Image de Freepik
Vigilance QR Code : Évitez les Pièges

Le quishing ou l’arnaque au QR Code

Le quishing, ou « QR phishing », est une nouvelle tactique de cybercriminalité utilisant les QR codes pour tromper les utilisateurs dans le but de permettre aux pirates de s’enrichir grâce à des paiements frauduleux. Ces attaques surfent sur la présence omniprésente des QR codes dans notre environnement. C’est en combinant des tactiques trompeuses à ce vecteur de communication que les pirates incitent les utilisateurs à révéler des informations personnelles ou financières.

Ces QR codes frauduleux sont généralement placés dans le domaine public (gare, rue, borne de stationnement…) pour remplacer ou se superposer sur des QR codes authentiques, redirigeant les victimes vers des sites Web frauduleux qui vont récolter les données de paiement.

Fonctionnement

Le ressort principal des attaques de quishing est la confiance qu’ont les utilisateurs sur les éléments où sont placés ces codes malveillants. Le postulat de base d’un utilisateur est que la borne de paiement qui se présente devant lui ne présente a priori pas de danger ééd’escroquerie et que par conséquent le QR code présenté hérite de la confiance donnée a priori par la future victime à ce processus de paiement.

 

Un autre vecteur largement utilisé dans les quishings (et c’est un motif récurrent dans ce type d’attaque telle le phishing par exemple), c’est l’urgence. Les notions d’urgence ou les opportunités de bonnes affaires avec une date proche sont des moyens d’incitation efficace pour pousser une victime à scanner un QR code sans l’examiner attentivement.

Risques du quishing

Comme toutes les techniques de l’éventail de la cybercriminalité, le quishing présente un risque à ne pas négliger, pouvant entraîner comme nous l’avons vu, des pertes financières mais également de la récupération de données personnelles pour les consommateurs.

Les attaques de quishing peuvent conduire à des violations de données significatives. Un individu peut par exemple scanner un code QR, croyant qu’il s’agit d’une enquête ou d’un sondage, le code ainsi utilisé se charge ensuite de collecter les informations de connexion saisis par l’internaute imprudent.

Un autre vecteur largement utilisé dans les quishings (et c’est un motif récurrent dans ce type d’attaque telle le phishing par exemple), c’est l’urgence. Les notions d’urgence ou les opportunités de bonnes affaires avec une date proche sont des moyens d’incitation efficace pour pousser une victime à scanner un QR code sans l’examiner attentivement.

Notre conseil

Soyez vigilant : faites preuve de prudence lorsque vous utilisez des QR codes, en particulier ceux émanant de sources inconnues.

C’est un conseil d’hygiène numérique incontournable : changez fréquemment vos mots de passe et n’utilisez jamais le même mot de passe pour plusieurs comptes.

Christophe Borry

______________

Sources : Newsletter #35 Février – Crédit Agricole Pyrénées Gascogne – Service Sécurité Informatique



En bref, comment limiter toutes ces menaces ?

  • Ne partagez jamais avec quiconque vos identifiants, mots de passe ou codes à usage unique pour vous connecter à un espace sécurisé. Vous ne confiez pas votre code de carte bancaire : c’est la même logique.
  • Vous avez déjà communiqué ce type d’information : contactez votre banque et changez vos mots de passe sans délai.
  • Modifiez régulièrement (au moins tous les 6 mois) vos mots de passe. Si vous avez du mal à en retenir plusieurs, pensez à installer un gestionnaire de mots de passe : vous n’aurez plus qu’un mot de passe à retenir !
  • Assurez-vous que votre interlocuteur est bien un interlocuteur de votre banque ou de votre compagnie d’assurances. Si la personne qui vous contacte n’est pas votre conseiller habituel, n’hésitez pas à contacter votre banque ou votre compagnie d’assurances.
  • Ne répondez jamais à un courriel sollicitant vos informations personnelles et n’ouvrez pas les pièces qui y sont jointes.
  • Protégez votre ordinateur avec un antivirus et un pare-feu à jour. Installez en complément un logiciel contre les malwares bancaires (qui peut être offert par votre banque).
  • Apprenez à détecter le hameçonnage/phishing : cette technique consiste à se faire passer pour une organisation sérieuse par courriel ou par sms afin de vous soutirer des informations personnelles et confidentielles (numéros de cartes bancaires, données d’identité, contacts…) ou diffuser un virus informatique par l’intermédiaire d’une pièce jointe présente dans le courriel.
  • Méfiez-vous des offres trop alléchantes. Avant d’investir dans un placement, rapprochez-vous de votre interlocuteur dédié et consultez le site de la FSMA où est disponible la liste noire des sites frauduleux : https://www.fsma.be/fr/warnings/companies-operating-unlawfully-in-belgium
  • Si vous gagnez un lot inattendu, vérifiez auprès de la société ou de l’organisme en question l’existence de ce type d’opération.
  • N’acceptez jamais de conclure un contrat, de recevoir un virement ou d’encaisser un chèque pour le compte de quelqu’un d’autre.

Benoît Briffaut