Comment les escrocs se servent des codes QR pour dérober vos données
Les codes QR ne sont pas tous sans danger. Découvrez comment éviter de vous faire piéger par le « quishing ».
Temps de lecture: 6 min
Les codes QR sont rapidement passés du statut de nouveauté technologique à celui de fonctionnalité quotidienne, présents sur toutes sortes d’objets, des factures aux cartes de visite. Mais à mesure que nous avons pris l’habitude de scanner, les cybercriminels ont trouvé un moyen d’exploiter notre confiance. Découvrez le quishing : une forme sournoise d’hameçonnage qui exploite des codes QR d’apparence anodine pour dérober vos données personnelles.
Comment le « quishing » gagne du terrain
Les codes QR (pour « quick response ») ont été inventés en 1994 par un constructeur automobile japonais afin de rationaliser la production. Aujourd’hui, ces petits carrés renferment toutes sortes de données, comme des URL, des détails sur un produit ou des informations de contact. Leur attrait réside dans leur simplicité. Au lieu de saisir une longue URL, vous scannez le code et votre téléphone vous renvoie instantanément vers le bon site ou contenu. Cette pratique s’est popularisée pendant la pandémie, lorsque les entreprises cherchaient un moyen sans contact d’assurer le bon fonctionnement de leurs activités et la sécurité de leurs clients.Désormais, les codes QR font partie intégrante de nos habitudes quotidiennes, des emballages aux murs des toilettes. Besoin d’un manuel d’utilisation pour votre nouvel appareil ? Il suffit de scanner le code. Pour payer l’addition ? Un code QR, bien sûr ! En raison de leur banalisation, nous accordons une confiance aveugle aux codes QR. Mais c’est précisément sur cette confiance que misent les cybercriminels. Pensez à la célèbre publicité de Coinbase lors du Super Bowl 2022 : un code QR rebondissant qui incitait des millions de téléspectateurs à scanner et à télécharger leur application. Si la méthode était ingénieuse et efficace, elle a également suscité de vives inquiétudes parmi les spécialistes de la cybersécurité. Les dangers potentiels se sont fait encore plus sentir lorsque des escrocs se sont mis à utiliser des codes QR à des fins frauduleuses dans le domaine des cryptomonnaies, amenant leurs victimes à céder leurs fonds.
Comment fonctionne le quishing ?
Dans le cadre du quishing, les escrocs génèrent un code QR malveillant qui redirige les utilisateurs peu méfiants vers un site web dangereux. Ces codes QR sont soigneusement intégrés dans des emails de phishing, diffusés sur les réseaux sociaux, imprimés sur des prospectus ou même apposés sur des supports physiques dans le monde réel. L’appât ? Une petite prouesse d’ingénierie sociale. Imaginez : vous recevez un email vous annonçant que vous avez gagné une somme d’argent ou que vous devez écouter un message vocal important et que vous n’avez qu’à scanner un code QR pour y avoir accès. Mais une fois le code scanné, on vous redirige vers un site malveillant où on vous invite à saisir des données personnelles comme votre nom, votre adresse électronique, votre date de naissance ou des informations bancaires. D’apparence légitime, ces faux sites ont en fait pour seul objectif de s’emparer de vos données en vue d’usurper votre identité, de vous escroquer financièrement, voire pire. La Federal Trade Commission a relevé des cas dans lesquels des escrocs apposent leurs propres codes QR sur des horodateurs, ou dans lesquels des SMS incitent leurs destinataires à scanner un code QR pour corriger des problèmes sur leur compte ou réagir à une « activité suspecte ». Le point commun ? Le caractère urgent qui pousse les victimes à agir sans réfléchir.
