Qu’est-ce que le Quishing ?

Le Quishing, ou hameçonnage par QR code, est une cyberattaque qui exploite les codes QR pour rediriger les utilisateurs vers des sites web malveillants.

1

Au cours des dernières années, les QR codes ont connu une croissance remarquable. Ils ont été largement adoptés pendant la pandémie pour le contrôle des pass sanitaires et se sont peu à peu intégrés dans tous les aspects de notre vie quotidienne.

On les retrouve partout, que ce soit dans les pharmacies, les musées, les restaurants, sur des flyers, voire même à la télévision. En outre, les QR codes sont utilisés comme un moyen pour simplifier les transactions financières.

Lorsque le code est scanné, il peut rediriger l’utilisateur vers un site Web frauduleux pour installer des logiciels malveillants sur l’appareil du victime ou voler des informations personnelles telles que des identifiants, des numéros de carte de crédit, etc. 

Le fonctionnement du Quishing

Le Quishing repose en 3 étapes clefs :

  1. Création du QR code frauduleux.
  2. Diffusion du QR code.
  3. Attaque contre la victime.

1. Création du QR code frauduleux

  • Les pirates informatiques génèrent un QR code malveillant qui redirige vers un site web conçu pour tromper l’utilisateur.
  • Ce site web peut imiter à la perfection un site légitime, comme celui d’une banque, d’un organisme gouvernemental, d’une compagnie aérienne, ou d’un service de livraison. L’objectif est de créer un sentiment de confiance et d’inciter l’utilisateur à saisir ses informations personnelles sans hésitation.

2. Diffusion du QR code

Le QR code frauduleux peut être diffusé par divers canaux, ce qui rend la menace difficile à détecter et à contrer :

La diffusion du Quishing
La diffusion du Quishing

Faux emails et SMS

Des messages incitatifs à scanner un QR code pour obtenir une information importante, un bon de réduction, ou accéder à un service. L’urgence ou l’attractivité de l’offre peut précipiter l’utilisateur et le pousser à scanner le code sans réfléchir.

Exemples concrets
  • Un email semblant provenir d’une compagnie aérienne propose un bon de réduction pour un prochain voyage. Le QR code intégré redirige vers un site web frauduleux qui demande à l’utilisateur de saisir ses informations personnelles pour « réclamer » le bon.
  • Un SMS prétend provenir d’un organisme gouvernemental et invite à scanner un QR code pour « accéder à un service important lié à la situation sanitaire actuelle ». Le code redirige vers un site web qui vole les données personnelles de l’utilisateur.

Affiches et flyers

Les QR codes peuvent être apposés sur des supports physiques dans des lieux publics, incitant à scanner pour un contenu supplémentaire.

Exemples concrets
  • Un QR code sur une affiche dans un café promet de donner accès à la carte des menus en ligne. Le code a été piraté et redirige vers un site web qui vole les informations bancaires des clients.
  • Un QR code sur un flyer publicitaire pour un nouveau produit propose de télécharger une brochure informative. Le code redirige vers un site web qui installe un logiciel malveillant sur l’appareil de l’utilisateur.

Réseaux sociaux

Les QR codes malicieux peuvent être partagés sur Facebook, Twitter, Instagram, TikTok, ils sont souvent accompagnés de messages trompeurs ou de liens raccourcis masquant l’URL malveillante.

Exemples concrets
  • Un influenceur partage un QR code sur Instagram en prétendant qu’il donne accès à un concours exclusif. Le code redirige vers un site web qui demande à l’utilisateur de saisir ses informations personnelles pour participer.
  • Un tweet incite à scanner un QR code pour « découvrir une vidéo amusante ». Le code redirige vers un site web qui diffuse une fausse vidéo et tente de télécharger un logiciel malveillant sur l’appareil de l’utilisateur.

