Le « quishing », très populaire évolution du phishing, utilise des QR codes pour tromper les utilisateurs et accéder à leurs informations sensibles. Une vigilance accrue est de mise, pour éviter de tomber dans le piège.
La cybercriminalité continue de se réinventer à l'ère des nouvelles technologies, et les QR code, ou plutôt devrait-on dire codes QR, sont la nouvelle cible des attaquants. Le « quishing » est le terme utilisé pour décrire le phishing basé sur les codes QR. Ces codes-barres bidimensionnels contenant des données codées peuvent effectivement être utilisés comme des leurres, pour mener à des attaques de phishing. Allons davantage au fond des choses.
Le quishing, un outil qui avantage sur bien des aspects les hackers
Les QR codes offrent certains avantages aux pirates informatiques. Ils sont plus difficiles à détecter, tant par les filtres de courrier électronique que par les utilisateurs finaux. L'usage de codes QR dans des campagnes de phishing n'est pas nouveau, mais leur notoriété a augmenté pendant la pandémie, car ils permettent un accès sans contact aux produits et services.
Le phishing, c'est quoi déjà ?
Le phishing est une technique d'ingénierie sociale couramment utilisée par les attaquants pour inciter les gens à divulguer des informations sensibles ou à installer des logiciels malveillants. Le quishing, qui se sert de codes QR, est une nouvelle variation de cette menace.
Imaginez un QR code diffusé pendant le Super Bowl. Si l'entreprise à l'origine de cette publicité avait des intentions malveillantes, elle aurait pu exploiter ce code pour télécharger automatiquement un ransomware sur les téléphones des spectateurs, mettant ainsi en péril un grand nombre d'appareils.
Pourquoi les attaques de quishing sont problématiques, et ce qu'on peut faire pour lutter contre
Les QR codes sont omniprésents dans notre quotidien, définitivement popularisés à l'heure du récent pass sanitaire en période Covid, des restaurants aux transports en commun, en passant par les lieux touristiques. On les utilise toujours plus aujourd'hui dans ces mêmes lieux, pour vous faire découvrir un menu ou scanner vos billets d'entrée. Les consommateurs font naturellement confiance à ces codes, et les cybercriminels comptent justement sur cette confiance. Les smartphones sont d'ailleurs très vulnérables, car ils ne bénéficient pas des mêmes protections anti-phishing que les ordinateurs de bureau.
La plupart des attaques de quishing commencent par l'envoi d'un QR code via un e-mail. Les victimes sont incitées à scanner le code en étant avertis que leur compte sera tout simplement bloqué s'ils ne le font pas. Une fois scanné, le code QR peut compromettre l'appareil.
Que peut-on faire pour se protéger ?
La meilleure pratique consiste à ne pas scanner de QR code provenant de sources inconnues. Avant d'en scanner un, vérifiez toujours la source. Ne scannez jamais les QR codes contenus dans des courriers électroniques, car les entreprises légitimes n'utilisent pas cette méthode pour vérifier les comptes. Restez méfiant face aux QR codes rencontrés en public, car ils pourraient dissimuler des intentions malveillantes.
Soyez surtout attentif aux signaux d'alerte, tels que le sentiment d'urgence, les demandes de renseignements personnels via un site web, ou une mise en page maladroite dans les e-mails. Ces indicateurs peuvent vous aider à repérer une tentative de quishing. Il va falloir s'y faire : le quishing est une nouvelle menace face à laquelle il est bon d'être vigilant.
Source : Malwarebytes
Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)
Lire d'autres articles
