Le phishing par code QR, plus communément appelé « quishing », est un type d’attaque de phishing qui incite les utilisateurs à scanner les codes QR pour voler des informations personnelles telles que les identifiants de connexion ou les numéros de carte de crédit. Lorsqu’un utilisateur scanne un code QR créé pour une attaque de quishing, il est dirigé vers un site Web malveillant qui télécharge un logiciel malveillant sur son téléphone ou lui demande des informations personnelles.
Poursuivez votre lecture pour en savoir plus sur le quishing, sa différence avec le phishing, son fonctionnement, sa dangerosité, les signes d’une attaque de quishing et les moyens d’éviter d’en être victime.
Quishing vs phishing : Quelle est la différence ?
Le phishing est un type de cyberattaque qui incite les gens à révéler leurs informations personnelles. Les cybercriminels envoient aux utilisateurs des messages, généralement par e-mail ou par SMS, contenant une pièce jointe ou un lien malveillant. Lorsque l’utilisateur clique sur le lien, il est dirigé vers un faux site Web qui télécharge un logiciel malveillant sur son appareil ou l’incite à révéler ses informations personnelles.
Le quishing est un type d’attaque de phishing, mais au lieu d’utiliser des pièces jointes ou des liens, il utilise des codes QR pour que les utilisateurs doivent scanner et qui les dirigent vers un site Web malveillant. Le quishing et le phishing tentent tous deux de voler les informations personnelles d’un utilisateur, mais diffèrent par les méthodes qu’ils utilisent.
Pour lancer une attaque de quishing, les cybercriminels créent d’abord un faux site Web. Ces faux sites Web tentent de se faire passer pour des sites Web légitimes dans le but de télécharger un logiciel malveillant sur l’appareil de l’utilisateur lorsqu’il arrive sur la page, ou de l’inciter à révéler ses données sensibles.
Une fois le faux site Web créé, les cybercriminels créent un code QR qui renvoie au faux site Web. Un code QR (Quick Response), est un code-barres bidimensionnel qui contient des données codées, telles qu’un lien, et qui peut être scanné par un téléphone ou un lecteur de code-barres.
Une fois le code QR créé, le cybercriminel l’envoie par e-mail ou par SMS, ou le place dans des espaces publics, par exemple sur des prospectus ou des affiches, pour que les victimes le scannent. Lorsqu’une victime scanne le code QR, elle est envoyée sur le site Web malveillant qui l’invite à révéler ses informations sensibles.
Les dangers du quishing
Les attaques de quishing sont dangereuses car elles peuvent facilement être créées par des cybercriminels et cacher des liens malveillants derrière des codes QR. Les codes QR ne sont pas difficiles à créer et peuvent être créés par n’importe qui. Un cybercriminel utilise un générateur QR pour créer le code QR et y intégrer le lien malveillant. Le lien malveillant étant intégré au code QR, il est difficile de le repérer immédiatement, ce qui permet aux attaques de quishing de contourner les filtres anti-spam. Comme vous ne pouvez pas voir le lien malveillant au départ, il est facile de tomber dans le piège des attaques de quishing qui pourraient permettre à des utilisateurs non autorisés d’accéder à vos comptes.
Signes d’une attaque de quishing
Le quishing est plus difficile à détecter, car les codes QR sont utilisés à la place des liens ou des pièces jointes. Cependant, vous pouvez toujours repérer les signes d’une attaque de quishing, car ils sont similaires à ceux d’une attaque de phishing. Voici les signes d’une attaque de quishing à surveiller.
Code QR envoyé par un expéditeur suspect
Les attaques de quishing tentent souvent d’usurper l’identité d’une entreprise légitime ou d’un collègue de travail qui vous envoie un code QR à scanner. Toutefois, vous pouvez remarquer des incohérences entre le nom de l’expéditeur et l’adresse e-mail, par exemple si le nom de l’expéditeur ne correspond pas à l’adresse e-mail. L’e-mail peut également être envoyé à partir d’un domaine public tel que Google ou Yahoo.
