Il est de notoriété publique que le phishing constitue un danger sur Internet. Avec le développement de nouvelles options techniques, les méthodes de phishing ont évolué au fil des années. De manière relativement générale, on peut dire que les possibilités techniques existantes ont toujours été et sont encore utilisées pour des tentatives de fraude. Entre-temps, cela concerne également les codes QR, qui ont connu une certaine diffusion dans la vie quotidienne. Avec eux, l’arnaque du quishing a vu le jour. Mais qu’est-ce que le quishing, comment ça marche et comment s’en protéger ?
Du phishing au quishing
Le quishing est le développement du phishing, qui ne fonctionne plus avec de simples liens, mais avec des codes QR. Le phishing est la tentative d’usurper l’identité d’une autre personne de confiance via des e-mails, de faux sites Web ou des messages courts afin d’accéder à des données réellement protégées. En pratique, cela signifie des e-mails qui se font passer pour des e-mails bancaires, redirigent vers une fausse page bancaire et demandent des données bancaires en ligne. Ou le lien mène à une page qui démarre un téléchargement automatique de logiciels malveillants. Quiconque tombe dans le piège perd généralement beaucoup d’argent. Parfois, le phishing implique également des méthodes supplémentaires pour mettre les victimes sous pression et les forcer à communiquer leurs mots de passe et autres données.
En cas de quishing, comme déjà mentionné, des codes QR sont utilisés. En pratique, cela signifie que les prétendus e-mails bancaires ne contiennent plus de liens vers de faux sites Internet, mais des codes QR qui y mènent dès qu’ils sont scannés.
Les failles de sécurité comme passerelle
Le quishing est plus attrayant pour les criminels que le simple phishing. Cela est dû à une faille de sécurité : les antivirus reconnaissent uniquement les codes QR comme des images, ils ne vérifient pas le lien codé avec ceux-ci. Quiconque souhaite utiliser des codes QR pour diriger des personnes vers des sites Web malveillants n’a donc aucune difficulté à le faire – du moins avec les antivirus. Pour vous, cela signifie que vous ne devez jamais vous fier à un code QR contenu dans un e-mail menant à un site Web inoffensif si votre antivirus l’a classé comme non menaçant.
De plus, les codes QR contenus dans les courriers n’éveillent guère de soupçons de nos jours. Nous sommes habitués à changer de plateforme dans de nombreux domaines de la vie. Dans les services bancaires en ligne, par exemple, il est désormais courant de légitimer les paiements effectués sur un PC sur un téléphone portable. Ainsi, on n’éveille pas forcément des soupçons lorsqu’on nous demande de sortir notre téléphone portable pour scanner un QR code et réaliser une action.
Le quishing se déroule également dans un espace semi-analogue, qui peut être interprété par les criminels comme un progrès. Les lettres marquées de codes QR ne font plus exception. Les criminels peuvent en profiter en créant des lettres d’apparence trompeuse et en les équipant d’un code QR, qui à son tour mène à un site Web malveillant.
Comment reconnaître les tentatives de quishing
Maintenant que nous avons clarifié ce qu’est le quishing, une autre question se pose : comment reconnaître les tentatives de quishing et s’en protéger ? Quelques conseils simples vous aideront.
- Vérifiez l’e-mail de l’expéditeur des e-mails avant de scanner les codes QR qui s’y trouvent. Dans la plupart des cas, il est facile de dire qu’il s’agit d’un faux : les adresses e-mail officielles des entreprises existantes ne peuvent pas être utilisées. Au lieu de cela, des noms douteux, des combinaisons chiffres-lettres ou des noms qui ressemblent aux vrais, comme service@pstbnk.de ou similaire, peuvent être trouvés dans l’adresse e-mail d’envoi.
- En cas de doute, vous pouvez contacter l’entreprise ou l’organisation d’où le courrier est censé provenir. Utilisez les canaux de contact officiels, que vous pouvez trouver sur le site officiel. Avec un e-mail ou un appel téléphonique, vous pouvez généralement vérifier rapidement si le contact initial était authentique.
- Utilisez l’authentification à deux facteurs pour tous les principaux services en ligne que vous utilisez. Même si vos coordonnées vous échappent par phishing ou quishing, vos comptes resteront protégés.
