Quishing – une nouvelle version du phishing

Les codes QR sont très populaires et utilisés pour de nombreuses choses, mais les cybercriminels s’en servent pour voler des données personnelles et financières. Alors que les attaques de quishing augmentent, il est important de savoir se protéger.

De nos jours, la plupart des gens savent qu’il est important d’éviter de cliquer sur des liens provenant de numéros ou d’e-mails inconnus. Nous avons appris à être prudents lorsque nous partageons des infos personnelles ou financières, et nous connaissons aussi le phishing et le smishing. Cependant, à mesure que la cybersécurité s’améliore, les cybercriminels trouvent de nouvelles façons de nous piéger. Le quishing qui utilise des codes QR pour arnaquer les gens est l’une des menaces émergentes.

 

Qu’est-ce qu’un code QR?
Si vous avez un smartphone, vous avez probablement déjà vu un code QR. Ces grilles en noir et blanc stockent des informations, comme des liens vers des sites Web, et sont utilisées partout, sur les menus des restaurants, les billets, les publicités, etc. Les codes QR ont gagné en popularité pendant la pandémie de COVID-19, facilitant l’enregistrement des vaccinations, les paiements sans contact et la collecte d’informations sur les clients. Malheureusement, les cybercriminels utilisent désormais des codes QR pour voler des données personnelles par le biais d’arnaques appelées «quishing», souvent en les ajoutant à des e-mails.

 

Qu’est-ce que le quishing?
«Quishing» combine «code QR» et «phishing». Comme le phishing, il utilise de faux e-mails pour tromper les gens, mais au lieu d’insérer des liens, il utilise des codes QR. En scannant ces codes, on arrive sur de faux sites Web où les victimes saisissent des données personnelles ou financières, ou téléchargent des logiciels malveillants sur leur appareil. Les e-mails de quishing semblent souvent provenir d’entreprises de confiance, comme des services de livraison ou des détaillants. Étant donné que les codes QR ne sont que des images, ils sont plus difficiles à détecter pour les systèmes de sécurité de messagerie, ce qui rend ces arnaques plus efficaces.

 

Pourquoi devrais-je me soucier du quishing?
Les arnaques par quishing ont augmenté récemment. Les pirates utilisent des codes QR pour cibler les appareils mobiles dont la protection contre le phishing est souvent plus faible que sur les ordinateurs. Durant la pandémie de COVID-19, les codes QR sont devenus courants. Il est désormais plus difficile pour les gens de distinguer les vrais codes des faux. Les pirates informatiques font ressembler leurs escroqueries à de véritables e-mails, prétendant souvent provenir de services d’entreprise, comme les RH, pour inciter les employés à partager des informations sensibles.

Une attaque récente a visé une grande entreprise agricole de plus de 16 000 employés. Des escrocs ont envoyé des courriels se faisant passer pour le service des ressources humaines, prétendant partager des informations concernant la paie. Ces e-mails contenaient un code QR menant à une fausse page de connexion SharePoint conçue pour voler les identifiants des employés.

Dans une autre escroquerie, plus de 1000 faux e-mails ciblaient une société énergétique américaine, demandant aux utilisateurs de scanner des codes QR pour «sécuriser leur compte». Les codes ont conduit à de fausses pages de connexion Microsoft pour voler des identifiants, en utilisant un langage urgent du style «vous avez 72 heures pour agir» pour faire pression sur les victimes.

Comme les codes QR sont plus difficiles à détecter avec les systèmes de sécurité automatisés, la sensibilisation constitue souvent la première ligne de défense. Un seul employé victime d’une arnaque peut entraîner des dommages financiers et une atteinte à la réputation d’une entreprise.

 

Comment puis-je me protéger du quishing?

  • Vigilance requise: toujours évaluer les e-mails d’un œil critique, en particulier ceux contenant des codes QR.
  • Tout est dans les détails: regarder attentivement l’adresse e-mail de l’expéditeur. Bien que les escrocs puissent se faire passer pour des organisations légitimes, leurs adresses e-mail contiennent souvent des caractères aléatoires ou des domaines inhabituels.
  • Orthographe: les communications officielles sont généralement bien rédigées. Par conséquent, il faut faire attention aux fautes d’orthographe, à la ponctuation fantaisiste ou à un langage peu raffiné.
  • Attention à l’urgence: les escrocs créent souvent un sentiment d’urgence pour inciter les victimes à agir sans réfléchir. En cas de doute, contacter directement l’entreprise pour vérifier le message.
  • Prudence avec vos informations: si un e-mail ou un code QR demande trop d’informations personnelles, il faut le traiter comme suspect.
  • Mises à jour: mettre régulièrement à jour les appareils est l’assurance de bénéficier des dernières fonctionnalités de sécurité, réduisant ainsi le risque d’être victime d’attaques malveillantes.