Quishing : qu’est-ce que c’est et comment vous protéger contre les faux QR codes

Quishing : définition

Le quishing, abréviation de QR code phishing, est une forme d’hameçonnage utilisant des QR codes fictifs qui mènent les victimes vers des sites web malveillants ou déclenchent le téléchargement de logiciels malveillants. Ce phénomène s’est intensifié à travers l’Europe, cette technique étant facile à mettre à place par les escrocs et pouvant cibler un grand nombre de personnes.

L’objectif du quishing est généralement de dérober des informations personnelles, telles que des coordonnées bancaires, des mots de passe ou d’autres données sensibles, en vue de les utiliser dans le cadre de fraudes ou d’attaques d'ingénierie sociale.

Une étude récente de NordVPN montre que 41% des Français ne vérifient jamais avant de scanner un QR code, et c’est précisément la vulnérabilité exploitée par les cybercriminels.

Adrianus Warmenhoven, expert en cybersécurité chez NordVPN, affirme : 

Les QR codes sont devenus le parfait cheval de Troie pour les cybercriminels. Les escrocs peuvent remplacer un QR code légitime par un code malveillant en quelques secondes, faisant de chaque QR code public un piège potentiel.

Comment fonctionne le quishing ?

Dans le cadre d’une attaque de quishing, les escrocs conçoivent un QR code frauduleux menant vers l’URL d’un site Internet malveillant.

Ils peuvent alors intégrer le faux QR code dans un e-mail de phishing ou une publication sur les réseaux sociaux, en prétextant une offre à ne pas manquer, un jeu-concours, la confirmation d’une livraison, etc. Mais ces QR codes peuvent aussi être placés physiquement dans l’espace public, par exemple en recouvrant le code QR légitime d’une affiche, du menu d’un restaurant ou en les plaçant sur des parcmètres.

Lorsque la victime scanne le QR code malveillant avec son téléphone et clique sur l’URL qui s’affiche, elle est redirigée vers un site de phishing qui lui demande de saisir ses informations (nom, adresse e-mail, numéro de téléphone, identifiants de compte, coordonnées bancaires…).

Si les techniques utilisées sont similaires à d’autres attaques de phishing, le principal danger du quishing réside dans le fait que les QR codes sont plus difficiles à détecter par les systèmes de sécurité classiques, tels que les filtres anti-spam des boîtes mail. En effet, s’il est facile d’analyser un lien intégré dans un message, les QR codes sont souvent considérés comme de simples images sans danger, ce qui leur permet de passer entre les mailles du filet.

Étude NordVPN : 77% des utilisateurs ne vérifient pas toujours avant de scanner un QR code

Une étude menée par NordVPN en France, en Belgique et aux Pays-Bas montre que de nombreuses personnes ne sont pas suffisamment conscientes des risques d’arnaques par QR code, malgré le nombre croissant d’attaques. Ainsi, bien que 21% des répondants considèrent les QR codes comme risqués, 43% ne prennent pourtant aucune précaution avant d’en scanner un.

Les Belges sont ceux qui utilisent des codes QR le plus fréquemment : 23% d’entre eux en utilisent au moins une fois par semaine (contre 20% au Pays-Bas et 17% en France). Pour autant, ils ne sont pas plus exemplaires que leurs voisins en matière de cybersécurité : ainsi 42% d’entre eux ne vérifient jamais avant d’interagir avec un code.

En outre, environ 13% des utilisateurs ont signalé avoir déjà scanné un QR code malveillant, entraînant des redirections vers des sites de phishing (36%) ou des actions non autorisées comme la connexion à un réseau douteux (21%).

Adrianus Warmenhoven commente :

Les cybercriminels exploitent la psychologie humaine par le biais des QR codes. Ils savent que la promesse d'un cadeau gratuit, d'une réduction ou d'un scan apparemment inoffensif peut l'emporter sur nos instincts de sécurité basiques. Notre enquête révèle que 43 % des utilisateurs ne vérifient pas les QR codes avant de les scanner, et c'est exactement sur cette vulnérabilité que comptent les attaquants.

