DE FR IT EN
Chez soi

Quishing: escroquerie par codes QR

Rédigé par Heike Gross 30.10.2024
Partager sur Facebook Partager sur Twitter Partager sur LinkedIn Partager sur Xing Partager par e-mail

Les codes QR font désormais partie intégrante de notre quotidien. Vous les trouvez par exemple dans des e-mails, des lettres ou dans les espaces publics. Les cybercriminels les utilisent désormais pour lancer des attaques de phishing. Cette menace est connue sous le nom de «quishing».

Le quishing est une escroquerie que les criminels utilisent principalement sur Internet. Il s’agit d’un mot-valise composé des termes «QR» et «phishing». 

Les e-mails de quishing contiennent généralement un appel à l’action urgente, par exemple: «Scannez immédiatement ce code QR pour mettre à jour vos informations personnelles et votre mot de passe, faute de quoi votre compte bancaire sera bloqué.» Contrairement au phishing, il ne s’agit pas de cliquer sur un lien, mais de scanner un code QR à l’aide du smartphone. Fondamentalement, le quishing est une forme de phishing.

Vers l’assurance Cyber

Qu’est-ce qu’une attaque de phishing?

Le terme Phishing  est une combinaison des mots anglais «Fishing» (pêcher) et «Phreaking» (pirater). Lors d’une attaque de phishing, les cybercriminels tentent d’accéder à des données sensibles telles que les mots de passe, les détails de cartes de crédit ou de débit, les numéros de téléphone ou d’autres données personnelles de particuliers ou d’entreprises. Ils procèdent très habilement et utilisent au préalable les appels téléphoniques ou l’un des canaux suivants:

  • E-mails
  • SMS
  • Réseaux sociaux (WhatsApp, Instagram, Facebook Messenger, etc.)
  • Sites Internet

Il est particulièrement fréquent que les criminels contactent leurs victimes par e-mail. Les e-mails préparés ressemblent beaucoup à ceux des prétendus expéditeurs sérieux (p. ex. banques, services logistiques, etc.), car la formulation et la mise en page des vraies entreprises ont souvent été imitées de manière trompeuse.

Les escrocs demandent par exemple aux destinataires de mettre à jour leurs données de connexion à la banque. S’ils ne le font pas directement, ils menacent de bloquer leur compte. Les raisons invoquées sont souvent fallacieuses, comme la sécurité du compte. L’e-mail contient un lien sur lequel les destinataires doivent cliquer. Ils accèdent alors au site Internet frauduleux où ils sont invités à saisir leurs données de connexion bancaires. Mais ce que les destinataires ne savent pas encore: le portail n’a pas été créé par leur banque, mais par des cybercriminels qui s’emparent de leurs données de connexion et accèdent ainsi aux avoirs en banque de leurs victimes. Ce n’est qu’un exemple parmi tant d’autres.

Qu’est-ce qu’un code QR?

QR est l’abréviation de Quick Response, qui signifie «réponse rapide». Les codes QR fonctionnent fondamentalement comme les codes-barres dans le commerce, sauf que les codes QR ne sont pas représentés sous forme de barres, mais sous forme de codes bidimensionnels. Ces codes sont scannés avec le smartphone. Ce processus permet aux utilisateurs et utilisatrices d’accéder aux éléments en arrière-plan.

Comment fonctionne le phishing QR?

Lors du quishing, des codes QR malveillants sont proposés, souvent sur les cartes de menu dans les restaurants ou comme moyen de paiement. Ils ne peuvent pas être identifiés comme néfastes à l’œil nu. Le scan mène à une fausse page, où il est généralement demandé de saisir des données de paiement. Souvent, les victimes sont pressées, veulent payer ou régler rapidement quelque chose. Elles prennent rarement le temps de vérifier l’authenticité de la page.

Les criminels recourent presque toujours à l’ingénierie sociale pour gagner la confiance de leur victime. Dès qu’ils ont incité la ou le destinataire à scanner le code QR avec son smartphone, par exemple pour récupérer un gain d’un jeu de hasard, celui-ci ou celle-ci accède à un site de phishing.

«Le code est scanné en un clin d’œil, ce qui rend le quishing si dangereux»

Delia Moore, responsable Customer Service, services de cyberprévention d’AXA

Pour obtenir leur prétendu gain, les victimes doivent donner des informations personnelles telles que prénom &, adresse, adresse e-mail, date de naissance et données de carte de crédit. Dans certains cas, les données de connexion de certains comptes Internet des utilisatrices et utilisateurs deviennent ainsi plus faciles à consulter. Si la victime a révélé toutes les informations sensibles, les cybercriminels les utilisent par exemple pour:

  • Attaque par rançongiciel
  • Usurpation d’identité
  • Fraude financière

Le quishing est nettement plus difficile à détecter et à bloquer que le phishing normal. Au lieu d’un lien directement intégré dans le corps du message, plus facile à détecter par les programmes de sécurité, une attaque par quishing s’appuie sur des codes QR que les programmes de sécurité ne lisent que sous forme d’images et ne considèrent donc pas comme un danger. Ainsi, malgré les dispositifs de sécurité, les e-mails de quishing atterrissent dans votre boîte aux lettres, où ils sont plus difficiles à démasquer qu’un piratage, car l’URL n’est pas directement visible.

 

  • Teaser Image
    Protection contre la cybercriminalité

    Outre le phishing et le quishing, il existe d’autres formes de cybercriminalité. Nous vous montrons comment les reconnaître et vous en protéger.

