Les pirates informatiques ont décidément de la ressource. Après les arnaques au phishing, les experts alertent contre une nouvelle procédure encore plus pernicieuse : le quishing. On vous explique tout.
Le phishing, c’est quoi ?
Utilisé depuis près de vingt ans par les pirates peu scrupuleux, le phishing est une technique d’arnaque en ligne simple, mais redoutablement efficace. Via un SMS ou un mail se faisant passer pour un organisme officiel ou de confiance (comme votre banque, la Sécurité sociale, un transporteur privé ou encore le gouvernement), un escroc va pousser sa victime à cliquer sur un lien frauduleux. Ce dernier renvoie généralement vers un site miroir, et demande plusieurs informations sensibles, comme les noms, prénoms, adresse… ainsi qu’un RIB ou un numéro de carte bancaire. Dans certains cas, la tentative de phishing peut aussi inciter à télécharger un logiciel malveillant, qui se chargera ensuite d’infecter une machine, ou d’aspirer directement vos données personnelles.
Aujourd’hui, les arnaques au phishing sont de plus en plus convaincantes, mais elles commencent aussi à être connues du grand public, qui se méfie des liens suspects et des messages trop incitatifs de la part des entreprises. La cybercriminalité n’a donc pas eu d’autre choix que de renouveler son jeu, en misant sur une autre technique redoutable : le quishing. Derrière ce nom compliqué, le pirate ne fait pas dans l’originalité : les sites, liens ou logiciels frauduleux sont les mêmes, seul le mode opératoire change. Au lieu d’appâter leur victime avec un mail ou un SMS, ils optent plutôt pour un QR Code, affiché à la vue de tous et toutes.
Les QR codes sont partout
Si les arnaques au QR Codes ne sont pas nouvelles, leur nombre a considérablement augmenté pendant la pandémie, où le dispositif était utilisé pour la vérification des pass sanitaires et des dérogations de sortie. Depuis quelques années, les QR Codes sont désormais placardés à la vue du grand public, dans les couloirs du métro ou l’espace urbain. Ils sont aussi utilisés pour authentifier une place de concert, valider des tickets de transports, ou encore accéder au menu d’un restaurant. Une aubaine pour des personnes mal intentionnées, qui peuvent y glisser un ransomware, ou n’importe quel autre logiciel malveillant sous couvert d’une publicité innocente.
De leur côté, les internautes sont généralement peu méfiants à l’égard de ces codes à scanner. Une erreur, surtout quand on sait que les téléphones ne bénéficient généralement pas des mêmes protections qu’un ordinateur. En ajoutant un QR code frauduleux à un mail en provenance d’un service de streaming par exemple, et en menaçant l’internaute d’un blocage de compte imminent, ou en misant sur l’exposition d’un affichage en pleine rue, de plus en plus d’internautes risquent désormais de voir leurs données dérobées. Prudence donc, exhorte l’organisme belge de cybersécurité Safe on web, qui préconise de traiter les QR codes inconnus avec méfiance.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Bof, se méfier de TOUTES les sollicitations, elles ne sont jamais désintéressées.
Il faudrait plus d’informations : un QR code n’est qu’une information textuelle non ?
Elle ne peut pas valider une action au dépend de notre volonté sinon faudrait revoir les lecteurs QRcode sur les smartphones pour empêcher une action directe si c’est le cas.
Après si c’est juste un lien foireux vers un site qui cherche à nous voler des informations, ça reste juste du hameçonnage déguisé.
Ce qui est risqué c’est que des pirates les mettent à la place de QRcode officiel.
Accord pas soucis avec Swat police ❤️
David R. il me semble que ca peut aller plus loin que ça. Le hacker Richard Henderson a montré comment faire planter des lecteurs de code barre avec un QR CODE
Ça manque d’explication et surtout les sources de vos histoires!!!
Une chose est certaine,quelque soit le mode de piratage et d’arnaque, il ne faut rien répondre ou donner a qui que se soit,évité de laisser les données de carte bancaire et rib,a qui que ce soit.
Sinon,demander un courrier par voie postale,pour confirmer,ce qui vous laisse le temps de faire vos recherches.
Les escrocs modernes,ont ou sont des ingénieurs en informatiques,leurs cibles,sont surtout les jeunes,et les personnes âgées,qui paniquent vite,en lisant des sms,ou mail menaçant ou en faisant des achats sur des sites inconnus,ou non sécurisés,il faut se méfier des offres alléchantes,dont les tarifs sont douteux et illogiques.
Notre monde moderne évolue,et les escrocs aussi,alors méfiance absolue!!