Exemples d’attaques de quishing

À mesure que ces attaques se sont développées, différents types d’arnaques par QR code sont apparus. Voici quelques exemples que vous pouvez rencontrer :

• Sur les parcmètres : les escrocs peuvent placer un QR code sur un parcmètre, qui sera scanné par les utilisateurs peu vigilants souhaitant payer leur stationnement. Ils sont alors redirigés vers une fausse page de paiement et leurs coordonnées bancaires seront transmises directement aux fraudeurs.
• Dans les bars et restaurants : les QR codes servant à consulter le menu d’un restaurant ou d’un bar sont devenus monnaie courante. Malheureusement, il est aussi fréquent que de faux QR codes soient collés au-dessus des codes réels, redirigeant les clients vers un site web de phishing qui leur demande de saisir des informations personnelles ou des données de paiement.
• Par e-mail : les employés reçoivent des e-mails censés provenir du service informatique de leur entreprise, leur demandant de scanner un QR code pour réinitialiser leur mot de passe en raison d'une mise à jour de sécurité. En scannant le code, l'utilisateur est redirigé vers une fausse page de connexion destinée à voler ses identifiants. Cette attaque combine des e-mails de phishing avec des QR codes pour contourner les filtres de sécurité qui détectent généralement les liens malveillants.
• Sur les réseaux sociaux : un faux QR code peut être intégré dans une publication ou d’un message privé sur les réseaux sociaux, l’expéditeur prétextant une offre incroyable ou une opportunité d’investissement en crypto. Là encore, le code mène vers un site malveillant qui vous demandera de saisir vos coordonnées bancaires ou d’autres informations sensibles.
• Dans les hôtels et cafés : puisque les hackers aiment créer de faux réseaux Wi-Fi publics, ils peuvent également ajouter un code QR frauduleux, incitant les victimes à le scanner pour profiter d’une connexion Wi-Fi gratuite.
• Sur des flyers ou des affiches : les fraudeurs peuvent imprimer des QR codes fictifs pour les diffuser dans l’espace public et utiliser divers prétextes pour vous pousser à les scanner (jeu-concours, offre spéciale…).
• Sur un faux avis de passage de La Poste : certains escrocs ont également eu l’idée de concevoir de faux avis de passage, déposés directement dans les boîtes aux lettres et intégrant un QR code pour effectuer un suivi du colis ou reprogrammer la livraison.
• Sur des cartes d’embarquement de compagnies aériennes : des hackers peuvent aussi générer de faux QR codes sur les cartes d’embarquement des voyageurs. Les codes mènent vers un site imitant le formulaire d’enregistrement de la compagnie aérienne, récupérant leurs informations personnelles au passage.

Quelle que soit la technique utilisée, les escrocs exploitent notre habitude d’interagir avec les QR codes sans réfléchir pour mener à bien leurs attaques. Tandis que 15% des Français sont déjà tombés sur un QR code malveillant, il est essentiel de connaître leurs dangers et d’adopter les bons réflexes pour s’en protéger.

Les dangers du QR phishing 

Selon le type de QR code malveillant, les attaques de quishing peuvent entraîner différentes conséquences :

• Vol de données. Si l'utilisateur saisit ses informations sur un faux site web vers lequel le QR code le dirige, les attaquants peuvent voler ses comptes et d'autres données, notamment ses noms d'utilisateur, ses mots de passe et ses informations de carte de crédit. Ces données peuvent être utilisées à des fins de cyber-extorsion et de fraude ou vendues sur le dark web.
• Infection par des logiciels malveillants. Une fois scannés, certains QR codes lancent automatiquement le téléchargement de programmes malveillants, à l’exemple d’un logiciel espion capable de récupérer des données sur votre téléphone ou d’un cheval de Troie donnant aux attaquants l'accès à votre appareil à distance.
• Pertes financières. Si vous saisissez vos informations financières sur un faux site web ou téléchargez un logiciel espion, les cybercriminels peuvent voler ces informations et effectuer des transactions non autorisées avec votre carte de crédit, vider vos comptes bancaires ou commettre d'autres formes de fraude financière.
• Atteinte à la réputation. Pour les entreprises, une attaque de quishing réussie peut entraîner des fuites de données clients, ce qui peut entraîner une perte de confiance des clients, une publicité négative et même des conséquences juridiques.
• Atteinte à la vie privée. Les photos personnelles, les messages et autres informations privées stockées sur votre téléphone peuvent être utilisées à des fins de doxxing et de chantage.

Comment détecter une attaque de quishing ?

