Ignorer le contenu principal

Qu'est-ce que Quishing ? Comment vous protéger du phishing par code QR

Une femme scanne un code QR avec son téléphone portable

À l'ère des codes QR, les cybercriminels utilisent un stratagème appelé « quishing » pour tromper les individus et les diriger vers des sites Internet malveillants. Lisez la suite pour en savoir plus sur cette supercherie, les différentes formes d'hameçonnage par code QR et comment vous protéger contre de telles attaques.

Qu'est-ce que Quishing ?

Le quishing est un type de cyberattaque qui implique l'utilisation de codes QR dans le but d'inciter les utilisateurs à visiter des sites Internet malveillants ou à divulguer des informations sensibles. Cette attaque exploite la confiance et la commodité associées aux codes QR pour tromper les victimes. Quishing peut également être connu sous le nom de phishing par code QR, usurpation de code QR ou QRishing.

Comment fonctionnent les attaques de phishing par code QR ?

Une attaque par quishing ou par phishing par code QR se déroule en cinq étapes clés :

  1. Diffusion : les individus malintentionnés créent des codes QR frauduleux et les diffusent par divers moyens, par exemple en les imprimant sur des dépliants, des affiches ou des étiquettes, ou en les partageant numériquement par e-mails, SMS ou sur les réseaux sociaux.
  2. Tromperie : les codes QR frauduleux sont généralement conçus pour paraître légitimes et peuvent promettre des offres alléchantes, des remises ou des services pour attirer les victimes potentielles.
  3. Numérisation : la victime découvre le code QR et utilise son appareil mobile doté d'une application de lecture de code QR pour le numériser.
  4. Redirection : Après la lecture du code QR, l'appareil de la victime est redirigé vers un site Internet malveillant, sous le contrôle de l'attaquant. Ce site Internet imite généralement un site de confiance ou connu.
  5. Vol de données : le faux site Internet peut inciter la victime à saisir des informations sensibles, telles que des identifiants de connexion, des données personnelles ou des informations financières, en se faisant passer pour une source légitime demandant les informations fournies.

Types d'attaques quishing

Les attaques de phishing QR ou QRishing peuvent prendre différentes formes et les attaquants utilisent différentes tactiques pour tromper leurs victimes. Voici quelques exemples :

  1. Fausses remises sur les produits : les attaquants distribuent des codes QR promettant des remises substantielles sur des produits ou services populaires. Une fois scanné, le code QR redirige l'utilisateur vers un faux site Internet où il est invité à fournir ses informations personnelles et ses données de paiement. La remise promise ne se réalise jamais.
  2. Billets falsifiés pour des événements : les escrocs créent des codes QR pour des événements qui n'existent pas ou pour des billets qu'ils ne possèdent pas. Des victimes sans méfiance scannent le code en croyant acheter des billets, mais perd de l'argent et leurs données personnelles sont dérobées.
  3. Offres d'emploi frauduleuses : les individus malintentionnés peuvent envoyer de fausses offres d'emploi par e-mail ou sur les réseaux sociaux avec le code QR pour la candidature. Une fois analysé, le code dirige l'utilisateur vers une page de phishing lui demandant des informations personnelles et financières.
  4. Escroqueries bancaires et financières : les individus malintentionnés peuvent envoyer des codes QR qui semblent provenir de la banque d'un utilisateur, prétendant être reliés aux informations importantes du compte. En scannant le code, l'utilisateur est redirigé vers un faux site Internet bancaire conçu pour voler les identifiants de connexion et les informations financières.
  5. Arnaques aux crypto-monnaies : les escrocs créent des codes QR trompeurs et les distribuent par différents canaux, tels que les e-mails, les réseaux sociaux ou même les autocollants. Des victimes sans méfiance scannent ces codes, croyant lancer des transactions légitimes de crypto-monnaie , mais en réalité, elles finissent par envoyer de l'argent dans le portefeuille de l'escroc.
  6. Escroqueries aux dons caritatifs : des escrocs diffusent des codes QR prétendant être destinés aux dons caritatifs. Une fois scanné, le code dirige l'utilisateur vers une page de don frauduleux qui enregistre les données de paiement.
  7. Escroqueries à la livraison de colis : les escrocs envoient des codes QR dans les e-mails ou les SMS prétendant être les informations de suivi pour la livraison d'un colis. Lorsque le destinataire analyse le code, il est redirigé vers un faux site Internet à la recherche d'informations personnelles ou qui propose un programme malveillant .
  8. Escroqueries liées au COVID-19 : pendant la pandémie de COVID-19, les escrocs utilisaient les codes QR dans le cadre d'attaques de phishing. Ils ont envoyé des codes QR dans des e-mails ou des messages, prétendant être un lien vers des informations sur les vaccins contre le COVID-19 ou les consignes de sécurité. L'analyse du code QR a conduit des sites Internet frauduleux à la recherche d'informations personnelles ou à la propagation de logiciels malveillants.
  9. Escroqueries dans les restaurants et les menus : après l'augmentation de l'utilisation des codes QR pendant et après la pandémie de COVID-19, des pirates ont diffusé des codes QR sur de faux menus de restaurants. Une fois analysés, ces codes redirigeaient vers des sites Internet malveillants qui tentaient d'installer un logiciel malveillant ou de voler des informations personnelles.

