Le quishing : qu’est-ce que c’est ?

Quishing : arnaque QR code
Le phishing, ou hameçonnage en français, est une forme de piratage de plus en plus présente dans notre quotidien. Le but du malfaiteur est de se faire passer pour un organisme que vous connaissez, de vous envoyant un email très convainquant vous invitant à rentrer vos données personnelles. Et aujourd'hui, les malfaiteurs s'attaquent à un objet de plus en plus présent dans notre quotidien : le QR code.

Partager cet article

Table des matières

De manière brève

1. Quishing : le phishing via un QR code

Le phishing traditionnel a innové en se servant du QR code pour pouvoir rediriger les utilisateurs vers des sites frauduleux ou pour vous faire installer un logiciel malveillant.

Les QR codes se multipliant un peu partout, sur la toile, pour effectuer des virements bancaires ou même encore dans des vitrines de magasins, les criminels vont également les utiliser pour essayer de vous piéger. Ils vont alors créer un QR code de toute pièce, bien souvent avec des logos de confiance, afin de vous scanniez.

Ces QR codes malveillants vont être diffusés de plusieurs manières. Le plus souvent, il sera envoyé par email, mais il peut aussi apparaître sur un site internet qui n’est pas suffisamment sécurisé. Enfin, il est également possible que ces QR codes soient même diffusés sur des flyers distribués dans des lieux publics ou collés à certains endroits.

Le QR code ne fait que vous renvoyer vers un site qui imitera au mieux un original légitime pour vous inciter à remplir les champs de données. Ils imitent fortement leur nom également mais avec de très petites variantes pour que cela soit moins visible. Ces sites seront souvent en HTTP mais, attention qu’ils peuvent également être en HTTPS, d’où l’intérêt de bien relire les noms des sites avec attention.

2. Des exemples

Récemment, vous avez peut être entendu parler de faux QR codes ayant été collés sur des bornes de recharge pour voitures électriques. L’autocollant est suffisamment bon pour que vous ne voyez pas qu’il s’agit d’un élément ajouté. Et dans ce cas, les victimes sont dirigées vers un faux site de paiement qui permettra au cybercriminel de récolter vos données bancaires.

Un autre exemple a été celui aussi pour les criminels de se faire passer pour des distributeurs de colis et courrier très connus, voir officiels de l’état. On vous fait parvenir alors un QR code accompagnant un message que votre coli est en attente de livraison et que vous devez alors intervenir pour finaliser l’opération. Le QR code servirait alors à suivre le coli ou prévoir la livraison mais la victime est redirigée vers un site web malveillant.

Un QR code est également un moyen de vous inviter à télécharger un logiciel qui pourrait être un ransomware, cryptant ainsi vos données et vous ne les récupérerez que contre rançon. Mais ces logiciels peuvent tout simplement contenir des virus pouvant corrompre vos données.

3. Comment ne pas tomber dans le piège ?

L’une des premières étapes est d’être sensibilisé à l’existence de ce type de fraude. Il faut toujours se demander si l’on est sûr de la légitimité du QR code que l’on veut scanner en fonction du contexte dans lequel on se trouve. Dans les entreprises, il est bon de former son personnel pour que ce dernier puisse détecter une éventuelle fraude, surtout pour les postes plus sensibles à subir ce type d’attaque.

La technique du Zero Trust est d’ailleurs une des meilleures armes, à savoir de partir du principe que rien n’est fiable, que cela soit interne ou externe à l’organisation. Tout doit donc être vérifié pour valider l’authenticité des identifiants pour limiter les risques d’intrusion. Cette pratique implique entre autre la mise en place de l’authentification multifactorielle et les segmentations du réseau informatique pour limiter les accès.

Outre cela, il est également nécessaire d’investir dans des types de pare-feu apte à détecter ce type de faille, ainsi que des anti-virus, anti-malwares et filtres d’email complets qui peuvent déjà limiter les potentielles attaques avant même d’arriver jusque l’utilisateur. Les outils de détection spécialisés, faisant souvent appel à l’IA, peuvent aussi aider et alerter les utilisateurs d’agissement suspect et détecter les tentatives d’intrusion grâce à son apprentissage autonome et ses capacités d’analyse des URL, du contenu des emails ou même des sites internet.

4. Récaputulatif

  • Toujours se poser la question de la légitimité du QR code à scanner.
  • Si on est redirigé vers un site : bien lire l’URL pour voir si le nom est bien orthographié et si on est bien en HTTPS
  • Ne jamais retaper ses coordonnées personnelles sur un site, même s’il est habituel. Toujours se poser la question de savoir si c’est bien normal de devoir réintroduire ces informations.
  • Toujours vérifier l’adresse email de l’expéditeur. Vous recevez un email par exemple d’Amazon mais l’adresse email de l’expéditeur ressemble à « [email protected] ». 
  • De préférence, ne jamais suivre des liens via les emails afin d’éviter au maximum le phishing et aller chercher soi-même le site sur lequel on veut se rendre.

S'inscrire à notre Newsletter

Recevez des notifications et restez informés !

Lire plus d'articles

parc informatique
Informatique

Le parc informatique : explications et conseils

Toutes les sociétés aujourd’hui en sont équipée, il n’y a pas moyen d’y couper, l’informatique est aujourd’hui indispensable au fonctionnement d’une entreprise. Il y aura au moins un appareil technologique en son sein. Et tous les appareils technologiques, qu’ils soient PC, tablette, écran, smartphone, serveurs, etc., forment ce que l’on appelle « le parc informatique ».

NIS2 : Comment se préparer à la directive européenne ?
Informatique

NIS2 : Comment se préparer à la directive européenne ?

L’union européenne et ses états membres ont adopté de nouvelles obligations en matière de cybersécurité : la directive NIS2.
Spécifique à la Belgique, la Loi NIS2, a mis à jour le cadre juridique de la loi belge en matière de cybersécurité afin que les entreprises puissent faire face aux cyberattaques de plus en plus fréquentes et complexes. Il est donc important pour elles d’y voir une opportunité pour améliorer la défense de leurs données et limiter l’impact des incidents sur le long terme.

Voulez-vous faire évoluer votre entreprise?

Choisissez une entreprise qui obtiendra des résultats et qui vous parlera avec des mots compréhensibles au lieu de vous noyer sous le vocabulaire compliqué !
TechTurn : Marketing digital et informatique à Liège