Les faux QR codes sont difficiles à distinguer des codes légitimes au premier coup d'œil, mais vous pouvez prendre plusieurs précautions pour détecter s’il s’agit d’un code malveillant :

• Vérifiez l’URL. Cette étape est essentielle : à chaque fois que vous scannez un QR code, vérifiez attentivement l’URL qui s’affiche. Si le lien semble inhabituel ou ne correspond pas à l’adresse attendue, il y a de fortes chances pour qu’il s’agisse d’une arnaque. Utilisez un vérificateur de liens fiable pour vous assurer que l’URL est légitime, et si l’adresse du site n’utilise pas HTTPS, ne vous y aventurez pas : il s’agit d’un site web non sécurisé.
• Utilisez un scanner de QR code sécurisé. Certaines applications vous avertiront si un code QR mène à un site web suspect.
• Si le code est imprimé sur un support physique, vérifiez qu’il ne recouvre pas un autre QR code. Parfois, les criminels collent leur propre code QR frauduleux sur le code d'origine.
• Ne cliquez jamais sur un lien sans réfléchir. Les attaques de phishing par QR code fonctionnent parce que les cybercriminels jouent sur le comportement humain. Ne vous laissez jamais impressionner par une offre qui semble trop belle pour être vraie, ou un message vous poussant à agir rapidement.

Que faire si vous avez scanné un faux QR code

Si vous avez scanné accidentellement un QR code fictif, il est important d'agir rapidement :

• Quittez le site web immédiatement et déconnectez-vous d’Internet.
• Changez tous vos mots de passe. Si vous avez saisi des informations personnelles, il est important de protéger vos identifiants le plus rapidement possible, surtout si vous utilisez le même mot de passe pour plusieurs comptes. Activez également l’authentification multi-facteurs dès que possible pour ajouter une couche supplémentaire de sécurité.
• Surveillez attentivement votre compte bancaire pour détecter toute activité suspecte.
• Signalez la fraude sur la plateforme PHAROS ou 17cyber.
• Effectuez une analyse antivirus sur votre téléphone, pour repérer et supprimer d’éventuels logiciels malveillants.

Comment se protéger des attaques de quishing ?

En étant vigilant et en adoptant certaines mesures de sécurité, vous augmenterez vos chances de rester à l’abri des arnaques par QR code.

• Méfiez-vous des QR codes inconnus : ne scannez que les QR codes provenant de sources fiables. Méfiez-vous des codes que vous trouvez dans des e-mails non sollicités, sur les réseaux sociaux ou dans l’espace public.
• Utilisez des scanners de QR code sécurisés : utilisez des applications spécialisées dans la lecture des QR codes qui vous permettent de prévisualiser l'URL avant de l'ouvrir. Elles vous aideront à déterminer si le lien est légitime.
• Vérifiez soigneusement l'URL : recherchez toute faute d'orthographe, nom de domaine étrange ou extension suspecte. Soyez prudent si le QR code mène à une URL raccourcie : cette technique peut être utilisée pour masquer un lien frauduleux.
• Maintenez vos appareils à jour : mettez régulièrement à jour le système d'exploitation et les applications de votre smartphone pour corriger les failles de sécurité.
• Utilisez un logiciel de sécurité fiable : installez NordVPN et activez Protection Anti-menaces sur votre smartphone. Cela vous aidera à éviter les domaines malveillants connus et les sites de phishing.
• Sécurisez vos comptes : utilisez des mots de passe forts et impossibles à deviner. Évitez d'utiliser les mêmes mots de passe pour différents comptes. Activez également la double authentification pour empêcher tout accès non autorisé.
• Limitez les autorisations des applications : empêchez les applications de scan de QR code d'accéder à des données ou fonctions inutiles de votre appareil.
• Restez sceptique : méfiez-vous des QR codes qui promettent des récompenses et des réductions irréalistes ou qui appellent à une action urgente.

Terminons sur ces conseils d’Adrianus Warmenhoven :

Ne scannez jamais un QR code à l'aveugle. Vérifiez toujours la source, recherchez toute altération et, en cas de doute, saisissez manuellement l'adresse du site Web. Dans les espaces publics tels que les parcmètres, où nous avons constaté des escroqueries généralisées à travers l'Europe, considérez que chaque QR code pourrait être un piège potentiel. Envisagez d'utiliser des outils de cybersécurité tels que les VPN et les logiciels anti-malware. Votre moment de commodité pourrait vous coûter vos données personnelles et financières.