Ce ne sont là que quelques exemples d'attaques de phishing QR. Les codes QR sont des outils pratiques, mais les cybercriminels peuvent s'en servir pour amener des individus à révéler des informations sensibles ou à être victimes de diverses escroqueries. Il est essentiel d'être prudent lors de la lecture de codes QR, en particulier ceux provenant de sources non vérifiées ou non sollicitées, et de vérifier leur légitimité avant d'entreprendre toute action.

Des exemples concrets d'escroqueries au quishing

L'attaque chinoise quishing visait des comptes bancaires

En 2022, une campagne d'hameçonnage QR a vu le jour en Chine, où des escrocs se sont fait passer pour le ministère chinois des Finances . Ils ont envoyé des emails trompeurs, faisant croire aux utilisateurs qu'ils pouvaient demander une nouvelle subvention gouvernementale. La ruse consistait à inviter les utilisateurs à scanner un code QR intégré dans une pièce jointe à l'aide d'une application de messagerie et de paiement mobile comme WeChat. Les pirates informatiques optent souvent pour des codes QR car ils sont difficiles à détecter à travers des mesures techniques de sécurité. De plus, les appareils mobiles, qui sont généralement utilisés pour de telles actions, peuvent être moins sécurisés que les ordinateurs. Une fois le code scanné, les utilisateurs étaient dirigés vers une page Internet où ils étaient invités à fournir des informations détaillées sur leur carte de crédit et leur compte bancaire.

Escroqueries dans les bornes payantes et escroqueries aux contraventions aux États-Unis

Au Texas , des cybercriminels ont apposé des autocollants à code QR contrefaits sur des bornes payantes, laissant penser aux conducteurs qu'ils pouvaient les utiliser pour payer le stationnement. En scannant ces codes, les conducteurs ont été dirigés vers un site Internet frauduleux où ils ont saisi les informations de leur carte de crédit, ce qui a permis de divulguer par inadvertance leurs données confidentielles à des individus malintentionnés. Un incident similaire s'est produit en février 2022 à Atlanta, lorsque des conducteurs ont découvert de faux tickets de stationnement comportant des codes QR sur leur véhicule, soi-disant pour le paiement d'une amende. Après la découverte du problème, les autorités locales ont averti qu'Atlanta n'employait pas de codes QR sur leurs contraventions.

Qu'est-ce que le QRLJacking ?

Un concept lié à quishing est celui de QRLJacking. La connexion à réponse rapide (QRL) est une méthode d'authentification qui utilise des codes QR pour se connecter à des sites Internet, des applications ou des services numériques. Les utilisateurs scannent le code QR sur l'écran de connexion avec leur smartphone, ce qui donne l'accès direct ou lance l'authentification secondaire pour les configurations multifacteur.

Cependant, les pirates peuvent exploiter QRL comme suit :

  • Il lance une session QR côté client sur l'application ou le site Internet cible.
  • Il clone le code QR légitime et le redirige vers son serveur.
  • Ils ont intégré ce QR manipulé dans une fausse page de connexion ressemblant à l'original.
  • Le lien de la fausse page de connexion est diffusé par e-mail ou par d'autres canaux, invitant l'utilisateur à cliquer sur le code QR et à le scanner.
  • Si l'authentification multifacteur n'est pas active, le scan du code QR accorde l'accès à l'attaquant.

Une femme scanne un code QR

Signes des attaques quishing : à quoi faire attention

Le phishing QR contourne souvent les détecteurs de programmes malveillants et les filtres de messagerie, car il masque les codes QR dans les e-mails ou les pièces jointes avec des extensions non suspectes. Cette obscurité, associée à la manipulation des émotions ou à l'ingénierie sociale , incite les victimes à scanner des codes QR malveillants à des fins frauduleuses. Faites attention aux signes suivants d'hameçonnage QR :

  • Sources inhabituelles : soyez prudent si vous recevez des codes QR provenant de sources inattendues ou non sollicitées, en particulier dans les e-mails ou les messages d'expéditeur inconnu.
  • Discordance de domaine : Vérifiez si le code QR redirige vers un domaine ou un site Internet différent de celui qu'il prétend représenter. Cela peut être un signe de phishing.
  • Grammaire et orthographe : une grammaire et une orthographe incorrectes dans les messages ou les instructions d'accompagnement peuvent indiquer une tentative de phishing.
  • Requêtes urgentes : méfiez-vous des codes QR qui accompagnent les demandes urgentes d'action immédiate, comme les menaces ou les promesses de récompenses.
  • Plusieurs étapes d'authentification : les connexions authentiques avec un code QR impliquent généralement une analyse unique. Si vous êtes invité à fournir des informations supplémentaires ou la procédure à suivre, il s'agit d'une tentative de phishing.
  • Informations trop personnelles : les demandes d'informations hautement personnelles, telles que les numéros de sécurité sociale ou les données financières détaillées, peuvent être un signal d'alarme.
  • Autorisations inhabituelles : lorsque vous êtes invité à accorder des autorisations étendues à une application mobile après avoir scanné un code QR, faites preuve de prudence et approfondissez vos recherches.

