Attention aux arnaques aux codes QR : des techniques sophistiquées et comment les éviter

Les codes QR (codes à réponse rapide) sont omniprésents de nos jours, des menus de restaurants aux panneaux d'affichage, en passant par les reçus de paiement et les horaires de bus et de train.

Scanner les codes QR est devenu une habitude courante, permettant aux utilisateurs d'accéder rapidement à l'information grâce à une simple manipulation sur leur téléphone. Cependant, cette facilité d'utilisation se révèle être une arme à double tranchant lorsque des cybercriminels exploitent cette pratique, courante dans le scan des codes QR, pour mettre en œuvre une nouvelle forme de fraude appelée « quishing ».

Les criminels peuvent insérer des codes QR malveillants sur des surfaces familières ou les envoyer par courriel ou SMS pour inciter les victimes à scanner le code et à visiter de faux sites Web, volant ainsi des informations personnelles ou propageant des logiciels malveillants sur l'appareil.

Qu'est-ce que le quishing ?

Le quishing est une forme de cyberattaque dans laquelle un individu malveillant intègre une adresse web URL malveillante dans un code QR pour inciter les utilisateurs à visiter de faux sites web.

Au lieu de vous mener vers un site web légitime, ce code QR peut vous rediriger vers un site d'hameçonnage conçu pour voler vos identifiants, mots de passe et données personnelles.

Ou encore, télécharger subrepticement un logiciel malveillant sur votre appareil, permettant ainsi aux pirates informatiques d'en prendre le contrôle, de voler des données ou de vous rediriger vers des sites Web contenant du contenu dangereux.

Cela peut paraître simple, mais le quishing est un véritable danger. Alors que vous pouvez vérifier l'URL avant de cliquer dessus lorsque vous naviguez sur Internet, avec les codes QR, vous n'avez aucune idée de ce qui s'y cache. Un simple scan peut vous rediriger vers un faux site web ou vous forcer à télécharger un fichier dangereux à votre insu.

De plus, les utilisateurs se laissent facilement tromper par les codes QR car ils apparaissent partout, dans les restaurants, les cafés, sur les billets d'événements, les publicités, ce qui incite les gens à les scanner sans méfiance.

De plus, de nombreuses entreprises utilisent des services tiers de raccourcissement d'URL ou de génération de codes QR. Par conséquent, le lien intégré au code QR ne mène pas toujours directement vers leur site web officiel, ce qui complique l'identification des codes QR sécurisés.

Le quishing n'est pas seulement une menace potentielle, il s'est déjà produit dans la réalité et s'est avéré être une escroquerie très efficace.

Les faux codes QR sont utilisés à des fins frauduleuses partout dans le monde. Les cybercriminels impriment simplement un autocollant contenant un code QR malveillant et le collent par-dessus le code QR légitime dans des lieux publics tels que les restaurants, les parkings, les gares, etc.

Comment se protéger du Quishing ?

Le quishing est une menace de plus en plus sophistiquée, mais vous pouvez vous en protéger grâce à quelques mesures simples et efficaces. Voici quelques étapes clés pour vous aider à éviter d'être victime de ce type d'escroquerie :

1. Utilisez un lecteur de code QR sécurisé

Privilégiez le lecteur de code QR par défaut fourni avec votre téléphone (par exemple, l'appareil photo sur iOS et Android).

Évitez de télécharger des applications de lecture de codes QR provenant de tiers, car beaucoup d'entre elles ont de mauvais antécédents en matière de sécurité et de confidentialité, peuvent collecter des données, voire contenir des logiciels malveillants.

2. Vérifiez l'adresse URL avant d'ouvrir le lien.

Après avoir scanné le code, prévisualisez l'adresse du site web avant de cliquer.

Évitez les liens qui utilisent des raccourcisseurs d'URL (comme bit.ly, tinyurl, goo.gl), car les escrocs peuvent y dissimuler la véritable adresse du site d'hameçonnage.

3. Limiter l'utilisation des codes QR comme moyen de paiement

Si possible, évitez de payer par QR code, surtout s'il est affiché dans un lieu public. Si le lien de paiement mène vers une adresse web douteuse ou ne provient pas d'une banque ou d'une application officielle, arrêtez immédiatement la transaction.

Méfiez-vous des faux sites web : les cybercriminels utilisent souvent des noms de domaine très similaires à ceux de sites légitimes (par exemple, paypall.com au lieu de paypal.com). Vérifiez toujours l’orthographe avant de saisir des informations sensibles.

4. Ne scannez pas de codes QR au hasard dans les lieux publics.

Évitez de scanner les codes QR qui apparaissent sur les panneaux d'affichage, les prospectus ou les autocollants sur les terminaux de paiement, car ils peuvent avoir été remplacés par un code malveillant.

Si vous devez scanner des codes QR dans des lieux publics, demandez au personnel de confirmer que le code est légitime.

5. Améliorez la sécurité de votre appareil

Désactivez les téléchargements automatiques dans votre navigateur Web pour empêcher le téléchargement de logiciels malveillants lorsque vous visitez des sites d'hameçonnage.

Activez les fonctions de protection de la vie privée, comme le blocage des sites web non sécurisés ou les avertissements lors de la visite de sites web suspects.

6. Vérifiez bien le code QR physique avant de le scanner.

Examinez attentivement le code QR que vous vous apprêtez à scanner. S'il semble avoir été modifié, effacé ou s'il ne correspond pas au design qui l'entoure, ne le scannez pas.

Si vous voyez un autocollant avec un code QR sur un terminal de paiement ou dans un lieu public, vérifiez s'il a été falsifié et demandez à un membre du personnel de le vérifier.

En résumé, les cybercriminels perfectionnent sans cesse leurs techniques d'attaques par quishing. Soyez toujours vigilant, vérifiez l'URL avant de cliquer et évitez de scanner les codes QR provenant de sources non fiables afin de protéger vos données personnelles et financières.