Qu'est-ce que le QR Phishing ? Comment détecter et prévenir les escroqueries par code QR ?

Quishingou code QR phishingest le dernier né d'une longue série de menaces pour la cybersécurité. Aussi ridicule que cela puisse paraître, il est utile d'en être conscient car cela peut éviter des pertes d'argent, de temps et de réputation de votre entreprise.

Les codes QR sont omniprésents : sur les menus, les affiches dans les rues, les applications et les sites web des entreprises. Ils sont populaires parce que les utilisateurs peuvent utiliser leur appareil photo pour scanner le code QR comme un lien web pour accéder à un site web. 

Si quelque chose est facile pour les utilisateurs, c'est aussi facile à exploiter pour les cybercriminels. Ces derniers utilisent les codes QR pour rediriger les utilisateurs vers un site web différent de celui qu'ils pensent visiter, ce qui permet aux pirates informatiques d'accéder à leurs données personnelles. 

Cet article explique comment les cybercriminels exploitent les codes QR pour mener des attaques de phishing. Il aborde les tactiques courantes, des exemples concrets, des stratégies de prévention et les meilleures pratiques en matière de cybersécurité.

Qu'est-ce que le QR Phishing (Quishing) ?

On parle de QR phishing (Quishing) lorsque des pirates utilisent des codes QR pour rediriger les utilisateurs vers des sites malveillants ou frauduleux au lieu du site vers lequel l'utilisateur pense se rendre lorsqu'il scanne le code. Les sites vers lesquels l'utilisateur est redirigé sont des sites que des parties malveillantes utilisent pour voler des informations aux utilisateurs, comme leurs identifiants et leurs coordonnées bancaires, ou pour installer des logiciels malveillants afin de voler d'autres informations. 

Les attaques de "quuishing" sont plus difficiles à détecter que les attaques de "phishing" traditionnelles, car il est plus complexe de copier les codes QR pour y trouver du contenu malveillant que de scanner des URL traditionnelles. Il est donc plus difficile d'attraper les quishers que les phishers. 

Comment fonctionnent les attaques de QR Phishing

Savoir exactement comment fonctionne le QR phishing vous aidera à comprendre comment le combattre et à assurer la sécurité de vos clients. Voyons d'abord comment fonctionne le Quishing, étape par étape, puis les scénarios d'attaque les plus courants, afin que vous sachiez à quoi vous attendre.

Décomposition étape par étape des attaques de QR Phishing

Voyons comment fonctionne exactement le Quishing.

Les étapes du Quishing sont les suivantes :

1. Création de codes QR malveillants : Les pirates créent des codes QR malveillants qui contiennent des liens vers des sites web frauduleux qui donneront des avantages aux pirates plutôt qu'aux créateurs du code QR original. 
2. Placement dans les courriels, les affiches, les sites web et les messages : Les fraudeurs distribuent ensuite leurs codes QR et les superposent aux codes originaux, de sorte que les victimes ne se rendent pas compte qu'elles scannent un code frauduleux. 
3. La victime scanne le code et est redirigée vers un site d'hameçonnage ou vers le téléchargement d'un logiciel malveillant : Lorsque les victimes font cela, il leur est impossible de savoir qu'un code QR est faux car il n'y a pas de caractéristiques d'identification qui les distinguent des originaux. 

Scénarios courants d'attaques de type "Quishing

De nombreux scénarios d'attaque se produisent lorsque des escrocs utilisent des codes QR pour tendre des pièges virtuels à leurs victimes. 

Voici quelques-uns des scénarios d'attaque les plus courants :

• Fausses pages de connexion (par exemple, portails bancaires, de messagerie ou d'entreprise): Les escrocs créent souvent des pages de connexion qui semblent presque identiques aux originaux des sites web qui contiennent des clients ayant des informations sensibles recherchées par les pirates, comme les banques ou les portails d'entreprise.
• Fausses enquêtes auprès des clients avec des incitations: Tout le monde veut gagner de l'argent en répondant à une enquête rapide, et les escrocs exploitent ce désir pour voler des informations. Les victimes cèdent à leur besoin de gagner de l'argent en remplissant leurs coordonnées, que les pirates reçoivent à la place d'entreprises légitimes.
• Des codes QR dans de fausses factures de stationnement ou de paiement: Avez-vous déjà reçu un avis de stationnement ou une facture ? Beaucoup de gens l'ont fait, et ces faux codes QR profitent de l'urgence que ressentent les gens à payer leurs factures ou leurs amendes de stationnement pour éviter des pénalités ou même une peine de prison. L'urgence conduit à l'exploitation par les quishers, qui reçoivent des coordonnées bancaires qu'ils utilisent pour voler de l'argent.
• Faux codes QR dans les applications professionnelles: Les entreprises ne sont pas à l'abri des escroqueries aux codes QR. Des personnes malveillantes peuvent superposer leur propre faux code QR à un code légitime, par exemple dans une application de gestion de la relation client (CRM) ou de pointage des employés. application de pointage des employés pour un appareil mobile. Les escrocs obtiennent les coordonnées des employés et ont éventuellement accès aux données de l'entreprise.

Pourquoi le QR Phishing est dangereux

Le QR phishing semble prendre quelques personnes au dépourvu, mais est-il vraiment si dangereux ? La réponse courte est oui. 

