Quishing : méfiez-vous des QR codes !
Les arnaques au phishing sont de plus en plus connues du public, ce qui oblige les escrocs à affiner leurs méthodes pour vous piéger. L’une des variantes s’attaque aux QR codes qui font désormais partie de notre vie quotidienne (dans les restaurants, musées, transports publics, etc.).
On parle alors de quishing (QR code phishing). Cela consiste à vous faire numériser un QR code afin d’accéder à vos données personnelles ou vos mots de passe dans le but de vous prendre votre argent.
Qu’est-ce que le quishing ?
Il s’agit d’une variante du phishing. Plutôt que de vous inviter à cliquer sur un lien dans un courriel, les cybercriminels vous invitent à numériser des QR codes avec votre téléphone portable.
Dans leurs envois, les escrocs se font souvent passer pour une administration, une banque ou une autorité (BDF, ACPR, AMF) et menacent d'un blocage de compte ou d'une pénalité financière.
Attention, les QR codes sont plus difficiles à détecter par les filtres anti-spam ou anti-phishing. Le risque est d’autant plus élevé que les téléphones sont généralement moins bien protégés contre ce type d’attaques que les ordinateurs de bureau.
Attention :
Pour les escroqueries aux faux placements :
Après avoir scanné le QR code vous serez redirigé vers un formulaire vous demandant de compléter des données personnelles que l’escroc utilisera pour vous recontacter. Lorsqu’il vous transmettra les documents relatifs aux placements financiers proposés, il est susceptible d'usurper l’identité d’un établissement dûment autorisé à proposer de tels produits.
Pour en savoir plus :
Spoofing, vishing, phishing, smishing... Attention aux usurpations bancaires
Comment se protéger du quishing ?
La règle d’or : ne cédez jamais à la pression, celle-ci doit au contraire vous alerter.
- L’usage des QR codes dans les courriels des organismes publics, des banques et des entreprises est peu fréquent. Il est donc préférable d’éviter de scanner ceux issus de cette soi-disant source.
- Prudence face aux codes diffusés dans l’espace public : parking, transports, affiche publicitaire, restaurant... Les escrocs impriment leurs QR codes sous forme d’autocollants afin de les apposer par-dessus les vrais.
- Méfiez-vous aussi de vos boîtes aux lettres : de faux avis de passage de la Poste sont créés avec un QR code et un message type « vous avez reçu une lettre recommandée, mais on n’a pas réussi à vous la livrer, scannez ce QR code »
En résumé, quelles sont les bonnes pratiques contre la cybercriminalité ?
Il ne faut jamais :
- communiquer vos données bancaires à un tiers ;
- valider une opération sur votre application bancaire si vous ne l’avez pas initiée vous-même ;
- noter vos mots de passe sur un papier ou informatiquement (courriel, disque dur) ;
- répondre aux personnes se présentant comme des collaborateurs des banques ;
- ouvrir un lien ou un QR code reçu par courriel ou SMS ;
- confier votre carte ou vos autres moyens de paiement à un tiers (proche, coursier, etc.).
Par ailleurs, il faut :
- lire attentivement les alertes de votre banque ;
- toujours contacter votre banque par un canal sécurisé et connu ;
- mettre régulièrement à jour votre application bancaire ;
- équiper votre ordinateur d'un logiciel antivirus et d’un pare-feu ;
- créer un mot de passe de connexion robuste avec, si possible, des caractères nombreux et variés (lettres, chiffres, caractères spéciaux);
- vérifier toujours, lorsque vous scannez un QR Code que l’adresse du site internet sur laquelle vous êtes redirigé est officielle.
Que faire si pensez avoir été victime d’une fraude ?
- Contactez immédiatement votre banque (par téléphone et par écrit) ;
- Demandez la mise en opposition de vos cartes (en utilisant la plate-forme téléphonique) ;
- Changez vos mots de passe ;
- Portez plainte.
- Signalez le contenu sur la plateforme PHAROS, le portail officiel de signalement des contenus illicites de l’Internet