Les QR codes, ces petites matrices noires et blanches, sont devenus un outil courant dans notre quotidien, utilisés pour une variété de tâches allant des paiements mobiles à l’accès rapide à des sites web. Cependant, leur simplicité et leur commodité ont ouvert une porte dérobée aux fraudeurs : le Quishing (fusion de « QR » et « phishing »), ou plus simplement l’arnaque au QR code.
Comment Fonctionne le Quishing ?
Le principe est presque trop « simple » : les escrocs génèrent des QR codes malveillants qui, une fois scannés, redirigent les victimes vers des sites web frauduleux. Ces sites, souvent des copies conformes de sites légitimes, sont conçus pour voler des informations personnelles, telles que les noms d’utilisateur, les mots de passe et les données de cartes de crédit. Le processus est insidieux car il exploite la familiarité et la confiance que nous accordons aux QR codes dans notre vie de tous les jours.
Montée en puissance du Quishing et prise de conscience
2020 : Au début de la pandémie de COVID-19, l’utilisation des QR codes a explosé comme moyen sans contact d’accéder à des menus de restaurant et à des paiements, créant un terrain fertile pour le quishing.
2021 : Les autorités ont mis en garde contre une vague de quishing ciblant les utilisateurs de services bancaires en ligne, avec des campagnes sophistiquées imitant des institutions financières majeures.
2022 : Lancement d’initiatives de cybersécurité par des organisations gouvernementales et non gouvernementales visant à éduquer le public sur les dangers du quishing et à promouvoir l’utilisation sécurisée des QR codes.
Quelques exemples d’arnaque au QR code
- Parking Meters Scam
Des escrocs ont apposé des autocollants de QR Code sur des parcmètres dans plusieurs villes des Etats-Unis. Lorsque les utilisateurs scannaient ces codes pour payer leur stationnement, ils étaient redirigés vers un site web frauduleux qui ressemblait à l’interface officielle de paiement de la ville. Ce site demandait aux victimes de saisir leurs informations de carte de crédit, qui étaient ensuite volées par les fraudeurs.
- Pandémie de COVID-19
Des affiches et des tracts avec des QR Codes prétendument liés à des informations importantes sur le COVID-19 ont été distribués dans des lieux publics et des espaces de travail. Ces QR Codes redirigeaient en fait vers des sites web malveillants conçus pour voler des données personnelles ou déployer des logiciels malveillants sur les appareils des victimes.
- Menu de Restaurant Frauduleux
Des restaurants ont signalé que des QR Codes malveillants avaient été placés sur leurs tables, remplaçant les vrais QR Codes menant aux menus numériques. Les clients qui scannaient ces codes étaient redirigés vers des sites web demandant des informations personnelles ou de carte de crédit, prétendument pour accéder aux menus ou à des offres spéciales.
- Emails de Phishing avec QR Code
Dans cette variante, les fraudeurs envoient des emails contenant des QR Codes, prétendant provenir de banques ou d’autres institutions financières. Les destinataires sont incités à scanner le QR Code pour résoudre un problème de compte urgent. Cependant, le lien mène à une fausse page de connexion bancaire conçue pour voler les identifiants et les mots de passe des victimes.
Mise en lumière de l’ampleur de la menace
Augmentation des incidents : Une étude récente a révélé que les tentatives de quishing ont augmenté de 300% entre 2019 et 2022, une hausse significative qui coïncide avec l’adoption accrue des codes QR dans de nombreux secteurs, notamment la restauration, le commerce de détail et les services bancaires.
Les utilisateurs touchés : Selon un rapport de 2023, environ 1 utilisateur de smartphone sur 5 a scanné un code QR malveillant au cours de l’année précédente, mettant en évidence la portée de cette tactique de fraude.
Pertes financières : Les pertes dues aux fraudes par QR Code ont atteint un pic alarmant de 50 millions de dollars aux États-Unis en 2022, illustrant l’impact financier considérable de ces activités malveillantes.
L’importance d’une vigilance accrue
Le quishing représente un rappel que, dans l’ère numérique, la prudence reste notre meilleure alliée. En restant informé et vigilant, vous pouvez vous protéger contre les tentatives de fraude et naviguer en sécurité dans notre monde connecté.
Conclusion et bonnes pratiques
- Soyez vigilant quant à l’origine du QR code: Méfiez-vous des QR codes non sollicités ou provenant de sources douteuses, notamment ceux affichés dans l’espace public sans contexte clair ou ceux reçus par des canaux non officiels.
- Examinez l’URL de destination : Avant de saisir des informations personnelles, vérifiez l’URL dans votre navigateur. Les sites sécurisés utilisent généralement le protocole HTTPS et l’adresse doit correspondre à l’entité qu’elle prétend représenter.
- Utilisez un scanner de QR Code sécurisé : Certaines applications de scanner de QR Code offrent une protection supplémentaire en analysant l’URL de destination pour détecter les potentielles fraudes.
- Gardez vos informations personnelles privées : Ne saisissez jamais vos informations personnelles, vos identifiants de connexion ou vos détails bancaires sur un site web auquel vous avez accédé via un QR Code, à moins d’être absolument sûr de sa légitimité.