Le "quishing" peut coûter des millions de dollars par an aux victimes parce qu'il est difficile à repérer. Les gens font confiance aux codes QR, les appareils mobiles ont une sécurité plus faible et les pirates trouvent qu'il est facile de passer les filtres de sécurité traditionnels des courriels qui n'ont pas le profil de conception pour se protéger contre cette génération de pirates. 

Le coût de la cybercriminalité mondiale a atteint 9,22 billions de dollars et est susceptible d'augmenter en raison de l'introduction de nouvelles formes de cybercriminalité telles que le sQuishing. La cybercriminalité coûte actuellement des sommes considérables aux entreprises et aux clients, d'où l'intérêt de prendre des mesures pour l'empêcher de se produire.

Un exemple concret d'attaque par QR Phishing

C'est une chose d'être informé sur les attaques de Quishing, mais ce n'est que lorsque vous entendez parler de l'impact qu'elles ont eu sur les entreprises que vous vous rendez compte de la situation. entreprises sur les entreprises et les communautés, avec des exemples concrets. Le premier de ces exemples est celui d'un malheureux qui a perdu 17 000 dollars.

La victime perd 13 000 livres sterling à cause d'escrocs qui utilisent le QR

En novembre 2023, une malheureuse dame de 71 ans de Newcastle, en Angleterre, a été victime d'une escroquerie au code QR, qui lui a fait perdre 17 000 dollars. $17,000. La partie malveillante réussit son escroquerie en plaçant le faux code QR sur le code officiel d'un panneau de stationnement.

Dans un premier temps, l'argent de la dame semblait être en sécurité, car lorsqu'elle a saisi ses coordonnées bancaires sur le site frauduleux, sa banque a bloqué la transaction. Malheureusement, les escrocs ont utilisé une autre technique : ils se sont fait passer pour des employés de banque et ont réussi à l'inciter à contracter un prêt de 9 500 dollars. La personne malveillante a alors agi rapidement en modifiant ses coordonnées bancaires, en obtenant de nouvelles cartes et en créant un compte en ligne. 

Le gouvernement local a décidé de retirer tous les codes QR de tous les parkings du TransPennine Express.

Ces incidents peuvent avoir un impact sur les individus pendant de nombreuses années après qu'ils se soient produits, car il est très difficile de récupérer des milliers d'économies, comme nous le voyons dans l'exemple ci-dessus. 

Comment se protéger contre le QR Phishing

Les escroqueries de type QR phishing sont sournoises et difficiles à détecter. Mais la bonne nouvelle, c'est qu'il est encore possible de les prévenir. Il est encore possible de les prévenir. 

Suivez ces bonnes pratiques et ces mesures de sécurité technique pour vous protéger, vous et votre organisation, contre les attaques de QR phishing :

Sensibilisation des utilisateurs et bonnes pratiques

Tout d'abord, vous devez toujours vérifier les sources des codes QR. Vous pouvez utiliser une application spéciale à cet effet, mais les escrocs sont sournois. Assurez-vous donc que l'application de vérification des codes QR est bien réelle avant de l'installer et de l'utiliser, car les escrocs peuvent également créer de fausses applications pour accéder à vos données. 

Ensuite, utilisez des applications qui scannent les codes QR avant d'ouvrir les liens. Cette bonne pratique vous évite d'ouvrir des liens lorsque vous n'êtes pas sûr de votre destination. 

Enfin, en cas de doute sur une source, ne scannez pas un code QR et vérifiez-le avant de le scanner. 

Mesures de sécurité technique

Si vous êtes une organisation, et en particulier une entreprise, vous avez beaucoup plus à perdre que la plupart des individus, comme par exemple données des millions de dollars et des dommages irréparables à la réputation de votre entreprise.

Mettez en œuvre l'authentification multifactorielle (MFA) pour les connexions afin d'éviter les attaques de QR phishing. Cette méthode consiste à envoyer un code au téléphone de l'utilisateur chaque fois qu'il souhaite se connecter, ce qui permet d'éviter les escroqueries par code QR grâce à une couche de sécurité supplémentaire.

Votre deuxième approche devrait consister à utiliser des solutions de cybersécurité dotées de fonctions permettant de détecter les escroqueries par hameçonnage QR. Cette fonction vous mettra à l'abri de cette menace. 

Enfin, proposez une formation qui aide les employés à se familiariser avec les menaces d'ingénierie sociale telles que les escroqueries par hameçonnage QR, afin qu'ils puissent les détecter et les éviter efficacement. 

Note de bas de page

Le QR phishing est dangereux car il peut coûter de l'argent aux particuliers, endommager des données et nuire à la réputation d'une organisation. 

Il est difficile de découvrir les escroqueries par phishing QR par rapport aux escroqueries par phishing traditionnelles, car les codes QR sont plus complexes et plus difficiles à analyser pour en vérifier la légitimité. Heureusement, certaines mesures peuvent vous protéger, comme les applications de pré-scanning QR, l'authentification multifactorielle et la formation des employés sur les menaces d'ingénierie sociale pour réduire ces attaques.

Si vous suivez ces mesures et pratiques, vous pouvez éviter la plupart des menaces de QR phishing et protéger vos employés et vous-mêmes contre les pertes d'argent.

• À propos de
• Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Qu'est-ce que le QR Phishing ? Comment détecter et prévenir les escroqueries au code QR ? - 15 avril 2025
• Comment vérifier les enregistrements SPF en utilisant nslookup, dig ou PowerShell ? - 3 avril 2025
• Outlook applique DMARC : les nouvelles exigences de Microsoft concernant les expéditeurs expliquées ! - 3 avril 2025