Depuis la pandémie du COVID-19, les QR codes sont couramment utilisés dans notre quotidien. Il suffit d’un scan à l’aide d’un smartphone pour avoir un accès immédiat à un site web, visualiser le menu d’un restaurant ou encore pour payer le parking. Cependant, malgré leur utilité, des cybercriminels détournent cette technologie à des fins malveillantes.
Le fonctionnement du quishing
La première étape consiste à créer un faux code QR via un générateur de QR codes. En le scannant, les utilisateurs sont dirigés vers un lien malveillant créé par les cybercriminels. Le but de ces derniers étant de leur dérober des données à caractère personnel en les redirigeant vers des sites frauduleux ou en leur faisant installer des logiciels malveillants.
La deuxième étape consiste à distribuer le QR code. Ils peuvent être apposés sur des supports physiques: affiches publicitaires, flyers ou machines. Ils peuvent également apparaître sur des supports numériques: email, réseaux sociaux, faux site web. Ce type d’arnaque vise les personnes qui sont peu méfiantes. Pour convaincre celles-ci à scanner le QR code, les cybercriminels utilisent des appâts comme les concours, les offres promotionnelles ou encore des notifications urgentes demandant des informations. Des logos officiels d’entreprises ou de services publics sont placés à côté de ces faux QR codes pour rendre les choses plus crédibles.
La troisième étape c’est le lancement de l’attaque. Ces faux sites exigent que les victimes vérifient leur identité ou accèdent à un service en complétant des formulaires.
Les intérêts derrière cette arnaque
Les données collectées par ces cybercriminels vont servir à à usurper les identités de leurs victimes en vue de réaliser des actions illégales: transactions financières non autorisées, vente sur le dark web…
De plus, lorsqu’un logiciel malveillant est activé, l’attaquant peut espionner l’utilisateur ou avoir le contrôle sur l’appareil.
Exemples de quishing
La banque ING a été victime de quishing. Les hackers ont détourné les QR codes d’authentification destinés aux clients de la banque ING. Ces faux QR codes ont permis aux hackers de récupérer les identifiants d’accès aux comptes bancaires des clients. Des clients ont perdu des sommes d’argent atteignant jusqu’à des milliers d’euros.
Plusieurs villes françaises comme Nice et Marseille ont constaté cette arnaque aux faux QR codes sur les horodateurs. Ces faux qr codes ont été placés sur des horodateurs dans des zones de stationnement très fréquentées. En scannant ces codes, les usagers sont renvoyés vers une page identique à l’application de paiement du stationnement PayByPhone. Les éléments sont reproduits à l’identique : même interface graphique, mêmes icônes et mêmes messages de confirmation. Pensant faire une transaction sécurisée, les automobilistes saisissent leurs données bancaires qui sont interceptées par les escrocs. Ils sont alors dupées car leurs données sont envoyées aux escrocs qui vont ainsi les exploiter pour accéder aux comptes bancaires.
Une menace minime mais à ne pas négliger
Selon le site cybermalveillace.gouv.fr, les QR codes malveillants se multiplient mais leur exploitation pour des cyberattaques reste encore marginale par rapport au phishing. Le détournement d’un qr code officiel est un procédé complexe car celui-ci contient de multiples encodages et différents modules difficile à déchiffrer. Le PDG de la société Unitag,Vincent Biret a déclaré que sur “ les 25 millions de QR codes générés par sa société en 2023 seuls 1 500 se sont avérés frauduleux”.
De plus, il est compliqué pour les escrocs de diffuser massivement des QR codes par voie électronique, car cela nécessite l’usage d’un second appareil pour scanner le code, ce qui limite leur portée.
La diffusion des QR codes frauduleux dans des lieux physiques reste une option plus accessible et efficace pour les cyberattaquants car les gens sont manipulables et moins méfiants.
La protection face à cette arnaque
Pour éviter de tomber dans ces pièges, l’adoption d’une bonne hygiène numérique peut faire toute la différence.
La première chose à faire c’est de vérifier la source. Il vaut mieux s’abstenir de scanner un QR code qui apparaît sur un support douteux. La plateforme Orange Cybersecure est un outil essentiel qui détecte les liens suspects et fournit des conseils pertinents pour se protéger contre les fraudes numériques.
L’utilisation d’un scanner sécurisé est un bon réflexe : des applications avec des fonctionnalités de sécurité permettent de prévisualiser le lien d’un site intégrée. Ils vont pouvoir vérifier le lien du site internet qui apparaît avant de cliquer ou de saisir des données.
Il faut également maintenir à jour la sécurité des appareils mobiles pour prévenir des attaques potentielles.
Il est recommandé de ne pas scanner des QR codes trouvés dans des lieux publics. En effet, il faut passer sa main sur le QR code et gratter pour voir si un faux code ne recouvre pas le vrai par dessus.
Pour payer sa place de stationnement, il convient de télécharger l’application à partir de sources fiables. Il ne faut surtout pas télécharger l’application PayByPhone à partir de liens non sollicités et douteux. Il faut privilégier le téléchargement via les boutiques officielles d’applications telles que l’Apple Store ou Google Play.
La prudence est de même pour les QR codes reçus par SMS ou par email. Même si le message semble venir d’une source connue, il vaut mieux s’assurer de l’authenticité de l’expéditeur et contacter les personnes en question avant de faire quoi que ce soit.
Les victimes doivent contacter la banque pour faire opposition en cas de fuite de leurs données bancaires et ils doivent porter plainte.
En résumé, le Quishing reste aujourd’hui moins courant que d’autres formes d’hameçonnage. Mais c’est justement sa discrétion qui le rend dangereux : beaucoup de gens ignorent encore les risques liés aux QR codes. Seule la cybervigilance permet de s’en prémunir et d’éviter de tomber dans les pièges.
Sources
image crée par ChatGPT
https://particuliers.sg.fr/securite/quishing
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/quishing-hameconnage-qr-code
https://www.quechoisir.org/actualite-arnaque-mefiez-vous-des-qr-codes-n113198/
https://blog.httpcs.com/quishing/
