Le quishing est une forme de fraude qui utilise des codes QR frauduleux pour tromper les utilisateurs. Cette arnaque profite de la confiance des gens dans les codes QR. Ces derniers sont souvent utilisés pour accéder rapidement à des informations ou effectuer des paiements.
Le QR Code (Quick Response Code en anglais), est un type de code bidimensionnel composé d’une matrice de carrés noirs sur fond blanc. Elle peut contenir plus d’informations que le code-barres traditionnel. Une fois scanné par la caméra de votre smartphone, il vous redirige vers un site Web, un contact ou une application.
La démocratisation du code QR pendant la pandémie, l’a également rendu intéressant pour les cybercriminels. Ils en ont engendré un nouveau type de phishing. Selon une étude récente, le phénomène aurait augmenté de 587 % entre août et septembre 2023. Il est passé de 0,8 % en 2021 à près de 11 % au premier semestre 2024.
Une gangrène à tous les secteurs
Il existe plusieurs escroqueries perpétrées sur la base du quishing. Elles touchent également les secteurs comme les assurances et les propriétaires de voitures.
Ainsi, les escrocs peuvent envoyer des communications par courrier électronique ou par courrier postal qui semblent provenir d’institutions de confiance. Ces courriers contenant des codes QR, une fois scannés, peuvent à la place télécharger des logiciels malveillants ou rediriger vers des sites clones malveillants.
Dans tous les cas, l’utilisateur qui scanne un QR code pour utiliser un service est dirigé vers un site apparemment légitime. Et, il finit souvent par saisir ses données sensibles (identifiants de connexion ou données de carte bancaire) sur une page en réalité contrôlée par des arnaqueurs.
Comment se protéger du quishing
En général, il est conseillé de toujours vérifier la validité de l’adresse web du site vers lequel vous êtes dirigé et de signaler les codes QR suspects aux opérateurs du service légitime. Voici donc quelques recommandations pour vous protéger contre le quishing :
- Ne fournissez jamais d’informations confidentielles telles que des codes d’adhésion, des codes PIN ou des numéros de carte à des tiers ;
- Méfiez-vous des QR Codes reçus par e-mail ou par courrier. Et pour effectuer des transactions bancaires, utilisez uniquement les canaux officiels de la banque
- Signalez les e-mails suspects au service clients pour vérifier l’authenticité du message.
Il est également recommandé d’envisager des contrôles de sécurité supplémentaires pour se protéger. Entre autres, on a les filtres anti-spam, les mots de passes robustes et l’authentification à deux facteurs (2FA).
