Le quishing : la renaissance du phishing

Le phishing, une des techniques de fraude les plus connues se donne un regain de beauté. En effet, cette nouvelle variante a le même objectif que le phishing, obtenir des informations sensibles telles que des mots de passe ou des informations bancaires, et ce, en usurpant l’identité d’une institution publique, une banque ou une grande entreprise. La forme de l’arnaque de base du phishing va évoluer, celle-ci va prendre la forme d’un QR code, voyons en quoi ça consiste exactement.

Qu’est ce que le quishing ?

Le quishing est donc une forme de phishing, ou appelé hameçonnage en France, qui exploite des QR codes pour duper les victimes et voler leurs données personnelles. Ces QR codes vont renvoyer à un site web ou à un service d’assistance frauduleux. Les codes QR sont des codes de forme carrée qui permette d’accéder à des informations, des sites internet ou des services en ligne de façon plus rapide. Le mot « quishing » est un mot-valise composé des mots QR et phishing.

Les différences avec le phishing :

Malgré que ce soit deux techniques de fraude similaire, quelques différences les dissocient.

  • Le phishing utilise un lien ou des numéros de téléphone, alors que le quishing se base sur l’utilisation d’un QR code.

  • L’hameçonnage est plus détectable par les logiciels antivirus, tandis que le quishing est plus difficile à détecter.

  • Le phishing est souvent utilisé pour voler de plus amples renseignements, le quishing, quant à lui, est plus utilisé pour voler des données bancaires.

Nouveau call-to-action

Comment fonctionne le quishing ?

Comme cité auparavant, cette technique de fraude utilise le même format que celle de l’hameçonnage, du spear phishing ou encore du spoofing :

L’email ou le message prétend venir d’une institution légitime comme une banque ou une entreprise. Il peut aussi impliquer une usurpation d’identité fournisseur. Le mail contiendra une alerte tel qu’un message d’expiration de carte dans le but d’inciter la victime à agir rapidement.

Ce site internet est conçu pour être quasiment identique à celui d’une banque ou entreprise de façon à rendre l’arnaque encore plus légitime. Vous pouvez y retrouver des logos, slogans, une vidéo de l’entreprise, des documents à télécharger en rapport avec l’entreprise ou encore des actualités sur l’entreprise.

La victime rentre ses données, ensuite, elles vont être utilisées par les pirates pour accéder, par exemple, à son compte bancaire.

Plusieurs techniques sont utilisées :

  • Les escrocs peuvent placer une affiche promotionnelle sur un panneau public, celle-ci contient un code QR pouvant être scanné par plein d’utilisateurs différents, des passants lambdas, etc. Ce code est évidemment frauduleux, il renverra vers des sites malveillants ressemblants comme deux gouttes d’eau aux pages généralement utilisé de vos banques, entreprises,…

  • Les attaques par envoient de mails frauduleux qui prétendent venir de votre institution financière habituelle, celui-ci indique que votre numéro de carte expire et qu’il est impératif de le changer, et pour le changer il faut scanner le QR code et modifier le numéro sur le site malveillant.

  • Les attaques par message téléphonique, ici les cybercriminels interceptent un message de votre banque légitime et y insèrent un code QR qui renvoie vers un service en ligne malveillant. Ce service demandera alors la modification de vos coordonnés personnelles et de votre identité numérique, compromettant ainsi la sécurité de vos informations sensibles.

Toutes ces techniques de quishing auront le même objectif, vous volez de l’argent, vous volez vos informations,…

Comment se protéger du quishing ?

Ne scannez pas les QR codes contenus dans le corps du texte, n’appelez jamais les numéros de téléphone inclus dans le message.

Un VPN va crypter votre trafic internet, ce qui va rendre plus difficile le suivi de votre activité et le vol de vos informations.

Cela va permettre de détecter les activités suspectes, en cas de détection, prévenez directement les autorités compétentes.

Si vous avez des doutes sur l’authenticité d’un message, contacter directement le numéro légitime utilisé en temps normal pour confirmer l’identité de la personne qui vous a contacté.

Stronger Together

Je choisis mon réseau et je partage !