Le “quishing”, c’est le terme anglais qui désigne les QR codes frauduleux. C’est une arnaque très en vogue et un piège redoutable. Pourquoi ? Parce qu’elle prend différentes formes pour tromper la vigilance des potentielles victimes, tout en jouant sur la curiosité de ces dernières, voire sur leurs peurs. Explications. Une attaque polymorphe Quand il s’agit d’arnaquer les gens pour leur soutirer des données sensibles ou de l’argent, les escrocs rivalisent d’ingéniosité. Ces derniers temps, parallèlement aux tentatives traditionnelles, le quishing a pris une nouvelle ampleur. La force de ce dernier, c’est qu’il repose sur l’utilisation d’un QR code. Cela donne donc une certaine souplesse aux pirates qui peuvent tout aussi bien exploiter les supports numériques que physiques. Du côté du numérique Bien entendu, les escrocs continuent à exploiter les mails, d’autant que les QR codes ont une particularité. En effet, ces derniers ne sont pas reconnus au sein d’une image par les filtres anti-spams. Ils permettent donc de contourner les sécurités, ce qui leur donne de prime abord un aspect un peu plus légitime. Généralement, l’image est associée à un texte qui va décrire une situation d’urgence. Cela peut notamment être le cas d’un colis en attente de livraison, d’un compte bloqué, d’une amende à payer, d’un paiement en attente, etc. Mais d’autres messages peuvent également vous parvenir. Il peut être question de profiter d’une réduction exceptionnelle ou de télécharger une application (souvent un malware). De manière plus sournoise, le QR code peut être intégré à un fichier Word. Pour contourner les filtres en place, le fichier en question est corrompu. Word va donc inviter le destinataire à lancer la récupération pour l’ouvrir comme il se doit. Ce n’est qu’à ce moment-là que le code à scanner va apparaître. Dans les derniers cas observés, ce dernier devait donner accès à un document sécurisé. En fait, le lien mène à une page qui imite celle d’une connexion à un compte Microsoft afin de récupérer vos identifiants. Du côté des supports physiques Les QR codes étant des images à scanner, ils permettent aux escrocs de ne pas se limiter aux supports numériques. Plusieurs formes de l’arnaque ont donc été développées pour tenter de piéger les gens. Dans certains cas, les cibles reçoivent une lettre qui contient un papier avec ledit code. Bien sûr, ce dernier imite la communication d’un organisme officiel ou d’une entreprise qui a pignon sur rue. Récemment, les victimes étaient invitées à scanner le code pour télécharger une application (malveillante). Néanmoins, plusieurs variantes peuvent être mises en place, notamment pour inciter les personnes à accéder à un site qui se chargera de collecter les données sensibles. Une autre variante, encore plus malicieuse, a également été mise en lumière. Baptisée “brushing scam“, celle-ci repose sur la livraison d’un colis. Naturellement, vous ouvrez ce dernier et vous découvrez un objet (de valeur moindre) accompagné d’un QR code. Ce dernier est censé permettre d’identifier l’expéditeur. C’est là que le piège se referme puisqu’il mène à un site mis en place pour enregistrer vos données personnelles et les transmettre à l’escroc. Depuis l’introduction de QR codes sur les horodateurs et les bornes de recharge pour les véhicules électriques, les escrocs ont rapidement exploité le filon. Pour vous arnaquer, ils collent tout simplement un QR code frauduleux par-dessus le légitime. Ils espèrent ainsi tromper les utilisateurs qui ne prendraient pas le temps de s’assurer qu’ils scannent le bon code. Là encore, le but est de diriger la personne sur un site qui imite le véritable site cible pour tenter de récupérer ses données bancaires. La méthode peut également être déclinée sur la plupart des appareils automatiques pouvant afficher un QR code. Enfin, depuis le mois de février, c’est l’arnaque au sac plastique qui a été mise en lumière. Découverte dans une commune de la province de Barcelone, celle-ci prend la forme d’un sac plastique qui traîne dans la rue. Ce dernier renferme un papier sur lequel on retrouve un QR code. En l’occurrence, il s’accompagne d’un petit texte indiquant que ledit code permet d’accéder à une (fausse) preuve d’un achat de bitcoins. Bien entendu, le motif peut différer d’un situation à l’autre. Pourquoi le piège est-il si redoutable ? Depuis l’épidémie de COVID-19, les QR codes ont pris plus de place dans notre quotidien. Bars, restaurants, événements, téléviseurs (souvent pour associer des comptes), etc., lesdits codes sont présents partout. Ils sont même utilisés pour partager un code Wi-Fi, payer une contravention ou faciliter l’accès à son profil sur les réseaux sociaux qui l’utilisent. De fait, dès que l’on voit un tel code, un réflexe s’active, à savoir celui de sortir son smartphone et de scanner le code. Au-delà de ça, un autre facteur entre en jeu : la curiosité. Lorsqu’on reçoit un colis inattendu avec un QR code ou que l’on ramasse un sac en plastique avec ladite image à scanner, on est forcément tenté d’en savoir plus. Pour peu que le site sur lequel on atterrit soit suffisamment convaincant, on peut rapidement se faire avoir en laissant quelques données sensibles à l’arnaqueur. Quand ce n’est pas la curiosité, ce sont l’inattention ou la peur d’être pénalisé qui peuvent jouer des tours. Dans le premier cas, on pense avoir affaire à un code légitime, soit parce qu’il est positionné à un endroit qui ne prête pas à la méfiance, soit parce qu’il est associé à un message qui semble viser juste. Dans le second cas, c’est la peur d’avoir un colis bloqué, une majoration pour une contravention ou toute “punition” qui peut pousser à la faute. Les escrocs le savent bien, la pression et les situations d’urgence poussent à agir sans réfléchir. Comment se protéger ? Le réflexe à avoir absolument, c’est tout simplement de ne scanner aucun QR code d’une origine inconnue. Si vous avez affaire à un QR code sur un horodateur ou une borne de charge, vérifiez en amont que ce n’est pas un autocollant. C’est facilement visible. Si jamais vous venez tout de même à le scanner, analysez le lien sur lequel vous êtes redirigé. Ce dernier vous invite à télécharger une application ? Ne donnez pas suite. Si des données sensibles, dont des données bancaires ou des mots de passe, sont requises, ne les inscrivez pas. Au besoin, contactez l’éventuel entité qui est censée vous avoir envoyé le QR code via son site officiel (en passant par un moteur de recherche). Enfin, vous pouvez également alerter les autorités compétentes.