Les tactiques de phishing QR varient, aussi la vigilance et la prudence sont de mise pour éviter d'être victime de ces escroqueries.

Comment vous protéger du quishing

Pour vous protéger contre les attaques de phishing QR, suivez ces instructions :

  1. Vérification à la source : vérifiez toujours la source d'un code QR avant de le numériser, surtout s'il provient d'un expéditeur inconnu.
  2. Soyez sceptique à l'égard des codes QR non sollicités : soyez prudent si vous rencontrez des codes QR non sollicités dans des e-mails, des SMS ou des supports matériels.
  3. Vérifier l'absence de fautes d'orthographe et de grammaire : examinez attentivement le matériel publicitaire à la recherche de fautes d'orthographe et de grammaire, qui sont courantes dans les communications frauduleuses.
  4. Examiner l'URL de destination : avant l'analyse, assurez-vous que l'URL de destination correspond à la source attendue et semble légitime, sans éléments suspects ou mal orthographiés.
  5. Inspecter la page de destination : après la numérisation, examinez attentivement le contenu et la conception de la page de destination. Les pages légitimes ont plus de chances d'apparaître de manière professionnelle et sans erreur.
  6. Méfiez-vous des demandes d'informations immédiates : soyez prudent si la page de destination demande immédiatement des informations sensibles comme vos identifiants de connexion ou vos données de paiement. Les services légitimes ne demandent généralement pas cela à l'avance.
  7. Vérifier les offres spéciales ou les remises : Vérifiez indépendamment les offres promises par les codes QR auprès du site officiel ou de l'entreprise elle-même. Si quelque chose vous semble suspect ou trop beau pour être vrai, faites confiance à votre instinct et évitez de scanner le code QR.
  8. Recherche de HTTPS : recherche la présence d'une connexion sécurisée (HTTPS) sur le site Internet redirigé. Le S signifie 'secure' et indique que le certificat de sécurité du site Internet est à jour .
  9. Utiliser l'authentification à deux facteurs (FA) : activez la FA pour vos comptes en ligne afin d'ajouter une couche de sécurité supplémentaire au cas où vos identifiants seraient compromis.
  10. Signaler une activité suspecte : signalez les soupçons d'attaques de phishing QR aux autorités compétentes, au service informatique de votre organisation ou à votre fournisseur de services de messagerie.
  11. Renseignez-vous et informez les autres : restez informé des actualités et des menaces en matière de cybersécurité afin d'identifier les risques potentiels. Partagez vos connaissances sur le phishing QR et autres menaces en ligne avec vos amis et votre famille pour améliorer collectivement la sécurité en ligne.
  12. Tenez-vous à jour : assurez-vous que le système d'exploitation et les applications de votre appareil mobile sont régulièrement mis à jour avec les derniers correctifs de sécurité afin de réduire le risque d'être victime de telles attaques.
  13. Installer un logiciel de sécurité : protégez vos appareils à l'aide d'un logiciel de sécurité à jour comme Kaspersky Premium , qui bloque les sites Internet malveillants et vous protège contre tout un ensemble de menaces en ligne. Kaspersky Premium est fourni avec un VPN illimité pour plus de confidentialité afin de protéger votre connexion Internet, et avec le Gestionnaire de mots de passe pour générer et stocker des mots de passe forts et uniques.

En suivant ces conseils et en restant vigilant, vous pouvez considérablement réduire le risque d'être victime d'attaques de phishing QR et d'autres escroqueries en ligne. Dans le monde numérique d'aujourd'hui, où l'utilisation des codes QR est généralisée, il est essentiel de donner la priorité à la sécurité en ligne.

FAQ sur les attaques par quishing et par phishing par code QR

Qu'est-ce que quishing?

Le Quishing implique des cybercriminels qui utilisent des codes QR pour diriger des individus vers de faux sites Internet, les inciter à fournir des informations personnelles ou financières, ou les amener à télécharger du contenu malveillant. Quishing peut également être connu sous le nom de phishing par code QR, usurpation de code QR ou QRishing.

Produits associés :

Articles connexes :

Qu'est-ce que Quishing ? Comment vous protéger du phishing par code QR

Découvrez-en plus sur le phishing par code QR, y compris les étapes d'une attaque quishing, les types d'escroqueries quishing, les signes de quishing et comment se protéger.
Kaspersky logo

Articles connexes