Tout savoir sur le quishing, nouvelle mode chez les escrocs du web

Qu’est-ce que le quishing ? 

Tout d’abord le phishing : c’est une méthode de fraude en ligne où des escrocs se font passer pour des entreprises ou des institutions de confiance afin de voler des informations personnelles sensibles, comme les numéros de carte de crédit ou les mots de passe, il est donc crucial de rester vigilant face aux courriels ou aux messages suspects.

Le principe du quishing est pour les arnaqueurs de vous faire scanner un QR code qui se fait passer pour un QR code “normal” mais qui permet en réalité de vous réorienter vers des sites malveillants ou de télécharger sur vos portables des logiciels nuisibles. Généralement, le quishing permet d’accéder à des données (très) personnelles (mots de passe, données de compte en banque…) qui sont ensuite utilisées pour de l’usurpation d’identité ou des fraudes.

Pourquoi le quishing arrive-t-il en force ?

Parce qu’on fait confiance aux QR codes

Menus de restaurants, liens de site sur des affiches, liens de paiements, billets électroniques, informations sur des produits, la wifi… Et bien sûr, avant cela, même les attestations à l’époque du Covid ! Bref, les QR code ont fleuri dans plusieurs pans de notre vie quotidienne, nous nous y sommes habitués et nous leur faisons confiance. Il est vrai que la plupart du temps, ce sont de petits facilitateurs carrés. 

Parce que ce sont des images

Les QR code contournent efficacement les barrières mises en place par nos boites mail : même si elles sont de plus en plus aptes à détecter les emails frauduleux, les boites mails peinent à détecter les QR code de quishing… qui ne sont pour elles que des images ! 

Cette vulnérabilité permet aux escrocs d'utiliser des QR codes pour contourner les filtres de sécurité des emails, ce qui augmente ainsi les risques de fraude en ligne malgré les progrès des systèmes de détection.

• Vous voulez tester vos connaissances et vérifier que vous savez comment vous protéger des arnaques en ligne et par téléphone ? Nous avons créé un quiz pour que vous puissiez vérifier que vous êtes à la page !

Reconnaitre le quishing

Mieux vaut prévenir que guérir disions-nous, alors comment reconnaître ce quishing ? Il n’est pas nécessaire de cesser toute utilisation des QR codes, mais il faut être vigilant.

Si vous scannez un QR code malveillant depuis une plateforme en ligne (réseaux sociaux, mail…) ou un document imprimé (par exemple un prospectus, une fausse contravention, faux avis de passage du facteur…), il peut se passer plusieurs choses, soit : 

• Vous êtes redirigé vers un site web malveillant qui semble très réel. Il peut ressembler à un service de l’État, à une banque, un fournisseur d’accès à internet… Il vous fait ensuite une promesse trop belle pour être vraie (“vous avez gagné de l’argent, vous bénéficiez d’une réduction sur votre abonnement internet…) et vous invite à entrer des données pour en bénéficier. En remplissant le formulaire, vos données sont siphonnées.
• Ou alors un logiciel “espion” est installé sur le téléphone qui a scanné le code. C’est ce logiciel qui va aller chercher toutes les données stockées dans le téléphone et l’envoyer vers les ravisseurs.

Se protéger contre le quishing

Pas de panique, il existe des bonnes pratiques à connaître pour vous protéger du quishing.

Ne scanner que des codes de confiance

Assurez-vous que le QR code provient d'une source fiable. Regardez bien l'aperçu de l'URL qui s'affiche sur votre téléphone avant d'ouvrir le lien. Par exemple, si vous pensez que le QR code a été envoyé par votre banque, l'URL devrait correspondre exactement à celle de votre banque, et pas une autre.

Éviter les QR codes dans les emails et sur les réseaux sociaux

Ne scannez jamais de QR codes reçus par email ou via les réseaux sociaux. Il est préférable de vous connecter à vos services en visitant directement leur site web officiel sans utiliser de QR code. La même règle s'applique également aux liens.

Utiliser un lecteur de QR code sécurisé

Certains lecteurs de QR code, disponibles sous forme d'applications, offrent des protections supplémentaires en analysant les liens avant de les ouvrir.

Être vigilant dans les lieux publics

Dans les lieux publics, ne scannez que les QR codes de sources officielles, comme ceux affichés par des entreprises reconnues ou des institutions. Méfiez-vous des QR codes collés sur des affiches ou des objets de manière suspecte.

Mettre à jour régulièrement votre téléphone et vos applications

Maintenir votre téléphone et vos applications à jour est intéressant pour bénéficier des dernières protections contre les logiciels malveillants et les vulnérabilités.

Utiliser un logiciel de sécurité mobile

Installez un logiciel de sécurité sur votre téléphone pour ajouter une couche de protection contre les menaces en ligne, y compris les QR codes malveillants.

S’informer et sensibiliser

Informez-vous et informez votre entourage sur les dangers du quishing et les bonnes pratiques à suivre pour éviter de tomber dans le piège.

Comme pour les SMS douteux de la carte vitale ou des soi-disant amendes, restez vigilants et renseignez-vous, c’est le mieux que vous puissiez faire pour prévenir cette menace, sans sombrer dans la paranoïa, ces petits codes carrés restent utiles pour ne pas avoir à taper de longues adresses et cette arnaque est encore peu répandu ! Protégez-vous !