Erreurs d’orthographe ou de grammaire dans le message
Si vous remarquez des fautes d’orthographe ou de grammaire dans un message contenant un code QR, c’est le signe d’une attaque de quishing. Les entreprises légitimes vérifient plusieurs fois l’orthographe et la grammaire de leurs e-mails avant de les envoyer. Si un message contient des fautes d’orthographe ou de grammaire, il s’agit très probablement d’un cybercriminel qui tente de se faire passer pour une entreprise légitime.
Langage urgent pour inciter à scanner le code QR
Si le message contenant le code QR tente de vous inciter urgemment à le scanner, il s’agit probablement d’une attaque de quishing. Les cybercriminels peuvent utiliser un langage urgent pour vous effrayer et vous inciter à scanner leur code QR et à donner vos informations personnelles. Ils vous feront croire que vous ratez une offre intéressante, que vous êtes en danger ou que vous devez confirmer quelque chose avec vos informations personnelles.
Erreurs dans l’adresse du site Web du code QR
Lorsque vous scannez un code QR, avant d’atterrir sur la page voulue, vous pouvez prévisualiser le lien vers la page. Si vous remarquez que le lien a été raccourci, qu’il est illisible ou qu’il comporte des fautes d’orthographe, il est fort probable qu’il mène à un site Web malveillant pour une attaque de quishing. Si vous avez accidentellement ouvert le lien à partir du code QR, recherchez toute anomalie sur le site Web, comme des fautes d’orthographe ou des erreurs de format, et évitez d’interagir avec le site Web.
Codes QR avec des offres trop belles pour être vraies
Certains codes QR tentent de promouvoir des offres intéressantes telles que des réductions, des offres spéciales ou des produits gratuits. S’ils semblent trop beaux pour être vrais, c’est probablement le cas. Les cybercriminels sont prêts à tout pour vous inciter à scanner leur code QR malveillant. Ils vous feront croire que vous faites une bonne affaire alors qu’en réalité, vous tombez dans leur piège. Vous devez examiner l’offre avant d’agir.
Une demande soudaine ou spontanée d’informations personnelles est très probablement le signe d’une attaque de quishing. Une entreprise légitime ou un collègue de travail ne vous demandera jamais d’informations sensibles telles que vos identifiants de connexion ou vos informations de carte de crédit par e-mail ou par SMS.
Divergences avec les codes QR physiques
Toutes les attaques de quishing ne sont pas tentées en ligne, certains codes QR malveillants sont placés dans des lieux publics tels que des restaurants ou des parcs. Ils peuvent être distribués sous forme de prospectus, d’affiches ou d’autocollants que les gens peuvent scanner. Certains codes QR malveillants sont placés au-dessus des codes légitimes pour inciter les utilisateurs à les scanner. Si le code QR physique d’une entreprise légitime présente des divergences suspectes, il a très probablement été altéré par des cybercriminels et remplacé par un code QR malveillant. Vous devez contacter directement l’entreprise pour confirmer l’authenticité de ses codes QR.
Le quishing est un moyen relativement nouveau et dangereux de voler les informations personnelles d’un utilisateur. Cependant, les tactiques de prévention des attaques de phishing traditionnelles s’appliquent toujours au quishing. Voici comment éviter d’être victime d’attaques de quishing.
Évitez de scanner des codes QR non sollicités
Vous devez éviter de scanner des codes QR non sollicités si vous n’en connaissez pas la source. Si vous recevez un message non sollicité vous incitant à scanner un code QR ou si vous voyez un code QR en public, vous devez éviter de le scanner car il peut s’agir d’une tentative de quishing menant à un site Web malveillant.
Vérifiez l’adresse du site Web du code QR pour voir s’il y a des différences
Lorsque vous scannez un code QR, vous obtenez un aperçu de l’adresse du site Web du code QR sur laquelle vous devez cliquer pour ouvrir le lien. Vérifiez toujours le lien du code QR avant de cliquer dessus et examinez-le pour voir s’il y a des incohérences dans l’URL. Si vous remarquez des fautes d’orthographe ou des noms de domaine inconnus, il est fort probable que le code QR vous dirige vers un site Web malveillant.
Si vous avez reçu un code QR d’une entreprise ou d’une personne que vous reconnaissez, vous devriez essayer de contacter l’entreprise ou la personne directement par d’autres moyens de communication et leur poser des questions sur le code QR. Vous pouvez également visiter directement le site Web de l’entreprise plutôt que d’utiliser le code QR.
