Le quishing, également connu sous le nom de hameçonnage par code QR, représente une technique de hameçonnage qui utilise des codes QR pour tromper des victimes potentielles. Tout comme d’autres types d’attaques de hameçonnage, le but est de voler des informations sensibles, d’installer des logiciels malveillants sur votre appareil ou de vous faire visiter un site web.
Les individus malveillants se fient à la popularité croissante des codes QR, en particulier pendant la pandémie, lorsque les gens ont pris l’habitude de les utiliser.
Comment fonctionne le Quishing ?
Tout d’abord, les pirates planifient une attaque de quishing en créant un code QR qui semble innocent. Il existe de nombreux outils en ligne pour créer un code QR, et nous pouvons même en créer un directement depuis notre téléphone Android ou iOS.
Les codes QR peuvent nous rediriger vers de faux portails de paiement, des liens malveillants ou des documents infectés par des virus. Les pirates placent des codes QR malveillants dans des endroits où les victimes sont susceptibles de les scanner pour atteindre leurs objectifs.
Ainsi, les codes QR placés sur des affiches, des dépliants et de fausses publicités dans des lieux publics peuvent dissimuler une attaque d’ hameçonnage. Cela inclut les restaurants, les centres commerciaux, les parcs et les aéroports.
Comment le Quishing peut-il nous affecter?
Parce que les pirates utilisent des codes QR, nous pourrions ne pas réaliser que nous avons été victime d’une attaque de quishing avant qu’il ne soit trop tard. Il est donc important de savoir comment le quishing peut nous affecter.
🪝Être redirigé vers un site de hameçonnage
Le code QR scanné pourrait nous envoyer vers un site web conçu pour imiter de près le contenu que nous pourrions attendre. De cette manière, les pirates nous convainquent de fournir des informations privées telles que notre numéro de téléphone, notre adresse e-mail ou notre numéro de carte de crédit.
💣 Risque d’attaque de logiciel malveillant
Les codes QR peuvent également héberger des logiciels malveillants, des rançongiciels ou même des chevaux de Troie. Ce logiciel peut être configuré pour se télécharger et s’installer automatiquement sur notre appareil dès que nous scannons le code QR. Les pirates peuvent ainsi installer de nouveaux logiciels sur notre appareil, voler des informations privées ou suivre nos activités.
📱 Risque de prise de contrôle de nos comptes de réseaux sociaux
En plus d’installer des logiciels malveillants sur notre appareil, le scan d’un code QR peut nous faire perdre le contrôle de nos comptes de réseaux sociaux. Par exemple, le scan d’un code QR pourrait installer un logiciel qui enverra des e-mails depuis notre compte ou enverra des messages à des personnes sur des plateformes de réseaux sociaux comme Instagram, WhatsApp, etc.
Comment prévenir les attaques de Quishing ?
Ne jamais scanner de QR codes pourrait être une solution excessive. Cependant, il existe quelques moyens de nous protéger contre le quishing.
🔗 Prévisualiser l’URL
Avant d’accéder à la destination d’un QR code, notre appareil prévisualisera le lien. Si l’URL a été raccourcie et que nous ne pouvons pas savoir quelle est la destination, il vaut mieux s’en éloigner. De plus, nous pouvons vérifier que le site dispose bien d’un protocole de sécurité adéquat (HTTPS).
🔒 Vérifier la destination du code QR
Avant d’accéder à un site avec un QR code, il est pertinent de vérifier l’URL de destination et vérifier si nous remarquons des mots mal orthographiés, un usage incorrect de la langue ou des images de basse résolution. Dans quels cas, il y a de fortes chances qu’il s’agisse d’un site de hameçonnage.
De plus, si le contenu du site crée un sentiment d’urgence ou exige une action immédiate, il est préférable de quitter le site.
📷 Utiliser le scanner QR intégré à notre smartphone
Lorsque nous sommes pressés, nous risquons de télécharger une application tierce pour scanner un code QR ou chercher un scanner en ligne.
Cependant, ces outils pourraient être développés et utilisés par des pirates pour mener une attaque de quishing. Pour éviter cela, nous pouvons simplement utiliser le scanner QR intégré à notre smartphone depuis l’application photo.
📄 ARTICLE EN LIEN : Seriez-vous piégé avec une attaque par hameçonnage (phishing) ?
Pour conclure…
Tout comme d’autres attaques de hameçonnage, le quishing représente une menace sérieuse pour les particuliers et les entreprises.
Si vous êtes victime d’une attaque de quishing, il pourrait vous falloir des jours, voire des semaines, pour vous en rendre compte. C’est pourquoi vous devriez réfléchir à deux fois avant de scanner un code QR provenant d’une source non vérifiée.
Portez-vous bien, soyez prudent et à bientôt ! 🙂