• Quishing -
    le danger invisible derrière les QR codes

Les QR codes font désormais partie de la vie quotidienne - dans les restaurants, sur les affiches ou pour les logins. Les cybercriminels exploitent l'omniprésence des codes QR pour ce qu'on appelle les attaques de suppression. Il s'agit d'une forme spécifique d'hameçonnage où des QR codes frauduleux conduisent les utilisateurs à de faux sites Web ou à installer des logiciels malveillants sur leurs appareils.

Mission Security

Points clés :

A person scans a QR code on a paper document using their smartphone

Le quishing est une forme dangereuse d'hameçonnage dans laquelle les criminels utilisent des QR codes malveillants pour diffuser des logiciels malveillants ou les rediriger vers de faux sites Web.

A person holds their smartphone up to a display on a machine

Le lien incorporé dans un QR code n'est pas immédiatement visible - de nombreux utilisateurs font confiance à l'aperçu affiché après la numérisation et l'ouvrent sans vérifier complètement le lien.

A person scans a QR code on a table at a restaurant

En vérifiant soigneusement l'URL complète, en évitant les codes suspects et en gardant le logiciel à jour, vous pouvez réduire considérablement le risque de devenir victime d'attaques de suppression réussies.

Comment le hameçonnage par QR code fonctionne-t-il ?

Le quishing est basé sur le fait que le contenu d'un QR code - généralement une adresse Internet - n'est pas directement visible. Les criminels placent ces QR codes numériquement (par exemple dans des courriels) ou physiquement sur des autocollants, des affiches et des objets du quotidien. L'analyse de ces codes sans précaution peut conduire à de faux sites Web ou télécharger des logiciels malveillants sans que l'utilisateur s'en rende compte.

Pourquoi le hameçonnage par QR code est-il si dangereux ?

Le quishing cible les habitudes humaines et les vulnérabilités techniques. Voici pourquoi cette arnaque est particulièrement insidieuse :

icon

Confiance présumée lors de la numérisation :

les QR codes sont souvent numérisés sans questionner la source ou la destination - une habitude risquée.

icon

Contourner les filtres de sécurité :

Alors que les liens d'hameçonnage traditionnels dans les e-mails sont souvent détectés par les filtres anti-spam, les codes QR intégrés dans les e-mails sont généralement interprétés comme des images inoffensives.

icon

Menace invisible :

le QR code contient une adresse Internet qui n'est pas visible à l'œil humain. S'il est ouvert automatiquement ou sans inspection appropriée, il peut conduire à une infection immédiate de logiciels malveillants.

icon

Ouverture automatique des liens :

Certaines applications d'appareil photo ou de scanneur QR ouvrent automatiquement des liens intégrés, ce qui facilite l'installation de logiciels malveillants inaperçus.

icon

Utilisation répandue :

les codes QR malveillants apparaissent non seulement dans les courriels et les lettres frauduleux, mais aussi sur les parcmètres, les bornes de recharge, les emballages, les dépliants et les faux billets de tombola.

Comment identifier les codes QR frauduleux

De nombreuses attaques de suppression peuvent être détectées tôt avec attention et prudence. Attention :

  • Placement important ou inhabituel : les criminels placent des codes QR là où ils attirent l'attention, comme sur les codes légitimes sur les bornes de recharge ou sur les fausses contraventions de stationnement. Recherchez des signes d’altération tels que des marques adhésives.
  • URL raccourcies ou masquées : les scanneurs modernes affichent souvent uniquement une version raccourcie du lien. Vérifiez s'il y a une option pour afficher l'adresse Internet complète pour vérifier la destination.
  • Demandes de saisie de données : Si le balayage d'un QR code entraîne une demande d'informations de connexion ou de paiement, soyez en alerte. Les fournisseurs légitimes ne demandent jamais de telles données sans authentification préalable.

Mesures de protection contre l'hameçonnage par QR code

La protection contre le quishing ne nécessite pas d’étapes complexes, mais seulement de la sensibilisation et de la responsabilité numérique :

  • Numérisez uniquement les codes QR fiables : ne numérisez que les codes provenant de sources clairement fiables, telles que des applications officielles, des documents imprimés de marques connues ou des sites Web d'entreprise.
  • Utiliser des applications de numérisation sécurisées : Utilisez l'application de caméra native de votre appareil et familiarisez-vous avec ses fonctionnalités de numérisation QR. Les applications tierces gratuites peuvent présenter des failles de sécurité.
  • Ne jamais partager de données sensibles : le QR code ne doit jamais être le point d'entrée pour le partage des identifiants de connexion, des coordonnées bancaires ou des informations personnelles. Utilisez plutôt des sites Web ou des applications officiels ou contactez l'expéditeur par une adresse ou un numéro de téléphone connu.
  • Gardez votre système d'exploitation de smartphone à jour : Des mises à jour régulières du système d'exploitation comblent les lacunes de sécurité connues et offrent une meilleure protection contre les nouvelles méthodes d'attaque comme la suppression.

Que faire si vous suspectez une attaque

Agissez rapidement si vous pensez avoir été redirigé vers un faux site ou si un logiciel malveillant a été installé :

  • Exécuter une analyse antivirus : Utilisez un logiciel de sécurité à jour pour vérifier si votre appareil est menacé.
  • Changer de mot de passe : Mettez immédiatement à jour vos informations d'identification si vous pensez qu'elles ont été compromises, surtout si elles ont été saisies sur un site suspect.
  • Signaler aux autorités : Aviser la police ou une agence de protection des consommateurs de codes QR ou de sites Web suspects pour aider à protéger les autres.

Conclusion - empêcher le quishing (hameçonnage par QR code)

Le quishing est une forme sophistiquée d'hameçonnage qui utilise des QR codes malveillants pour rediriger les utilisateurs vers de faux sites Web ou installer des logiciels malveillants. Ces attaques sont particulièrement dangereuses car elles sont faciles à exécuter et beaucoup de gens font confiance aux QR codes. Mais avec de la vigilance, une certaine connaissance du contexte et une volonté de remettre en question les invites suspectes, vous pouvez vous protéger efficacement.

Foire aux questions sur l'hameçonnage par QR code

Show content of Comment les criminels créent-ils de faux QR codes ?

Les cybercriminels génèrent généralement eux-mêmes des QR codes en utilisant des outils en ligne gratuits. Ils les placent dans des courriels, sur des autocollants, des affiches ou de faux sites Web - souvent déguisés en offres ou demandes légitimes, même de la part des autorités.

Show content of Comment puis-je reconnaître un QR code malveillant ?

Vérifiez si un QR code légitime a été couvert par un autre, en particulier sur les bornes de recharge ou les parcmètres. Soyez prudent avec les contraventions de stationnement ou les lettres d'entreprises bien connues qui incluent des QR codes - ils pourraient être des escroqueries. Si le lien est vague ou anormalement court et demande des données sensibles, ne l'analysez pas.

Show content of Pourquoi la suppression est-elle particulièrement dangereuse ?

Parce que le lien dans un QR code n'est pas visible avant la numérisation. Même en cliquant sur l'aperçu, vous pouvez déclencher une attaque de malware sans vous en apercevoir. Les applications de scanneur qui ouvrent automatiquement des liens sont particulièrement risquées.

Continuez à explorer d’autres sujets tels que…

Close-up of an inbox with spam and phishing emails

Hameçonnage (phishing) Hameçonnage (phishing)

Two people shake hands while one person crosses their fingers behind their back

Ingénierie sociale Ingénierie sociale

Woman with a shocked expression on her face clutches her heart with her hand while holding a phone to her ear.

Vishing Vishing