Utilisez des mots de passe forts et uniques pour protéger vos comptes
Comme toute attaque de phishing, le quishing tentera de voler vos identifiants de connexion et d’accéder à vos comptes. Vos comptes en ligne peuvent contenir des informations personnelles telles que vos numéros de carte de crédit ou votre adresse personnelle. Vous devez utiliser des mots de passe forts et uniques pour protéger vos informations personnelles contre les cybercriminels. Des mots de passe forts et uniques empêchent les cybercriminels d’accéder à vos comptes.
Vous devez également utiliser un gestionnaire de mots de passe pour stocker vos mots de passe. Un gestionnaire de mot de passe est un outil qui stocke et gère en toute sécurité vos informations personnelles dans un coffre chiffré. Un gestionnaire de mots de passe protège vos identifiants de connexion à l’aide d’un chiffrement et n’est accessible qu’avec un mot de passe maître. Avec un gestionnaire de mots de passe, vous pouvez accéder à tous vos mots de passe uniques chaque fois que vous en avez besoin.
Certains gestionnaires de mot de passe aident à prévenir les tentatives de phishing en stockant l’URL de la page de connexion d’un compte. Lorsque vous essayez de vous connecter à vos comptes, votre gestionnaire de mots de passe remplira automatiquement les identifiants de connexion lorsque vous êtes sur la page de connexion enregistrée. Toutefois, si vous êtes sur un faux site Web, votre gestionnaire de mots de passe ne remplira pas automatiquement vos identifiants de connexion, ce qui empêchera les cybercriminels de voler vos identifiants de connexion.
Activez la MFA sur vos comptes
L’authentification multifacteur (MFA) est une mesure de sécurité qui exige que vous fournissiez des formes d’authentification supplémentaires pour accéder à un compte ou à un appareil. L’activation de la MFA vous permet de contrôler encore davantage les personnes qui ont accès à vos comptes en ligne. Il ajoute une couche de sécurité supplémentaire en vérifiant l’identité des utilisateurs autorisés. Même si vos identifiants de connexion étaient compromis par une attaque de quishing, les cybercriminels ne pourraient pas accéder à vos comptes car ils sont protégés par la MFA.
Maintenez votre logiciel à jour
Pour empêcher les cybercriminels d’exploiter les failles de sécurité de votre appareil, vous devez maintenir vos logiciels à jour. Les mises à jour logicielles sont accompagnées de correctifs qui suppriment les failles de sécurité et ajoutent de nouvelles fonctionnalités de sécurité qui protègent mieux votre appareil.
Installez un logiciel antivirus
Un logiciel antivirus est un programme qui détecte, empêche et supprime un logiciel malveillant connu d’infecter votre appareil. Vous devriez installer un logiciel antivirus sur votre téléphone pour empêcher les attaques de quishing d’installer un logiciel malveillant sur votre téléphone. Si vous scannez accidentellement un code QR provenant d’une attaque de quishing et que vous atterrissez sur un site Web malveillant, le logiciel antivirus empêchera le logiciel malveillant de s’installer automatiquement sur votre appareil.
Protégez-vous des attaques de quishing avec Keeper
Bien que les attaques de quishing puissent être effrayantes, vous pouvez facilement vous protéger en évitant les codes QR provenant de sources suspectes et non connues, en utilisant des mots de passe forts et uniques, en activant la MFA, en gardant vos logiciels à jour et en installant un logiciel antivirus sur votre appareil.
Cependant, la meilleure façon de vous protéger contre les attaques de quishing est d’utiliser un gestionnaire de mots de passe. Avec un gestionnaire de mots de passe, vos identifiants de connexion sont protégés par différents niveaux de chiffrement.
Keeper® Password Manager propose la fonctionnalité KeeperFill®, qui remplit automatiquement vos identifiants de connexion stockés dans votre gestionnaire de mots de passe chaque fois que vous arrivez sur la page de connexion de vos comptes. Inscrivez-vous pour un essai gratuit de Keeper Password Manager afin de vous protéger contre les attaques de quishing.