La banque N26
Chez N26 la sécurité est notre priorité. Découvrez une expérience bancaire 100 % mobile
Pourquoi nous sommes particulièrement vulnérables au quishing
Pourquoi les criminels se tournent-ils vers le quishing ? La réponse : nos vies quotidiennes tournent autour de nos téléphones. La plupart des ordinateurs disposent de plusieurs couches de protection contre l’hameçonnage, compliquant considérablement la tâche des personnes mal intentionnées. Mais qu’en est-il des smartphones ? Les escrocs y voient une occasion à saisir. Les appareils mobiles sont généralement moins bien protégés, et les arnaques au code QR échappent facilement aux mécanismes de protection traditionnels, comme les passerelles de messagerie sécurisées. En réalité, de nombreux systèmes de sécurité perçoivent les codes QR comme de simples images tout à fait anodines, et ne détectent aucunement la menace qui s’y cache.Comme les gens ont pris l’habitude de scanner les codes QR sans trop réfléchir, ils risquent de ne pas se rendre compte que le code qu’ils viennent de scanner les dirige vers un site dangereux ou qu’il installe un logiciel malveillant sur leur appareil. Le résultat ? Les cybercriminels peuvent dérober vos données personnelles, vos informations bancaires, voire pire, tout en se cachant derrière l’image en apparence inoffensive d’un code QR.
Pourquoi le quishing est un véritable défi en matière de cybersécurité
Le quishing est un vrai casse-tête, car cette pratique passe d’un appareil à l’autre, ce qui la rend plus difficile à détecter. Par exemple, vous recevez un email sur votre ordinateur de travail contenant un code QR, mais vous scannez ce dernier à l’aide de votre téléphone. S’il s’agit de votre téléphone personnel, il y a fort à parier qu’il n’est pas couvert par les mesures de sécurité de votre entreprise, ce qui facilite la tâche des pirates. À l’inverse, si un code QR malveillant atterrit dans votre boîte de réception personnelle, mais que vous le scannez avec un appareil professionnel, le logiciel malveillant peut se frayer un chemin à travers les défenses de votre entreprise. Cette combinaison d’appareils génère des angles morts qui entravent la capacité des entreprises à repérer et à bloquer ces attaques sournoises.
Comment se protéger du quishing ?
Le moyen le plus simple de se protéger du quishing reste d’éviter de scanner des codes QR au hasard, surtout s’ils proviennent de sources inconnues. Si quelque chose vous semble louche, comme un code QR placé à un endroit peu commun, prenez le temps d’inspecter l’URL à la recherche de graphies étranges ou de lettres interverties. En cas de doute, évitez de scanner le code et vérifiez les informations en appelant un numéro de confiance ou en vous rendant sur le site web officiel de l’entreprise. La plupart des entreprises légitimes ne se servent pas des codes QR pour la vérification des comptes. Pour ajouter des couches de sécurité supplémentaires, activez l’authentification multifactorielle (MFA) et faites preuve de prudence en ce qui concerne les notifications d’authentification : approuvez-le seulement si vous êtes à l’origine de l’ouverture d’une session. Enfin, gardez votre téléphone à jour et privilégiez des mots de passe forts et uniques combinés à l’authentification multifactorielle pour garder une longueur d’avance sur les escrocs.
Votre argent chez N26
Chez N26, votre sécurité est notre priorité. Des mécanismes de sécurité comme 3D Secure et la reconnaissance biométrique sont intégrés à votre compte N26 pour garantir votre sécurité et celle de votre argent. Nous publions par ailleurs régulièrement de nouveaux articles sur notre blog à propos des dernières méthodes de fraude en ligne et des moyens de s’en prémunir. Découvrez comment protéger votre identité numérique, créer un mot de passe fort, comment fonctionne la banque mobile sécurisée, et bien d’autres choses encore.
L'intelligence artificielle améliore la détection des fraudes, l'évaluation des risques, le service client dans le domaine bancaire. Xavier Lavayssière explore l'impact potentiel et les défis de l'IA.
L'intelligence artificielle améliore la détection des fraudes, l'évaluation des risques, le service client dans le domaine bancaire. Xavier Lavayssière explore l'impact potentiel et les défis de l'IA.
