Certains l'appellent le ''quishing'' - contraction de phishing et QR code -, et c’est la dernière arnaque en date qui sévit sur Internet. Les pirates ont profité de la banalisation de l’utilisation des QR codes depuis quelques années, notamment lors de la pandémie mondiale de Covid-19. Si, de prime abord, l’usage de QR codes à des fins malveillantes semble être une simple tentative d’arnaque de plus, cette technique s’est avérée bien plus efficace que les multiples arnaques par mail ou par SMS…

Comme le rapporte Trellix, une entreprise américaine spécialisée dans le vaste sujet de la cybersécurité, les campagnes de phishing sollicitant des QR codes afin de piéger les internautes sont tout bonnement redoutables. Extrêmement difficile à vérifier en raison d’une absence de texte lisible et d’URL, il semblerait que le QR code soit désormais l’arme la plus efficace des pirates informatiques.

Phishing par QR code : une véritable prolifération

Depuis quelques années maintenant, on constate que les campagnes de phishing par QR codes, ou quishing, sont en nette augmentation. L’entreprise Trellix cite le cas de deux campagnes particulièrement redoutables : la première, sévissant en Chine depuis 2022, prétend accorder des subventions et autres aides financières de la part du gouvernement chinois. Ces QR codes sont envoyés par mail, et une fois scannés, la machine se met en route : les informations bancaires sont immédiatement volées, exposant ainsi les utilisateurs crédules à de nombreux risques. La deuxième campagne de quishing citée date de mai 2023, et fonctionne sur le même principe : un QR code malveillant est envoyé par mail, cette fois à destination des utilisateurs de produits Microsoft. Ici, le prétexte utilisé est une demande d’authentification de compte. Une fois le QR code scanné par la victime, les pirates ont accès à de nombreuses informations personnelles.

Plus récemment encore, on a pu constater une prolifération de ce type d'arnaques dans l'Hexagone. L'été dernier, à Nice, un phénomène similaire a en effet été observé sur les bornes de recharge électrique ou de stationnement de parking, sur lesquelles il sufft habituellement de scanner un QR code pour régler la somme due. Seulement voilà, ces étiquettes ont été remplacées par des versions frauduleuses : une victime, qui ne devait payer que quelques euros pour son stationnement, a ainsi versé plus de 1 000 euros aux pirates contre son gré !

Quishing par mail, mais pas que...

Le quishing est un vrai fléau pour la simple raison que les QR Codes ne sont que des images et, contrairement à une URL, ils existent non seulement en ligne mais aussi dans la vie de tous les jours ! On en retrouve bien sûr dans les courriers éléctroniques, mais aussi dans les courriers réels et pas n'importe lesquels... En effet, derniérement un internaute sur Reddit a signalé avoir reçu ce genre de QR code frauduleux dans un courrier provenant soi-disant de l'Assurance Maladie. Tout semblait réel, et pourtant, l'arnaque était bien présente, l'invitant à augmenter la sécurité de son compte Ameli via ce lien : un piège. Alors même dans votre boîte aux lettres, il faudra user de prudence et appliquer certaines astuces.

Redoublez de vigilance face à ce système redoutable

Face aux campagnes de quishing, il faut évidemment redoubler de prudence, d'autant que les pirates vont jusqu'à afficher un Captcha, autrement dit un système destiné à prouver que vous n’êtes pas un robot. Cette technique a un avantage considérable, puisqu'elle permet de contourner les systèmes de détection anti-phishing déployés par les solutions de cybersécurité. Alors dès lors que vous recevez un mail ou un courrier suspicieux contenant un QR code, ne scannez pas le code avec votre smartphone, ne cliquez sur aucun lien et supprimez immédiatement le mail. Vous réduirez ainsi au maximum les risques d'arnaque.

Et pour éviter celle qui a été repérée en France sur les bornes de stationnement ou récemment dans des courriers papier, un seul conseil encore une fois : plutôt que de scanner un QR code potentiellement fourbe, accédez vous-même à l'application ou le site en question en effectuant directement une recherche sur Internet, sur l'App Store (iPhone) ou le Play Store (Android).

De plus, si vous voulez renforcer au maximum votre sécurité sur Internet, l’option SFR Cybersécurité, la solution de SFR en partenariat avec l'expert Bitdefender, protégeant vos appareils et vos données sur la Toile, peut être envisagée.

Sources : Trellix, Phonandroid