automobile japonais en 1994 pour améliorer l'efficacité de la fabrication, les codes QR ont connu un regain d'utilisation ces dernières années.
Ils sont devenus particulièrement populaires pendant la pandémie comme moyen de maintenir la continuité des activités tout en adhérant aux règles de distanciation sociale. En conséquence, les consommateurs se sont habitués à scanner les codes QR, des études prévoyant que plus de 100 millions d'utilisateurs aux États-Unis utiliseront leur téléphone pour scanner les codes QR d'ici 2025.
La polyvalence des codes QR, qui peuvent être scannés à la fois à partir d'écrans et de papier, a conduit à leur adoption généralisée dans divers secteurs, notamment le traitement des paiements, le marketing et la publicité. Aujourd'hui, les codes QR sont couramment présents dans les espaces publics tels que les panneaux d'affichage et les restaurants, ainsi que dans les communications numériques telles que les messages textuels, les médias sociaux et les courriels.
Codes QR statiques ou dynamiques
Les codes QR peuvent être classés en deux catégories principales en fonction de la flexibilité de leurs données : statiques et dynamiques.
Les codes QR statiques sont fixes et ne peuvent pas être modifiés une fois créés. Ils sont généralement utilisés pour partager des informations statiques telles que l'URL d'un site web, les coordonnées d'un contact ou un mot de passe Wi-Fi.
Les codes QR dynamiques, en revanche, sont plus souples, car les informations qu'ils encodent peuvent être mises à jour ou modifiées sans changer l'apparence du code. Ils contiennent une URL unique qui dirige les utilisateurs vers un serveur où les informations sont stockées. Cette adaptabilité les rend idéaux pour les situations où le contenu doit être fréquemment mis à jour, comme les informations sur les événements, les offres promotionnelles ou le suivi des stocks en temps réel. Cependant, cette même flexibilité pose également un risque de sécurité, car les escrocs peuvent exploiter les codes QR dynamiques en modifiant leur source pour rediriger les utilisateurs vers des sites malveillants.
Qu'est-ce que le phishing ?
Le phishing est une méthode largement utilisée par les cybercriminels pour accéder à des données précieuses par le biais d'attaques d'ingénierie sociale, principalement par courrier électronique. Un courriel typique de phishing contient un lien ou une pièce jointe, incitant l'utilisateur à cliquer dessus ou à la télécharger, dans le but de voler des informations sensibles telles que des données financières ou des identifiants de connexion à l'entreprise.
Cependant, comme les attaquants recherchent continuellement des techniques plus efficaces, de nouvelles tactiques d'hameçonnage sont apparues, notamment le vishing (hameçonnage vocal), smishing (hameçonnage par SMS) et le quishing (hameçonnage par QR). Ces variantes exploitent différents canaux de communication pour mener à bien des pratiques trompeuses similaires, le quishing tirant spécifiquement parti de la popularité et de la commodité des codes QR pour inciter les utilisateurs à révéler leurs informations personnelles.
Comment fonctionne le quishing ?
Le Quishing est un type d'attaque par hameçonnage qui utilise les codes QR pour inciter les individus à visiter des sites web nuisibles ou à télécharger des fichiers contenant des malwares. Les codes QR peuvent héberger diverses sources, telles que des liens, des documents et des portails de paiement, ce qui en fait un outil polyvalent pour les cybercriminels. Ces codes peuvent être manipulés pour contenir des liens malveillants, des documents chargés de virus ou de faux portails de paiement. Comme le contenu d'un code QR n'est pas visible lorsqu'il est affiché sous forme d'image, il constitue un moyen idéal pour les escrocs d'échapper aux mesures de sécurité en les intégrant dans des courriels.
Une attaque par quishing commence généralement par la création, par un cybercriminel, de codes QR qui redirigent vers une page de connexion frauduleuse pour recueillir les informations d'identification des victimes ou vers un site qui télécharge automatiquement des malwares dès qu'il est scanné. Ces codes QR malveillants peuvent être insérés dans des courriels sous forme d'images ou de pièces jointes, ou être placés dans des lieux publics où les gens sont susceptibles de les scanner. Une fois le code QR scanné, les victimes peuvent être invitées à saisir des informations sensibles telles que des données de connexion ou des informations bancaires, ou elles peuvent télécharger involontairement des logiciels ou des applications nuisibles. Dans certains cas, le téléchargement de contenus malveillants peut se faire automatiquement dès que le code est scanné, ce qui compromet encore plus l'appareil de la victime.
Comprendre le QRLJacking : Une étude de cas sur le quishing
Le QRLJacking est une forme sophistiquée de quishing qui cible spécifiquement les systèmes de Quick Response Login (QRL). Le QRL est une méthode d'authentification conviviale qui permet aux utilisateurs de se connecter à des sites web, des applications ou des services numériques en scannant un code QR avec leur smartphone. Cette méthode élimine la nécessité de se souvenir de mots de passe complexes, offrant ainsi une alternative pratique aux utilisateurs.
Cependant, cette commodité introduit également une vulnérabilité que les cybercriminels ont appris à exploiter. Dans une attaque de type QRLJacking, les pirates lancent une session sur le site web ou l'application ciblée et clonent le code QR légitime. Ils manipulent ensuite le code cloné en le redirigeant vers leur propre serveur et l'intègrent dans une fausse page de connexion qui imite l'original. Le code QR malveillant est distribué par le biais de courriels ou d'autres canaux, incitant les utilisateurs à le scanner pour se connecter.
