Qu’est-ce que le quishing ?
Le Quishing est une forme d’escroquerie en ligne qui utilise des QR codes pour tromper les victimes potentielles. C’est une variante du phishing, où les cybercriminels se font passer pour un tiers de confiance via un e-mail, un SMS, un appel téléphonique, afin de soutirer des informations confidentielles. Dans le cas du Quishing, les escrocs cachent un site malveillant ou un logiciel piraté dans ces QR codes.
Un QrCode malveillant peut être utilisé pour installer un logiciel malveillant sur l’appareil de la victime. Il permettra de récupérer une liste de contacts présents sur l’appareil, d’envoyer des messages par e-mail ou par téléphone, de déclencher des appels téléphoniques vers des numéros surtaxés, d’envoyer des SMS malveillants, ou encore d’effectuer des paiements en ligne frauduleux.
Un exemple d’arnaque au QrCode : les parcmètres permettent de plus en plus de payer votre stationnement via un smartphone. Ils vous proposent pour cela d’installer une appli en flashant un QrCode. En collant un faux qrcode par dessus le vrai, le cybercriminel vous fait installer un application qui ressemble en tout point à la vraie, à ceci près que le montant du stationnement ira directement dans sa poche…
Les bonnes pratiques
Il est par nature difficile de distinguer un faux QrCode d’un vrai, puisque seul votre smartphone est capable de décrypter les informations qu’il contient. Faites preuve de vigilance avant de flasher des QR codes, en particulier s’ils sont reçus par e-mail ou affichés dans l’espace public. Il est préférable de ne scanner que les QR codes provenant de sources fiables. La première vérification consiste à s’assurer que le QrCode fait bien partie intégrante du document affiché et qu’il ne s’agit pas d’un potentiel faux QrCode collé par dessus le vrai !.