Attention aux arnaques aux codes QR : astuces sophistiquées et comment les éviter

Les codes QR (Quick Response Codes) sont partout de nos jours, des menus de restaurant, des panneaux d'affichage, des factures aux horaires de bus et de train.

Scanner des codes QR est devenu une habitude courante, permettant aux utilisateurs d'accéder rapidement à l'information d'une simple manipulation sur leur téléphone. Cependant, cette commodité est devenue une arme à double tranchant : les cybercriminels profitent de cette habitude de scanner les codes QR sans discernement pour déployer une nouvelle forme de fraude appelée Quishing.

Les criminels peuvent insérer des codes QR malveillants dans des surfaces familières ou les envoyer par courrier électronique ou par SMS pour inciter les victimes à scanner le code et à visiter de faux sites Web, volant ainsi des informations personnelles ou propageant des logiciels malveillants sur l'appareil.

Qu'est-ce que le Quishing ?

Le Quishing (fraude au code QR) est une forme de cyberattaque dans laquelle un acteur malveillant intègre une adresse Web URL malveillante dans un code QR pour inciter les utilisateurs à visiter de faux sites Web.

Au lieu de vous rediriger vers un site Web légitime, ce code QR peut vous rediriger vers un site de phishing conçu pour voler des identifiants, des mots de passe et des données personnelles.

Ou téléchargez sournoisement des logiciels malveillants sur votre appareil, permettant aux pirates de prendre le contrôle, de voler des données ou de vous diriger vers des sites Web contenant du contenu dangereux.

Même si cela peut paraître simple, le quishing représente un réel danger. Si vous pouvez vérifier l'URL avant de cliquer sur le web, avec un QR code, vous ignorez totalement ce qui se cache à l'intérieur. Un simple scan peut vous rediriger vers un faux site web ou vous forcer à télécharger un fichier dangereux sans même le savoir.

De plus, les utilisateurs sont facilement trompés par les codes QR car ils apparaissent partout, des restaurants, des cafés, aux billets d'événements, aux publicités, ce qui incite les gens à les scanner sans méfiance.

De plus, de nombreuses entreprises utilisent des raccourcisseurs d'URL tiers ou des plateformes de génération de codes QR. Cela signifie que le lien intégré au code QR ne mène pas toujours directement à leur site web officiel, ce qui complique l'identification des codes QR sûrs.

Le quishing n’est pas seulement une menace potentielle, mais s’est produit dans la vie réelle et s’est avéré être une escroquerie très efficace.

De faux codes QR sont utilisés à des fins frauduleuses partout dans le monde. Les cybercriminels impriment simplement un autocollant contenant un code QR malveillant et le collent sur le code QR légitime dans des lieux publics tels que les restaurants, les parkings, les gares, etc.

Comment se protéger du Quishing ?

Le quishing est une menace de plus en plus sophistiquée, mais vous pouvez vous protéger grâce à des mesures simples et efficaces. Voici quelques étapes clés pour éviter d'être victime de ce type d'arnaque :

1. Utilisez un scanner de code QR sécurisé

Préférez le scanner de code QR par défaut fourni avec votre téléphone (par exemple, l'appareil photo sur iOS et Android).

Évitez de télécharger des applications de numérisation de codes QR provenant de tiers, car bon nombre de ces applications ont un historique médiocre en matière de sécurité et de confidentialité, peuvent collecter des données ou même contenir du code malveillant.

2. Vérifiez l'URL avant d'ouvrir le lien

Après avoir scanné le code, prévisualisez l'adresse du site Web avant de cliquer.

Évitez les liens qui utilisent des raccourcisseurs d'URL (comme bit.ly, tinyurl, goo.gl), car les mauvais acteurs peuvent masquer la véritable adresse du site de phishing.

3. Limiter l’utilisation des codes QR pour le paiement

Si possible, évitez de payer par QR code, surtout si celui-ci est affiché dans un lieu public. Si le lien de paiement mène à une adresse web douteuse ou ne provient pas d'une banque/application officielle, arrêtez immédiatement.

Méfiez-vous des faux sites web, car les cybercriminels utilisent souvent des noms de domaine qui ressemblent fortement à des sites web légitimes (par exemple, paypall.com au lieu de paypal.com). Vérifiez toujours l'orthographe avant de saisir des informations sensibles.

4. Ne scannez pas de codes QR aléatoires en public

Évitez de scanner les codes QR qui apparaissent sur les panneaux d’affichage, les dépliants ou les autocollants sur les machines de paiement, car ils peuvent avoir été remplacés par un code malveillant.

Si vous devez scanner des codes QR dans des lieux publics, demandez au personnel de confirmer que le code est légitime.

5. Améliorez la sécurité de votre appareil

Désactivez les téléchargements automatiques dans votre navigateur Web pour empêcher le téléchargement de logiciels malveillants lorsque vous visitez des sites de phishing.

Activez les fonctionnalités de confidentialité, comme le blocage des sites Web dangereux ou les avertissements lors de la visite de sites Web suspects.

6. Vérifiez à nouveau le code QR physique avant de le scanner

Examinez attentivement le code QR que vous vous apprêtez à scanner. S'il semble écrasé, modifié ou ne correspond pas au design qui l'entoure, évitez-le.

Si vous voyez un autocollant de code QR sur un terminal de paiement ou dans un lieu public, vérifiez s'il y a des signes d'altération et demandez à un membre du personnel de vérifier.

En bref, les cybercriminels utilisent des techniques de plus en plus sophistiquées pour créer des attaques de type Quishing. Soyez toujours vigilant, vérifiez l'URL du site web avant de cliquer et évitez de scanner des codes QR provenant de sources non fiables afin de protéger vos données personnelles et financières.