LE QUISHING : PHISHING UTILISANT LES CODES QR

Qu’est-ce que le quishing ? Non, ce n’est pas une tarte salée d’origine française, mais un type de phishing, d’hameçonnage exploitant les QR Codes pour piéger les internautes.

Le quishing est un terme marketing désignant une cyberattaque qui utilise des codes QR pour tromper les utilisateurs et voler leurs données personnelles. Ce type de phishing a été abordé par ZATAZ en 2019, déjà via des attaques par QR Codes piégés.

Les codes QR, ces carrés noirs et blancs scannés avec nos smartphones, sont omniprésents dans notre quotidien. Ils offrent un accès pratique à des informations, des promotions, des paiements de factures dans les restaurants, ou des programmes de cinéma via le web et autre location de vélo [voir la vidéo diffusée sur le Youtube de ZATAZ]. Toutefois, leur utilisation généralisée a également créé des opportunités pour les cybercriminels.

Les auteurs de quishing savent que les QR Codes sont souvent scannés sur des appareils personnels, généralement moins sécurisés que ceux des entreprises. Ils utilisent cette faille pour leurs méfaits. D’après plusieurs sociétés spécialisées en cybersécurité, les incidents de quishing auraient doublé ces derniers mois. Les forums clandestins regorgent de conseils sur la création de faux QR Codes, que les cybercriminels envoient ensuite via des plateformes comme Telegram, WhatsApp, etc. En 2019, ZATAZ a révélé une affiche piégée dans le métro parisien.

Comment fonctionne le quishing ?

Un QR Code est un type de code-barres bidimensionnel stockant des données numériques comme du texte, des URL, etc. Il est utilisé pour stocker des liens web, des informations de contact, des identifiants de produit, des informations de billetterie, et plus encore.

Dans le quishing, le hacker envoie des courriels ou des messages semblant provenir d’organisations légitimes, incitant les victimes à scanner un QR Code pour divers prétextes. Parfois, les QR Codes malveillants sont cachés dans des pièces jointes pour échapper aux analyses antivirus. Les cybercriminels utilisent aussi des domaines ressemblant à des sites authentiques, mais avec des fautes de frappe ou d’autres suffixes (.net, .org, .co, etc.). Lorsque le QR Code est scanné, il redirige l’utilisateur vers un site frauduleux.

Prudence également pour les créateurs de QR Codes. De nombreux sites offrent la possibilité de suivre l’utilisation des QR Codes à des fins marketing. Si l’administration de ces sites est compromise (par un mot de passe faible ou piraté), les QR Codes créés peuvent devenir des pièges. En septembre 2023, j’ai rapporté des boîtes de céréales pour enfants Pat’Patrouille transformées en supports publicitaires pour sites inappropriés.

Comment se protéger ?

ZATAZ conseille d’utiliser des outils en ligne ou des applications mobiles permettant de décoder le contenu d’un QR Code. Avant de scanner un QR Code, vérifiez le support où il est collé, car des malveillants peuvent remplacer les QR Codes originaux. Téléchargez une application de lecture de QR Codes sur votre smartphone, comme « QR Code Reader », « Barcode Scanner & Generator » ou « QR Scanner ». Il existe aussi des sites web pour lire les informations cachées derrière un QR Code, tels que « QR Code Decoder » (https://www.onlinebarcodereader.com) ou « ZXing Decoder Online » (https://zxing.org/w/decode.jspx).