Quishing: une nouvelle méthode d'ingénierie sociale
Le quishing également appelé le phishing par QR code est une méthode employée par les cybercriminels visant à la diffusion de QR codes afin de diriger les victimes vers un site malveillant.
Comment fonctionne le quishing?
Dans le cadre d'une attaque de quishing, les malfaiteurs créent un QR code menant sur un site frauduleux dans le but de collecter vos données personnelles et bancaires. En général, le QR code est diffusé par e-mail ou sur les réseaux sociaux mais peut également être affiché lors de manifestations, imprimé sur des flyers ou sur tout autre support.
Exemple de quishing
Supposons que vous receviez un courriel contenant un QR code frauduleux vous permettant de profiter d'une remise de -50% sur le tout dernier iPhone. Après avoir scanné le QR code, vous vous rendez sur le site, découvrez la fameuse offre et choisissez d'en profiter. Veuillez renseigner vos coordonnées pour la livraison à domicile, ainsi que les informations de votre carte bancaire pour le paiement. Sans même vous en rendre compte, vous avez partagé vos données sensibles avec des personnes malveillantes.
Qu'est-ce qu'un QR code?
Le QR code (quick response code) est un code-barres carré qui peut être scanné en utilisant l'appareil photo de votre smartphone ou tablette. En utilisant le QR code, il est possible d'effectuer diverses actions, comme se rendre sur un site web, regarder une vidéo ou effectuer un paiement.
Comment se prémunir contre le quishing?
Malheureusement, tout comme dans de nombreux cas d'ingénierie sociale, il n'existe aucun moyen technologique pour détecter les QR codes frauduleux. Il est donc important de rester attentif en suivant les conseils ci-dessous.
- Evitez de fournir des données sensibles sur un site que vous avez atteint depuis un QR code
- Vérifiez toujours l'URL de la page que vous visitez
- Méfiez-vous des offres trop alléchantes