Vous connaissez probablement les petits codes carrés noirs et blancs que vous scannez, connus sous le nom de codes QR. Ces graphiques pratiques sont largement utilisés, car ils vous permettent d’obtenir rapidement des informations supplémentaires sur votre smartphone et de vous connecter à des comptes d’utilisateur. Mais comme c’est souvent le cas, des dangers se cachent aussi derrière ces petits carrés. En effet, les cybercriminels utilisent de plus en plus le quishing pour escroquer avec des codes QR. Lisez la suite pour savoir ce qu’est le quishing, comment l’escroquerie fonctionne et quelles sont les conséquences d’une attaque réussie. Découvrez également comment vous pouvez surfer en toute sécurité et protéger votre confidentialité grâce à la protection intégrée contre le phishing d’Avira Free Security.
Votre guide d’initiation aux codes QR
QR est l’abréviation de « quick response » (réponse rapide) : ces petits codes 2D contiennent beaucoup d’informations dans un espace très réduit. Vous les voyez souvent sur les prospectus et les affiches, mais les codes QR sont également de plus en plus utilisés comme moyen de vérification sur les billets d’avion et de concert.
L’accent est mis sur le confort de l’utilisateur. Sans grand effort, vous recevez des informations clés ou êtes dirigé directement vers une page web spécifique. Tout ce dont vous avez besoin, c’est d’un smartphone équipé d’un appareil photo. Mais la commodité facilite aussi la tâche des cybercriminels. Par exemple, les pirates peuvent cacher un lien malveillant ou un ransomware derrière un code QR d’apparence innocente . Cette forme de phishing (hameçonnage) utilisant des codes QR est connue dans les milieux professionnels sous le nom de quishing.
Qu’est-ce que le quishing ?
Le quishing est une menace de sécurité sur Internet, par laquelle les cybercriminels visent à obtenir des données personnelles et confidentielles, ainsi que des données financières. Les données volées sont ensuite utilisées pour d’autres activités criminelles, des escroqueries et des usurpations d’identité.
Le quishing ressemble à une tentative de phishing traditionnelle. Dans le cas du phishing, les victimes potentielles reçoivent un e-mail ou un texte contenant un lien vers un site web malveillant. Le ransomware peut également être installé sur leur ordinateur par le biais d’une pièce jointe. Avec le quishing, le transfert n’est pas effectué à l’aide d’un lien textuel traditionnel, mais via un code QR.
Le danger : comme le lien est caché derrière une image et n’apparaît pas dans le texte, le quishing est plus difficile à détecter en tant que menace. Même les systèmes de sécurité de messagerie ne déclenchent que rarement un signal d’alarme, car ils identifient le code QR comme une image inoffensive.
Comment fonctionne le quishing ?
Les criminels créent leur propre code QR qui dirige les victimes potentielles vers un site web malveillant. Ces codes QR sont utilisés hors ligne et en ligne pour tromper les victimes en utilisant des techniques d’ingénierie sociale. Qu’il s’agisse de prospectus traditionnels, d’affiches, ou via les réseaux sociaux et les e-mails, veillez toujours à la sécurité et soyez prudent lorsque vous scannez des codes QR.
Pour scanner le code QR avec votre smartphone, vous devez utiliser une application spéciale ou simplement votre appareil photo. Votre smartphone interprète alors le code QR et vous redirige vers l’URL cible cachée derrière le code. Votre navigateur s’ouvre et la page est chargée. C’est là que réside le danger : les liens de phishing sous forme de texte sont faciles à repérer, en particulier lorsqu’ils figurent dans un e-mail. Dans le cas du quishing, le code QR ne permet pas de savoir s’il est malveillant. De plus, vous ne pouvez pas vérifier le lien en cliquant avec le bouton droit de la souris sur l’image.
Que se passe-t-il lorsque vous scannez de faux codes QR ?
Les conséquences du quishing sont similaires à celles d’une attaque de phishing réussie. Les utilisateurs peu méfiants sont redirigés vers un faux site web ou des malwares sont installés sur leur appareil.
