Ils sont de plus en plus utilisés pour ouvrir facilement une page Internet comme le menu d’un restaurant ou les informations sur un site touristique.
Ils sont également de plus en plus utilisés pour payer chez le coiffeur ou lors d’un achat.
La VSZ signale que la prudence est cependant de mise lors de l’utilisation des codes QR.
Les cybercriminels les utilisent pour des attaques de phishing (obtention de données personnelles) soit dans des e-mails, soit dans des courriers, mais aussi dans des lieux publics.
Le mot « quishing » est né de la contraction des termes « code QR » (Quick Response) et « phishing » (pêche = obtention).
Il s’agit d’un type d’escroquerie dans lequel les criminels incitent leur victime à scanner des codes QR frauduleux qui la redirigent vers des sites de phishing ou à télécharger des logiciels malveillants sur son appareil.
Souvent, ces codes QR sont déguisés en quelque chose d’« attractif » ou de « nécessaire », comme des réductions ou une mise à jour requise.
En voici quelques exemples :
- Des billets pour les Jeux olympiques de Paris ont été proposés via des codes frauduleux afin d’obtenir les données ou même l’argent des victimes.
- Les criminels utilisent également des codes QR sur de faux PV lors d’une interdiction de stationnement.
- En cas de faux courrier de la banque, les victimes sont attirées sur un faux site web de la banque pour s’y connecter avec un mot de passe et un code pin. Ces données sont ensuite volées par les cybercriminels pour piller les comptes de leurs victimes.
- En août 2024 également, des avertissements ont été publiés dans différents médias concernant les faux codes QR sur les bornes de recharge électrique. On y trouve souvent ces petits carrés qui permettent de payer directement pour charger sa voiture électrique. Des criminels ont apparemment recouvert des codes, de sorte que les gens n’étaient pas dirigés vers la véritable page de paiement du fournisseur.
Comment se protéger du quishing en tant que particulier :
- En scannant un code QR, vérifier soigneusement le lien/URL indiqué pour s’assurer qu’il s’agit bien du site web que l’on souhaite visiter.
- Lors des opérations bancaires en ligne, toujours utiliser ce que l’on appelle l’authentification multi-facteurs : dans ce cas, il manque aux criminels le deuxième ou le troisième facteur, même s’ils ont obtenu les données personnelles par hameçonnage.
- Toujours vérifier soigneusement si le mail ou la lettre pourrait être un faux. En cas de message suspect, ne pas ouvrir les pièces jointes, ne pas cliquer sur les liens et ne pas scanner les codes QR. Il est préférable de contacter l’expéditeur présumé via des canaux officiels afin de s’assurer que le message provient bien de cet expéditeur.
- Penser à mettre régulièrement à jour le système d’exploitation du smartphone afin de protéger l’appareil.
Que faire si l’on est victime de quishing ou de phishing ?
- Contacter le plus rapidement possible la banque et CardStop afin de bloquer les transactions en cours et les cartes.
- Déposer plainte auprès de la police locale.
- Faire scanner le téléphone pour s’assurer qu’aucun spyware (logiciel espion) ou malware n’y a été installé.
- Codes QR suspects sur suspect@safeonweb.be >>>
