Neutralisez davantage de menaces avec Trend Micro Email Security, la protection intégrale de vos messages
Quishing, un terme dérivé du « phishing de code QR », est un type de cyberattaque où les cybercriminels utilisent des codes QR malveillants pour inciter les gens à visiter de faux sites Web ou à télécharger des malwares sur leurs appareils. Ces codes QR malveillants peuvent être intégrés dans des e-mails, des publicités, des flyers et même simplement être ajoutés à des codes QR préexistants pour cibler un utilisateur non méfiant. L'objectif de cette attaque est que les attaquants volent des informations sensibles telles que des mots de passe, des données financières ou infectent l'appareil d'un utilisateur avec des logiciels malveillants qui peuvent mener à une exploitation ultérieure à l'avenir.
Les codes QR sont conçus pour faciliter la vie, mais cette simplicité en fait une cible privilégiée pour les cybercriminels. Étant donné que l'utilisateur ne peut pas voir l'URL cachée dans le code QR avant d'avoir été scanné, il peut être difficile de détecter le quishing jusqu'à ce qu'il soit trop tard.
Un code de réponse rapide ou code QR est un type de code-barres bidimensionnel qui peut être facilement et rapidement scanné par des appareils numériques tels que les smartphones. Les codes QR peuvent stocker de grandes quantités de données qui peuvent ensuite être analysées par un utilisateur pour partager ces informations, généralement en ouvrant une page Web, bien que les codes QR puissent également déclencher un appel téléphonique, des SMS et même des paiements numériques. Par exemple, les codes QR sont devenus très populaires dans les restaurants pour fournir un menu numérique à leurs clients.
La réussite de Quishing réside dans les tendances psychologiques et les habitudes comportementales de ses victimes. Les codes QR sont largement considérés comme pratiques et fiables, mais malheureusement, cela rend les utilisateurs moins susceptibles de les approcher avec scepticisme.
Avec l’augmentation des codes QR dans la vie quotidienne, qu’il s’agisse des menus de restaurant, des paiements sans contact ou des enregistrements d’événements dans les hôtels, les gens se sentent à l’aise pour scanner un code QR sans réfléchir.
Contrairement aux liens de phishing traditionnels, les codes QR masquent l’adresse Web réelle à laquelle ils mènent, ce qui rend difficile la vérification de leur légitimité en un coup d’œil.
Les cybercriminels créent souvent des messages qui créent un sentiment d’urgence, comme des avertissements sur la sécurité des comptes ou des offres d’offres exclusives, incitant les utilisateurs à agir de manière impulsive.
Ces facteurs, associés à la nature intrinsèquement visuelle et interactive des codes QR, font de l'exploration un vecteur d'attaque particulièrement efficace.
Les attaques de phishing impliquent généralement le remplacement de codes QR légitimes par des codes malveillants. Ces codes frauduleux peuvent apparaître à différents endroits tels que des affiches, dans les terminaux de paiement, dans les restaurants ou même dans les e-mails et les SMS. Une fois que le code QR est scanné par la cible, elle sera amenée vers un site Web malveillant conçu pour voler ses informations personnelles ou les inciter à télécharger des logiciels nuisibles.
Dans certains cas, l’analyse d’un code QR malveillant ne conduit pas seulement à un faux site Web, car elle peut également déclencher le téléchargement de malware sur votre appareil. Cela ouvre la porte aux cybercriminels qui volent vos données, espionnent vos activités (spyware), ou même vous bloquent de votre système jusqu’à ce que vous payiez une rançon (ransomware). Les codes QR dans les arnaques de phishing sont particulièrement dangereux, car l’utilisateur peut ne pas réaliser que son appareil a été compromis avant qu’il ne soit trop tard.
Tout le monde peut être victime d’un hameçonnage, mais certains groupes sont plus à risque. Par exemple :
Voici quelques signes à rechercher pour éviter une attaque Quishing :
Si un code QR semble endommagé, égaré ou mal placé, il est préférable d’éviter de le scanner. Les cybercriminels placent souvent leurs propres autocollants QR plutôt que des autocollants légitimes.
Méfiez-vous si vous êtes soudainement invité à saisir des informations personnelles, des informations financières ou à télécharger un logiciel après avoir scanné un code.
Vérifiez que les codes QR promettant des récompenses, des remises ou des prix, ils pourraient être des pièges. Les escrocs utilisent souvent des offres attrayantes pour attirer les victimes.
Inspectez l'URL intégrée dans le code QR. S’il est excessivement long, compliqué ou contient des caractères aléatoires, il peut conduire à un site de phishing. Vous devez également éviter les sites auxquels vous accédez via des codes QR qui demandent des paiements et, à la place, saisir une URL connue et fiable pour les transactions.
Méfiez-vous des codes QR qui demandent des autorisations excessives (par ex., accès à votre caméra, à vos contacts ou à votre emplacement) au-delà de ce qui est nécessaire.
Une attaque courante de phishing est l'arnaque par compteur de stationnement qui a été mise en évidence par le Better Business Bureau (BBB), qui implique que des cybercriminels placent de faux codes QR sur les compteurs de stationnement ou les terminaux de paiement. Le conducteur qui n'a peut-être pas d'argent à portée de main peut scanner le code pour payer le stationnement, uniquement pour être dirigé vers un site frauduleux qui demande les informations de sa carte de crédit. La victime peut ne pas se rendre compte qu’elle a été arnaquée avant des jours ou des semaines plus tard, lorsque des charges inattendues commencent à apparaître sur sa déclaration.
Une autre menace croissante implique des escrocs se faisant passer pour des sociétés de services publics légitimes ou des agences gouvernementales à l'aide de faux codes QR. Les victimes reçoivent ce qui ressemble à une communication officielle, les incitant à scanner le code pour payer une facture, mais au lieu de payer leur facture, elles sont dirigées vers un site imposteur conçu pour voler leurs informations financières.
Réfléchissez avant de scanner ! Voici quelques conseils pratiques pour vous aider à vous empêcher, vous et votre organisation, d'une attaque Quishing :
Si vous rencontrez un code QR dans un espace public, comme une entreprise ou un restaurant, il est toujours judicieux de le confirmer avec un employé avant de le scanner. Comme le suggère la BBB, prêtez une attention particulière à tous les signes que le code QR aurait pu être falsifié.
Les escrocs utilisent de plus en plus de faux codes QR dans les emails de phishing ou les SMS. Ne scannez jamais un code et ne cliquez jamais sur un lien envoyé par un expéditeur inconnu.
Certaines applications de lecteur de code QR fournissent un aperçu de l’URL avant de vous rediriger vers un site Web. Cette étape supplémentaire peut vous aider à évaluer si le lien est fiable avant de continuer.
Maintenez le logiciel de sécurité de votre appareil à jour, car cela peut aider à détecter et à bloquer les téléchargements malveillants qui peuvent résulter de l’analyse d’un code QR nuisible.
Lorsque vous utilisez des codes QR pour les paiements, en particulier si vous vous trouvez dans un endroit inconnu, vous devez vérifier que le terminal de paiement ou le site Web est légitime avant de saisir des informations financières.
Trend Micro™ Email Security détecte les expéditeurs malveillants et analyse le contenu pour supprimer le spam. La solution examine l'authenticité et la réputation de l'expéditeur, et défend contre les URL malveillantes.
Les techniques de défense contre les menaces cross-générationnelles renforcent la protection contre les menaces, en établissant une visibilité et un contrôle sur des menaces en constante évolution.