- Lien malveillant : grâce à cette méthode éprouvée, le code QR scanné mène à un site web qui ne semble pas suspect à première vue, puisqu’il peut être basé sur un site que vous connaissez. L’objectif est que vous vous connectiez pour alors intercepter vos données de connexion.
- Malwares : en consultant simplement le site, un logiciel malveillant est téléchargé et installé sur votre appareil. Ce logiciel peut paralyser, verrouiller ou espionner votre système. Les cybercriminels ont ainsi accès à votre ordinateur et à vos données et documents sensibles.
Comment repérer les attaques de quishing ?
Tout d’abord : il est impossible de savoir si un code QR est fiable ou malveillant. Les cases noires aléatoires sur fond blanc n’ont absolument aucune signification sans un scanner approprié. Cependant, le contexte et les facteurs environnants vous donnent quelques indices pour savoir si le code est fiable ou s’il fait partie d’une tentative de phishing par code QR.
- Dans le cadre d’un e-mail : comme dans le cas du phishing classique, vérifiez que l’e-mail ne contient pas de fautes d’orthographe ou de grammaire. L’adresse e-mail de l’expéditeur semble-t-elle authentique ? L’urgence artificielle ainsi que le chantage émotionnel et la manipulation sont également des signes de quishing et de fraude en ligne.
- Sur les affiches/dépliants : très peu de gens s’attendent à voir la fraude en ligne sur des affiches et des dépliants. Vérifiez attentivement le code QR lors des événements. Si le document a manifestement été recouvert de ruban adhésif, ne le scannez jamais. Lorsqu’il s’agit de prospectus, il est important de prêter attention à leur origine : ces documents traînent-ils dans la nature ou proviennent-ils d’une source fiable ?
Comment vous protéger contre le quishing ?
Pour résumer : qu’il s’agisse d’un lien envoyé par SMS ou d’un code QR, soyez toujours prudent, surtout si vous ne savez pas d’où il vient. N’acceptez pas le message tel quel si vous ne l’attendez pas. L’origine du message, sa structure et son contenu permettent de déterminer s’il s’agit d’une demande fiable ou de quishing.
- Vérifiez l’URL : La plupart des applications affichent l’URL derrière un code QR avant de l’ouvrir. Si elle semble suspecte ou si elle est camouflée par un service comme bit.ly, méfiez-vous. Découvrez comment vérifier la sécurité du site pour vous assurer que le site est digne de confiance.
- Vérifiez l’émetteur : qui a créé le code QR ? Connaissez-vous la personne ou l’entreprise ? Vous attendiez-vous à recevoir le code, par exemple après l’inscription à un service ?
- Gérez vos données avec précaution : soyez prudent avec vos données personnelles. Réfléchissez aux risques, car tous les sites et services n’ont pas besoin de vos informations sensibles : vérifiez donc s’il existe d’autres solutions qui ne les demandent pas.
- Évitez les téléchargements : si vous ne connaissez pas la source ou si elle vous semble suspecte, ne téléchargez jamais rien à partir du site web associé.
- Authentification supplémentaire : activez l’authentification à deux facteurs (2FA) ou l’authentification multifacteur (AMF) pour les comptes importants contenant des données sensibles. Vous êtes ainsi bien protégé si des tiers obtiennent un accès non autorisé à vos identifiants de connexion, notamment votre mot de passe.
Protégez-vous contre le quishing avec la fonction de protection contre le phishing d’Avira Free Security.
Vous ne savez pas si une image QR et le lien associé sont fiables ? Les cybercriminels parviennent de mieux en mieux à camoufler leurs escroqueries. Avec la fonction de protection contre le phishing d’Avira Free Security , vous pouvez repérer les liens malveillants en temps réel.
L’outil empêche l’ouverture de fenêtres pop-up infectées, identifie les sites web de phishing et évite le détournement de navigateur. Il détecte également les applications indésirables dans vos téléchargements et vous alerte immédiatement.
