Actus : le Quishing, la nouvelle façon de vous arnaquer par QR Code
Non, le « quishing » n'est pas une manière inédite de faire des quiches maison. C'est une nouvelle technique utilisée par les escrocs pour vous voler vos données personnelles.
Nous vous expliquons en quoi consiste cette nouvelle pratique frauduleuse et comment apprendre à la repérer, pour éviter de se faire dérober des données sensibles.
Quishing : l'utilisation des QR Code pour le phishing
Le terme Quishing a été inventé il y a quelques mois, il fait référence à une toute nouvelle technique de piratage utilisée par les personnes mal intentionnées pour vous voler vos données personnelles.
C'est en fait la contraction de deux termes : « QR Code » et « phishing » (récupérer des informations personnelles par la tromperie) et c'est le nouveau moyen qu'on trouvés les pirates pour vous hameçonner.
Vous devez connaître puisqu'ils sont en train de s'imposer, les QR Code permettent d'accéder à des sites internet. Vous le scannez et cliquez sur le lien qu'ils contient pour être redirigé vers un site, ou une page spécifique d'un site internet.
Ça peut être un support technique, une carte de restaurant, une page d'informations sur une marque ou un produit, un service de réservations, des offres promotionnelles, une page de paiements, etc...
Mais ils peuvent aussi servir à des personnes mal intentionnées pour vous rediriger vers des sites malveillants, exactement comme quand vous cliquez sur le lien d'un mail ou d'un SMS.
attention aux QR Code dans l'espace public (crédit image : pixabay)
Si la technique évolue en utilisant un QR Code, la pratique elle reste exactement la même, c'est juste un moyen supplémentaire de vous faire cliquer sur un lien que vous n'auriez pas dû ouvrir.
Le problème c'est que le QR Code peut facilement s'imprimer sur des autocollants, que les personnes mal intentionnées peuvent coller un peu partout : du mobilier urbain, des automates, des façades de magasins, des affiches, etc...
Sans aucune informations avant de l'avoir scanné et d'accéder au site malveillant, vous pouvez donc facilement vous faire duper en pensant accéder à un moyen de paiement ou des informations locales par exemple.
Sauf que vous arrivez sur un site malveillant qui va vous demander de rentrer des informations personnelles et parfois bancaires, que vont pouvoir facilement récupérer les pirates. Ou pire encore, télécharger un logiciel malveillant à votre insu.
Apprendre à repérer le « quishing » pour s'en protéger
Cette nouvelle technique est donc particulièrement dangereuse, car dans l'espace public vous n'avez aucun filtre qui vous protège. Bien positionnés sur des automates et terminaux de paiement, ces QR Codes malveillants peuvent être votre pire cauchemar.
Bien entendu, les services publics devront être formés et réactifs pour retirer au plus vite les éventuels QR Codes malveillants pouvant être apposés sur du mobilier ou des automates urbains.
Il en est de même pour les banques, les commerçants, les gares et aéroports, etc... Car vous l'avez compris le danger vient qu'ils peuvent être apposés partout dans l'espace public et même si ils sont retirés le lendemain, le risque est bien réel.
C'est donc une menace dont nous devons toutes et tous apprendre à nous protéger, même si elle n'est pas encore très répandue. Si nous avons axé l'article sur ceux qui peuvent se trouver dans l'espace public, ils peuvent bien entendu aussi être envoyés par mail ou SMS.
La différence avec les mails ou SMS qui peuvent vous faire croire que vous avez une amende à payer d'urgence, devez récupérer un colis, avez droit à un remboursement des impôts, etc... C'est qu'ils vous envoient vers de faux sites de ces même entreprises ou administrations.
Il faut donc que les pirates créent de faux sites adaptés aux QR Codes qu'ils apposent à grande échelle dans l'espace public.
Mais ils peuvent aussi permettre aux pirates de télécharger un fichier malveillant sur votre smartphone (virus, logiciel espion). Là par contre il n'est pas nécessaire de créer un faux site de paiement ou d'informations, si vous cliquez sur le lien vous êtes piégés.
le fonctionnement du Quishing - crédit image : UFC Que Choisir
Néanmoins, mieux vaut savoir que ça peut arriver et être vigilant(e), vérifier si le QR Code est bien intégré à l'affichage ou sur le mobilier urbain.
Ou au contraire si il semble avoir été collé sur la machine dans un second temps sans signes distincts le rattachant à la marque ou le service. En cas de doute, prenez le temps de vous renseigner auprès du personnel si il y en a à proximité.
Ou sur le site internet de l'entreprise pour voir si ils proposent bien des systèmes de QR Code pour donner des informations ou le paiement avant de le scanner.
Mieux vaudra d'ailleurs faire vos opérations directement sur le site internet, pour accéder aux informations ou au paiement que de prendre le risque de scanner un QR Code suspect.
Pour plus d'informations, vous pouvez lire l'article de l'UFC Que Choisir, malheureusement les services publics n'ont pas encore écrit de notes ou de guides pour nous aider à s'en protéger.
Espérons qu'ils aient été alertés et qu'ils se saisissent rapidement du sujet, car le risque est grand de voir rapidement pulluler les QR Codes malveillants un peu partout, ou du moins dans les grandes villes et leurs lieux les plus fréquentés.
/file%2F0991136%2F20240417%2Fob_3a5e94_cheapflation-foodwatch.webp)
/file%2F0991136%2F20240416%2Fob_cf04a4_revue-septembre-2024.webp)
/file%2F0991136%2F20240324%2Fob_5b8e47_voitures-occasion.webp)
/file%2F0991136%2F20240326%2Fob_048908_testeur-jeux-video.webp)