Qu’est-ce que le quishing et comment vous en protéger ?

Le phishing est une pratique que l’on connaît tous aujourd’hui. Mais les fraudeurs, qui sont de plus en plus créatifs, inventent de nouvelles formes de fraudes sans arrêt. C’est comme cela qu’est né le quishing, une variante de phishing utilisant de faux QR codes. Découvrez ci-dessous comment reconnaître le quishing et comment vous en protéger.

Comment fonctionne le quishing ?

Alors que la technique du phishing consiste à tenter de vous piéger par e-mail, celle du quishing repose sur l’utilisation de faux QR codes pour vous voler des données ou de l’argent. Ces QR codes vous sont envoyés par courrier, par e-mail, SMS ou message WhatsApp. Le message est en apparence envoyé par un organisme officiel, et il vous demande de régler une amende ou une facture impayée à l'aide du QR code.

Ces QR codes peuvent aussi être collés sur de vrais QR codes, par exemple sur des affiches vous invitant à participer à un concours, sur des bornes de recharge pour voitures électriques, etc…

Les QR codes peuvent également être utilisés afin d’installer des logiciels malveillants sur votre appareil, ce qui permet aux auteurs de la fraude de récupérer vos données personnelles. Ils les utilisent alors pour des attaques d’ingénierie sociale, une forme de fraude qui consiste à vous cibler de façon encore plus efficace et personnelle, en utilisant par exemple de fausses factures ou de fausses feuilles d’impôts, ou en se faisant passer pour un proche. Ils vous sollicitent ensuite par SMS, sur WhatsApp ou les réseaux sociaux, en vous demandant de leur transférer de l'argent pour un "prêt". Ils s'adressent à vous de la manière la plus personnelle possible, augmentant ainsi leurs chances de succès.

Le Quishing : une forme de fraude en progression

Les fraudeurs optent de plus en plus souvent pour le quishing, car il s'agit d'une forme de fraude particulièrement facile à mettre en place. Les filtres anti-spam ont des difficultés à identifier le quishing en tant que fraude (contrairement au phishing), si bien que les chances que vous soyez alerté sont réduites. De plus, un QR code peut facilement être adapté à différents supports. Le code une fois créé peut être intégré dans un e-mail, imprimé sur une lettre, placé dans un lieu public... Les possibilités sont infinies.

L'intelligence artificielle simplifie également la vie des fraudeurs. Ils utilisent en effet des chatbots intelligents pour rédiger des e-mails et des lettres sans fautes d'orthographe (ou presque). Plus ces messages paraissent professionnels, plus ils sont compliqués à repérer.

Comment vous protéger du quishing ?

Comme pour toute autre forme de fraude, un certain nombre de réflexes sont à adopter pour se protéger le plus efficacement possible des fraudeurs :

• Vérifiez toujours l’adresse e-mail de l’expéditeur : est-ce qu’elle correspond bien au contenu de l’e-mail ?
• Ne scannez jamais un QR code dans un e-mail dont vous ne connaissez pas l'expéditeur.
• Utilisez des lecteurs de QR codes sécurisés, comme l’app Appareil photo de l’iPhone ou la fonction “Scanner un QR code“ de Samsung. Celles-ci affichent au préalable le lien auquel renvoie le QR code, de façon à ce que vous puissiez en vérifier la fiabilité avant de l'ouvrir.
• Méfiez-vous des QR codes que l’on vous invite à scanner dans l’espace public.
• Votre banque ou toute autre institution officielle ne vous demandera jamais de mettre à jour vos données par courrier, par SMS ou par téléphone. De même qu’elles ne vous demanderont jamais de leur communiquer votre mot de passe ou vos coordonnées bancaires. Ne transmettez donc jamais de données confidentielles de cette façon.
• Faites preuve de méfiance si une offre vous semble trop belle pour être vraie, si un e-mail ou une lettre vous invite à agir rapidement, ou si des e-mails soi-disant officiels contiennent des fautes d'orthographe.
• Un e-mail vous parvient à un horaire inhabituel ? Les communications officielles envoyées la nuit peuvent effectivement être considérées comme suspectes.
• Vérifiez si l'adresse électronique a un nom de domaine suspect. Les institutions officielles n'utilisent jamais d'adresse Gmail ou Hotmail.
• Vous avez un doute ? Commencez par contacter la personne ou l'organisation en question, en utilisant une adresse e-mail ou un numéro de téléphone dont vous êtes sûr.

Vous avez malgré tout été victime de quishing ? Dans ce cas, prévenez votre banque le plus vite possible, faites bloquer votre carte via Card Stop au 078/170 170 et contactez la police.

Le quishing n’est malheureusement pas la seule technique de phishing : le smishing est une fraude par SMS, alors que le vishing est une tentative de fraude par téléphone. Découvrez d’autres formes de fraude ici.