Les QR codes sont partout aujourd'hui © Lee Charlie / Shutterstock
Les QR codes sont partout aujourd'hui © Lee Charlie / Shutterstock

Le « quishing », très populaire évolution du phishing, utilise des QR codes pour tromper les utilisateurs et accéder à leurs informations sensibles. Une vigilance accrue est de mise, pour éviter de tomber dans le piège.

La cybercriminalité continue de se réinventer à l'ère des nouvelles technologies, et les QR code, ou plutôt devrait-on dire codes QR, sont la nouvelle cible des attaquants. Le « quishing » est le terme utilisé pour décrire le phishing basé sur les codes QR. Ces codes-barres bidimensionnels contenant des données codées peuvent effectivement être utilisés comme des leurres, pour mener à des attaques de phishing. Allons davantage au fond des choses.

Le quishing, un outil qui avantage sur bien des aspects les hackers

Les QR codes offrent certains avantages aux pirates informatiques. Ils sont plus difficiles à détecter, tant par les filtres de courrier électronique que par les utilisateurs finaux. L'usage de codes QR dans des campagnes de phishing n'est pas nouveau, mais leur notoriété a augmenté pendant la pandémie, car ils permettent un accès sans contact aux produits et services.

Le phishing, c'est quoi déjà ?

Le phishing est une technique d'ingénierie sociale couramment utilisée par les attaquants pour inciter les gens à divulguer des informations sensibles ou à installer des logiciels malveillants. Le quishing, qui se sert de codes QR, est une nouvelle variation de cette menace.

Imaginez un QR code diffusé pendant le Super Bowl. Si l'entreprise à l'origine de cette publicité avait des intentions malveillantes, elle aurait pu exploiter ce code pour télécharger automatiquement un ransomware sur les téléphones des spectateurs, mettant ainsi en péril un grand nombre d'appareils.

Pourquoi les attaques de quishing sont problématiques, et ce qu'on peut faire pour lutter contre

Les QR codes sont omniprésents dans notre quotidien, définitivement popularisés à l'heure du récent pass sanitaire en période Covid, des restaurants aux transports en commun, en passant par les lieux touristiques. On les utilise toujours plus aujourd'hui dans ces mêmes lieux, pour vous faire découvrir un menu ou scanner vos billets d'entrée. Les consommateurs font naturellement confiance à ces codes, et les cybercriminels comptent justement sur cette confiance. Les smartphones sont d'ailleurs très vulnérables, car ils ne bénéficient pas des mêmes protections anti-phishing que les ordinateurs de bureau.

La pandémie a contribué à la popularisation du QR code © Gouvernement
La pandémie a contribué à la popularisation du QR code © Gouvernement

La plupart des attaques de quishing commencent par l'envoi d'un QR code via un e-mail. Les victimes sont incitées à scanner le code en étant avertis que leur compte sera tout simplement bloqué s'ils ne le font pas. Une fois scanné, le code QR peut compromettre l'appareil.

Que peut-on faire pour se protéger ?

La meilleure pratique consiste à ne pas scanner de QR code provenant de sources inconnues. Avant d'en scanner un, vérifiez toujours la source. Ne scannez jamais les QR codes contenus dans des courriers électroniques, car les entreprises légitimes n'utilisent pas cette méthode pour vérifier les comptes. Restez méfiant face aux QR codes rencontrés en public, car ils pourraient dissimuler des intentions malveillantes.

Un exemple de QR code pirate © Malwarebytes

Soyez surtout attentif aux signaux d'alerte, tels que le sentiment d'urgence, les demandes de renseignements personnels via un site web, ou une mise en page maladroite dans les e-mails. Ces indicateurs peuvent vous aider à repérer une tentative de quishing. Il va falloir s'y faire : le quishing est une nouvelle menace face à laquelle il est bon d'être vigilant.

Source : Malwarebytes