Le danger du QRLJacking devient évident lorsque l'authentification multifactorielle n'est pas activée. Dès que la victime scanne le code QR manipulé, l'attaquant obtient un accès immédiat au compte de la victime. Un exemple notable de cette attaque s'est produit avec la banque ING, dont l'application permettait aux clients de se connecter à un deuxième appareil en scannant un code QR. Les cybercriminels ont exploité cette fonctionnalité en altérant les codes QR légitimes dans l'application. Les utilisateurs victimes de cette escroquerie ont découvert que d'importantes sommes d'argent avaient disparu de leurs comptes.
Comment détecter une attaque de quishing ?
La détection d'une attaque de quishing peut s'avérer difficile en raison de la nature inhérente des codes QR, qui dissimulent leur contenu jusqu'à ce qu'ils soient scannés. Contrairement aux attaques de phishing traditionnelles, les courriels de quishing contiennent des codes QR sous forme d'images simples ou dans des pièces jointes avec des extensions non suspectes, ce qui leur permet de contourner les détecteurs de malwares et les filtres de courrier électronique. Cela signifie qu'ils peuvent échapper à la détection et ne pas être relégués dans le dossier spam, laissant les individus vulnérables aux tactiques d'ingénierie sociale.
Pour les escrocs, l'attrait des codes QR réside dans leur capacité à piquer la curiosité et à exploiter des émotions telles que la peur et l'urgence. Ces déclencheurs émotionnels peuvent amener des victimes sans méfiance à scanner des codes QR malveillants destinés à des activités frauduleuses, telles que le paiement de fausses factures ou d'amendes. La commodité et la rapidité des codes QR sont exploitées pour faciliter ces escroqueries.
Pour se protéger de la fraude au code QR, il est important d'être vigilant et de rechercher certains signes avant de scanner un code QR :
- Codes QR inattendus ou non sollicités : Méfiez-vous des codes QR qui apparaissent dans des courriels ou des messages non sollicités, surtout s'ils vous invitent à agir immédiatement.
- Absence de contexte ou d'explication : Les codes QR légitimes sont généralement accompagnés d'une explication claire de leur objectif. Méfiez-vous des codes qui manquent de contexte ou d'une source crédible.
- Expéditeur suspect : Vérifiez que l'adresse électronique ou les coordonnées de l'expéditeur ne présentent pas de signes d'illégitimité, tels que des fautes d'orthographe ou des noms de domaine inhabituels.
- Urgence ou pression : les escrocs créent souvent un sentiment d'urgence pour vous inciter à agir rapidement. Soyez sceptique à l'égard des messages qui vous incitent à scanner immédiatement un code QR.
- Vérifiez la source : Si possible, vérifiez la légitimité du code QR en contactant l'expéditeur supposé par les voies officielles.
- Utilisez un scanner de code QR sécurisé : Certaines applications de scanner de code QR offrent des fonctions de sécurité qui vérifient la sécurité du lien avant de l'ouvrir. Envisagez d'utiliser une telle application pour ajouter une couche de protection supplémentaire.
En étant conscient de ces signes et en faisant preuve de prudence, vous pouvez réduire le risque d'être victime d'une attaque par hameçonnage et protéger vos informations sensibles.
Voici comment vous pouvez vous protéger contre le quishing
Pour se prémunir contre les attaques de quishing, il est important de combiner les stratégies générales de prévention du phishing avec des mesures spécifiquement adaptées aux défis uniques posés par les codes QR :
- Vérifiez la source du code QR : Soyez prudent lorsque vous scannez des codes QR, en particulier ceux qui proviennent de sources inconnues ou qui promettent des offres trop belles pour être vraies. Si le code provient d'une source apparemment officielle, d'un ami ou d'un collègue, vérifiez son authenticité directement auprès d'eux ou visitez leur site web officiel.
- Utilisez un lecteur de code QR fiable : La plupart des smartphones sont dotés de fonctions intégrées de lecture de codes QR, mais si vous optez pour une application tierce, assurez-vous qu'elle est digne de confiance. Méfiez-vous des mises à jour frauduleuses d'applications de lecture de codes QR, car elles sont connues pour distribuer des malwares dans le passé.
- Prévisualisez l'URL de destination : Si votre application de numérisation le permet, prévisualisez le lien vers lequel le code QR vous dirige avant d'y accéder. Cette précaution permet de se protéger contre les codes QR qui téléchargent automatiquement des malwares lors de la numérisation.
- Soyez prudent avec les informations personnelles : Après avoir scanné un code QR, soyez vigilant lorsque vous êtes invité à saisir des informations personnelles sur une page liée. Vérifiez le logo et l'URL complète du site et, si possible, tapez manuellement l'URL originale dans votre navigateur au lieu d'utiliser le lien fourni par le code QR.
- Activez l'authentification à deux facteurs : L'ajout de cette couche de sécurité supplémentaire peut empêcher l'accès non autorisé à vos comptes, même si un cybercriminel obtient vos informations d'identification. Soyez prudent lorsque vous acceptez des notifications d'authentification sur votre téléphone, à moins que vous n'ayez initié une tentative d'accès à votre compte.
- Restez informé grâce à une formation de sensibilisation à la sécurité : Une mise à jour régulière de vos connaissances sur les tactiques des cybercriminels et sur la manière de répondre aux attaques potentielles peut vous permettre de garder une longueur d'avance sur les menaces.
En suivant ces recommandations, vous pouvez améliorer votre défense contre les attaques par hameçonnage et protéger vos informations sensibles pour qu'elles ne tombent pas entre de mauvaises mains.
Articles connexes :
Qu'est-ce que l'ingénierie sociale ?
Qu'est-ce que l'empreinte numérique ?