    Lire l’article de blog

Comment reconnaître une attaque de quishing?

Il existe différentes méthodes pour détecter une attaque de quishing. Comment faire:

  • Examinez attentivement l’expéditeur:  Les e-mails de phishing et de quishing comportent souvent de fausses copies des adresses e-mail de l’entreprise pour laquelle ils se font passer. Parfois, les noms des adresses e-mail n’ont aucun lien avec le nom de l’entreprise, ce qui est plus évident. Vérifiez que l’adresse e-mail correspond à l’entreprise et assurez-vous qu’elle ne contient pas de fautes d’orthographe ou de zéros au lieu de O. Soyez sceptique vis-à-vis de tous les e-mails que vous recevez.
  • Vérifiez le texte: Les e-mails de phishing et de quishing visent généralement à manipuler les utilisateurs par certaines méthodes. Ils créent généralement une sorte d’urgence dans les messages afin de maximiser le succès de l’attaque. Souvent, ils recourent aussi à l’intelligence artificielle pour copier le style d’écriture d’une entreprise donnée, par exemple. C’est pourquoi vous devez faire preuve de prudence, en particulier avec les e-mails vous demandant d’agir immédiatement.
  • Vérifiez le code QR: Les codes QR sont souvent envoyés en pièce jointe d’un e-mail, p. ex. dans une facture ou sous forme d’image. Vérifiez si les codes QR ne présentent pas d’anomalies: Le symbole de la marque est-il absent, comporte-t-il des erreurs ou son placement est-il inhabituel? Si vous n’êtes pas sûr, vous pouvez également essayer de voir où mène le lien en utilisant le mode Aperçu de votre téléphone. Pour ce faire, tenez votre caméra au-dessus du code QR et regardez le lien qui apparaît en bas de votre écran, mais ne cliquez pas dessus!

Cette année, des criminels ont envoyé au nom d’une banque suisse un courrier contenant un code QR à des milliers de ménages en Suisse. Le courrier leur demandait de scanner le code afin de réactiver le processus PhotoTan pour la banque en ligne, soi-disant pour des raisons de sécurité. Les criminels menaçaient de bloquer l’accès à la banque en ligne si cet ordre n’était pas exécuté rapidement. Les personnes ainsi trompées ont scanné le code QR, se sont retrouvées sur un site Web ressemblant à celui de leur banque et y ont saisi leurs données de connexion. La saisie de l’identifiant complet de la banque a entraîné d’énormes pertes financières. En général, dans ce type de cas, les banques déclinent toute responsabilité pour ces dommages, car leurs mécanismes de sécurité fonctionnent. Les victimes ont été dirigées par la manipulation des criminels sur des sites étrangers à la banque.

«Je recommande à nos clients de procéder à un examen minutieux et de se méfier fondamentalement des codes QR de tiers.»

Delia Moore, responsable Customer Service, services de cyberprévention d’AXA

L’escroquerie par code QR est une réelle menace qui pèse tant sur les particuliers que sur les entreprises. En respectant les mesures de précaution ci-dessus et en vous informant régulièrement des nouvelles méthodes d’escroquerie, vous réduisez le risque d’être victime de quishing.

Prévention de la fraude au code QR: Comment vous protéger?

Conseils de phishing QR pour les particuliers:

  • Examiner soigneusement les e-mails et les lettres: Les e-mails et les lettres doivent toujours être soigneusement examinés, car il peut aussi s’agir de falsifications. En cas de message suspect, évitez de scanner le code QR et de saisir des données personnelles sur la page Web qui s’affiche. Vérifiez les communications douteuses par des canaux de contact officiels et sécurisés.
  • Toujours activer l’authentification à deux facteurs: Avec l’authentification à deux facteurs, vous avez besoin d’un autre facteur, tel qu’un code SMS, pour accéder au compte, en plus du nom d’utilisateur et du mot de passe. Même si des criminels parviennent à se connecter à la suite d’une attaque de phishing ou de quishing, une deuxième confirmation est demandée pour l’accès ou le paiement. Si vous refusez cette demande, vous pouvez contrer la cyberattaque.
Femme avec un cardigan gris et des franges blondes est allongéeson lit. Elle tient une carte de crédit dorée dans sa main droite et saisit avec l’autre les données de paiement dans son téléphone portable.

Assurance Cyber Plus pour particuliers

Utilisation abusive de cartes de crédit, piratage ou cyberharcèlement: la criminalité sur Internet prend toujours plus d’ampleur en Suisse. Optez pour une protection complète contre les risques liés à Internet pour vous et votre famille avec l’assurance Cyber Plus d’AXA.

Vers l’assurance Cyber pour particuliers

Écrit par:

Heike Gross

Heike Gross est Content Manager. Elle mène ses activités dans le domaine de cybersécurité, du logement, de la mobilité et bien d’autres sujets intéressants.

Articles apparentés

Chez soi
La cybercriminalité expliquée simplement | Glossaire
21.11.2024 Heike Gross
Chez soi
Remplir sa déclaration d’impôts: réponses et conseils
26.08.2024 Nadine Graf
Chez soi
Autorité parentale: ce qu’il faut savoir
22.08.2024 Severin Stillhard

AXA et vous

Contact Déclarer sinistre Postes à pourvoir Médias Courtiers myAXA Login Commentaires de clients GaragenHub S'abonner à la newsletter myAXA FAQ

AXA dans le monde

AXA dans le monde

Rester en contact

 DE FR IT EN Conditions d’utilisation Protection des données Cookie Policy © {YEAR} AXA Assurances SA