Méfiez-vous des QR codes, ils sont aussi dangereux que les phishings qui inondent votre boîte mail

Les cybercriminels créent chaque jour de nouveaux types d’attaques. Si tout le monde connait le phishing, il a désormais un petit frère, le Quishing.

L’utilisation du QR code s’est démocratisée avec le Covid 19 et la création des fameux pass sanitaires. Désormais, il est couramment utilisé au restaurant, lors de campagnes marketing, ou pour remplacer des liens dans des mails professionnels ou personnels. Cet usage n’a pas échappé aux cybercriminels qui utilisent désormais le QR code pour piéger leurs victimes. C’est ainsi qu’ils ont créé le Quishing. Mais comment cela fonctionne-t-il ?

Vous êtes sur votre ordinateur personnel, un mail de votre banque arrive dans votre boîte mail. Le courriel explique que vous devez modifier le mot de passe de votre compte bancaire. Tout est bien rédigé, aucune faute, le logo de votre banque est bien placé. Mais on ne vous demande pas de cliquer sur un lien. Cette fois, il vous faut scanner un QR code avec votre smartphone. Ce que vous faites…Sur votre smartphone, vous êtes renvoyé vers un faux portail imitant à la perfection celui de votre banque.

Sur ce site, on vous demande de renseigner votre adresse mail, votre ancien mot de passe ainsi que le nouveau. En plus, le site vous demande aussi votre code pin bancaire, essentiel pour approuver des demandes de virement ou de paiement. Une fois ces actions accomplies, le site vous invite à fermer la page.

Pour les cybercriminels se cachant derrière ce quishing, c’est le jackpot, ils viennent de récupérer l’ensemble de vos identifiants bancaires sans avoir à commettre aucune effraction, vous leur avez donné les clés de votre compte en banque de votre plein gré.

Ce type de cyberattaques est en augmentation depuis le début de l’année. Des services clés en main sont disponibles sur le darknet pour les fraudeurs comme Dadsec OTT, Tycoon et W3LL Pane, comme l’a révélé un rapport de l’entreprise de sécurité Sekoia.io. Ce succès rapide s’explique pour deux raisons. La première, le grand public n’a pas encore développé de réflexe de méfiance envers le Quishing, donc les victimes tombent plus facilement dans le piège. La seconde est que lorsque la victime scanne le QR Code avec son smartphone, elle sort de bulle protectrice créée par son anti-virus installé sur son PC. Le site frauduleux ne risque donc pas de se faire bloquer par des systèmes de cyberdéfense.

Pour se protéger du Quishing, il faut adopter les bons réflexes. Quand vous recevez un mail comprenant un QR code, ne le scannez pas mécaniquement, assurez-vous d’être sûr de l’émetteur. Et analysez bien l’adresse sur laquelle le QR Code vous envoie, les cybercriminels ne peuvent pas totalement imiter celles des compagnies dont ils usurpent l’identité. Il y aura forcément une erreur dedans.