En plus de ces exemples, les QR codes frauduleux peuvent également être présents sur des :

  • Tickets de parking
  • Bornes de recharge pour véhicules électriques
  • Distributeurs automatiques de billets
  • Emballages de produits alimentaires
  • Invitations à des événements

3. Attaque contre l’utilisateur 

  • Une fois que l’utilisateur scanne le QR code, il est redirigé vers le site web frauduleux.
  • Ce site web peut utiliser différentes techniques pour inciter l’utilisateur à saisir ses informations personnelles :
    • Formulaires de connexion: Le site web imite la page de connexion d’un service légitime et demande à l’utilisateur de saisir ses identifiants.
    • Faux formulaires administratifs: Le site web prétend être un site officiel et demande à l’utilisateur de fournir des informations personnelles pour « vérifier son identité » ou pour « bénéficier d’un service ».
    • Téléchargement de logiciels malveillants: Le site web incite l’utilisateur à télécharger un fichier qui, une fois installé, infecte son appareil et permet aux pirates de voler ses données.

Exemple de Quishing : ING Banque

Le cas de la banque ING est considéré comme l’un des cas les plus connus de quishing. Les hackers ont réussi à détourner des QR codes d’authentification destinés aux clients de la banque ING. 

Ces codes sont habituellement utilisés par les clients pour accéder à leur compte comme une méthode sécurisée. Les escrocs ont réussi à obtenir ces QR codes et ont ainsi pu accéder aux comptes bancaires des clients, entraînant des pertes financières importantes, pouvant même atteindre des milliers d’euros.

Vincent Biret, le PDG d’Unitag, l’une des grandes plateformes de QR codes a confirmé que ce type de piratage est rare et très complexe mais cela reste néanmoins possible. 

QR Code ING banque
QR Code ING banque

Se protéger du Quishing

Il existe plusieurs moyens pour s’en protéger contre le Phishing. En effet, le Quishing peut être difficile à détecter.

Selon le lieutenant Eddy Rouf, chef du bureau de la prévention et de la protection de l’Unité nationale Cyber (UNCyber), plus de 800 procédures pénales en cours concernant des QR codes, la plupart étant qualifiées d’escroqueries. Pour cela, les cyber gendarmes mènent une campagne de prévention contre le quishing pour alerter la population sur ce nouveau risque d’arnaque.

Conseils pour se protéger contre le Quishing

Contre cette menace, nous recommandons fortement d’appliquer les règles de Vigilance, Vérification, Protection et Sensibilisation.

1. Vigilance

  • Ne jamais scanner un QR code de provenance inconnue, même si l’offre semble attractive.
  • Restez méfiants face aux QR codes présents dans des lieux publics ou sur des supports non officiels.

2. Vérification

  • Assurez-vous que l’URL du site web vers lequel vous êtes redirigé commence par « https:// » et qu’un cadenas fermé est présent dans la barre d’adresse.
  • Survolez l’URL avant de cliquer dessus. Le lien affiché peut ne pas correspondre à l’URL réelle.

3. Outils de protection

  • Utilisez un antivirus et un pare-feu pour vous protéger contre les logiciels malveillants et les attaques de phishing.
  • Installez une application de sécurité pour scanner les QR codes et détecter les codes frauduleux.

4. Sensibilisation

  • Informez votre entourage sur les dangers du quishing et sensibilisez-les sur les moyens de s’en protéger.

Évidemment, ces mesures ne sont que quelques parmi tant d’autres, le meilleur conseil est d’être vigilant. En effet, comme dit l’adage : “prudence est mère de sûreté”

Les campagnes de sensibilisation pour les entreprises

Pour les entreprises et les professionnels, il est possible de réaliser des campagnes de sensibilisation au Quishing et Phishing. 

Une campagne de sensibilisation au phishing et quishing en entreprise vise à éduquer les employés pour qu’ils reconnaissent les QR codes et emails frauduleux, empêchant la fuite d’informations et protégeant ainsi l’entreprise des cyberattaques.

More
1 Comment
  1. Anonyme says

    Merci pour les informations pertinentes!

Comment

Your email address will not be published.