LE QUISHING : PHISHING UTILISANT LES CODES QR

Posted On 27 Nov 2023

Tag: flashcode, qr code, QR Code Decoder, qrcode, quishing

Qu’est-ce que le quishing ? Non, ce n’est pas une tarte salée d’origine française, mais un type de phishing, d’hameçonnage exploitant les QR Codes pour piéger les internautes.

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Vous aimez nos actus inédites ? ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

Le quishing est un terme marketing désignant une cyberattaque qui utilise des codes QR pour tromper les utilisateurs et voler leurs données personnelles. Ce type de phishing a été abordé par ZATAZ en 2019, déjà via des attaques par QR Codes piégés.

Les codes QR, ces carrés noirs et blancs scannés avec nos smartphones, sont omniprésents dans notre quotidien. Ils offrent un accès pratique à des informations, des promotions, des paiements de factures dans les restaurants, ou des programmes de cinéma via le web et autre location de vélo [voir la vidéo diffusée sur le Youtube de ZATAZ]. Toutefois, leur utilisation généralisée a également créé des opportunités pour les cybercriminels.

Les auteurs de quishing savent que les QR Codes sont souvent scannés sur des appareils personnels, généralement moins sécurisés que ceux des entreprises. Ils utilisent cette faille pour leurs méfaits. D’après plusieurs sociétés spécialisées en cybersécurité, les incidents de quishing auraient doublé ces derniers mois. Les forums clandestins regorgent de conseils sur la création de faux QR Codes, que les cybercriminels envoient ensuite via des plateformes comme Telegram, WhatsApp, etc. En 2019, ZATAZ a révélé une affiche piégée dans le métro parisien.

Comment fonctionne le quishing ?

Un QR Code est un type de code-barres bidimensionnel stockant des données numériques comme du texte, des URL, etc. Il est utilisé pour stocker des liens web, des informations de contact, des identifiants de produit, des informations de billetterie, et plus encore.

Dans le quishing, le hacker envoie des courriels ou des messages semblant provenir d’organisations légitimes, incitant les victimes à scanner un QR Code pour divers prétextes. Parfois, les QR Codes malveillants sont cachés dans des pièces jointes pour échapper aux analyses antivirus. Les cybercriminels utilisent aussi des domaines ressemblant à des sites authentiques, mais avec des fautes de frappe ou d’autres suffixes (.net, .org, .co, etc.). Lorsque le QR Code est scanné, il redirige l’utilisateur vers un site frauduleux.

Prudence également pour les créateurs de QR Codes. De nombreux sites offrent la possibilité de suivre l’utilisation des QR Codes à des fins marketing. Si l’administration de ces sites est compromise (par un mot de passe faible ou piraté), les QR Codes créés peuvent devenir des pièges. En septembre 2023, j’ai rapporté des boîtes de céréales pour enfants Pat’Patrouille transformées en supports publicitaires pour sites inappropriés.

Comment se protéger ?

ZATAZ conseille d’utiliser des outils en ligne ou des applications mobiles permettant de décoder le contenu d’un QR Code. Avant de scanner un QR Code, vérifiez le support où il est collé, car des malveillants peuvent remplacer les QR Codes originaux. Téléchargez une application de lecture de QR Codes sur votre smartphone, comme « QR Code Reader », « Barcode Scanner & Generator » ou « QR Scanner ». Il existe aussi des sites web pour lire les informations cachées derrière un QR Code, tels que « QR Code Decoder » (https://www.onlinebarcodereader.com) ou « ZXing Decoder Online » (https://zxing.org/w/decode.jspx).

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.