04 70 96 18 36
contact@axis-solutions.fr
Espace client
title
Logo Axis Solutions entreprise accompagnement technique et développement informatique vichyLogo Axis Solutions entreprise accompagnement technique et développement informatique vichy

Le Quishing : savoir le reconnaître et s’en protéger

Cybersécurité

Le quishing est peut être moins connu que son cousin éloigné le phishing, mais il n’en reste pas moins dangereux pour votre cybersécurité. Car les pirates ont trouvé une nouvelle manière de vous piéger et vous dérober vos informations sensibles : en exploitant les QR Codes ! Subtiles et difficiles à détecter, nous vous expliquons en détail comment fonctionnent les tentatives de Quishing et surtout, comment les déjouer.

Qu’est-ce que le Quishing ?

Le quishing est une forme de phishing qui utilise les QR Code pour vous dérober des données sensibles. Moins connu que le phishing « classique » par email, ou que ses variantes Smishing et Vishing, il est pourtant tout aussi dangereux. Car, pour fonctionner, cette technique d’ingénierie sociale profite :

  • de la généralisation des QR codes pour différents usages (billets d’entrée lors d’un événement, opérations commerciales, menus dans les restaurants, etc…)
  • du fait que le grand public perçoit cette technologie comme « pratique » et ignore/sous-estime ses risques
  • et du fait que vos mobiles (pros ou persos) sont généralement moins bien protégés que vos autres appareils informatiques

Alors, pour vous attirer dans leurs filets, les cybercriminels déroulent généralement le scénario suivant :

illustration comment se déroule généralement une tentative de quishing
  • Tout d’abord, ils génèrent un QR Code qui, lorsque vous le scannez, vous redirige vers des adresses web malveillantes. Comme par exemple un site de phishing qui imite à la perfection le design d’un site légitime (Amazon, France Travail, SFR…). Ou encore un site qui déclenche automatiquement le téléchargement de malware sur votre appareil.
  • Ils diffusent ensuite ces QR Codes via différents supports (email de phishing, fausses factures, superposition sur des QR Codes légitimes…) pour qu’ils soient présentés au plus grand nombre. Et pour être sûrs que vous tombiez dans leur piège, ils les accompagnent de messages qui jouent avec vos émotions (sentiment d’urgence, opportunité immanquable, curiosité…) pour vous inciter à les scanner.
  • Enfin, ils n’ont plus qu’à patienter le temps que leurs victimes « mordent à l’hameçon ». Une fois qu’elles ont saisi leurs coordonnées bancaires ou les identifiants de leurs comptes en ligne, sur ces « faux-sites », les hackers n’ont qu’à les collecter pour les utiliser ou les revendre.

Comment reconnaître une tentative de Quishing ?

Pour protéger efficacement votre société contre les tentatives de Quishing, la vigilance constante est votre première alliée. Car elle vous permettra de détecter ces signaux d’alerte :

  • le support physique du QR code : s’il se présente sous la forme d’un simple autocollant superposé sur un horodateur ou une affiche par exemple, méfiez vous ! En général, un QR code légitime est imprimé directement sur le support et n’est pas modifiable.
illustration comment reconnaître une tentative de quishing
  • l’URL de destination : la plupart des lecteurs de QR codes affichent l’URL vers laquelle vous serez redirigé. Prenez donc le temps de la vérifier avant de cliquer dessus, afin de vous assurer que vous allez bien vous rendre sur le site que vous souhaitez visiter. Si vous repérez par exemple un nom de domaine qui ne correspond pas à la marque qui diffuse ce QR Code, ne prenez aucun risque et ne cliquez pas.

    Si vous avez déjà cliqué sur l’adresse, examinez la page sur laquelle vous arrivez avant de saisir des informations personnelles (identifiant, mot de passe, coordonnées bancaires). Vérifiez là aussi que son nom de domaine correspond bien à celui de la marque, qu’elle est sécurisée (HTTPS) qu’elle ne demande pas d’informations personnelles inhabituelles, et qu’elle ne présente pas d’éléments de design étranges (logo déformé, fautes d’orthographe de syntaxe, mise en page hasardeuse…)
  • le contexte autour du QR Code : si le message qui l’accompagne promet par exemple un avantage trop beau pour être vrai (subvention exceptionnelle de 90 %) ou suscite chez vous un sentiment d’urgence (fournisseur qui vous envoie un règlement urgent), c’est un signal d’alarme. Car l’ingénierie sociale exploite vos émotions pour vous pousser à agir.

Comment se protéger du Quishing : les bonnes pratiques à adopter

Alors, pour vous prémunir efficacement contre cette menace, voici les bonnes pratiques à mettre en œuvre :

  • ne scannez jamais un QR code par curiosité : car comme évoqué plus tôt, la curiosité est une méthode d’ingénierie sociale couramment utilisée par les pirates pour vous pousser à la faute. Scannez donc uniquement les QR codes provenant des sources que vous connaissez auxquelles vous faîtes confiance.
  • configurez votre smartphone pour empêcher les actions automatiques au scan d’un QR code : comme par exemple, la visite d’un site, le téléchargement d’un fichier ou la connexion à un réseau Wi-Fi. Ainsi vous avez le temps d’analyser l’adresse de destination et de rebrousser chemin si vous n’avez pas confiance.
  • sécurisez impérativement vos appareils mobiles : avec des solutions de sécurité professionnelles. Ainsi, un antivirus solide vous protégera en détectant et plaçant en quarantaine les potentiels logiciels malveillants que vous pourriez rencontrer.
illustration comment se protéger du quishing : les bonnes pratiques à adopter
  • activez la double authentification partout où vous le pouvez : elle vous apporte une couche de sécurité supplémentaire. Par exemple, si vous saisissez par inadvertance vos données sur un site malveillant, le cybercriminel sera bloqué.
  • sensibilisez régulièrement vos collaborateurs : pour leur apprendre à reconnaître et éviter les manipulation des pirates. En complément, n’hésitez pas à simuler des attaques pour tester leurs connaissances en conditions « réelles ». Encouragez les également à signaler tout événement suspect ou inhabituel.

Conclusion : faîtes appel à Axis pour assurer votre cybersécurité

Vous l’aurez compris, bien que redoutable en cas d’inattention, le quishing n’est pas une menace insurmontable. Pour y faire face et assurer la cybersécurité de votre société, vous devez surtout vous appuyer sur ces trois piliers :

  • l’adoption d’outils de protection professionnels (protocoles emails, antivirus, antispam)
  • une vigilance constante, surtout durant les périodes dîtes « calmes » (congés estivaux, de fin d’année etc…)
  • et la formation continue de vos équipes, face aux cybermenaces émergentes et aux bonnes pratiques pour les contrer

Alors pour vous aider à bâtir une ligne de défense solide contre les cybercriminels, faîtes appel à nos équipes techniques ! En combinant technologie et sensibilisation accrue de vos collaborateurs, vous renforcerez ainsi la sécurité de votre organisation.

Je protège mon entreprise contre le Quishing

Pour compléter votre lecture, découvrez aussi :

illustration article sauvegardes de données d'entreprise : 10 conseils pour bien les gérer !
Sauvegardes de données d’entreprise : 10 conseils pour bien les gérer !

Aujourd'hui il est absolument indispensable pour une entreprise de réaliser des sauvegardes de ses données, au risque de mettre en Lire la suite

illustration article bots malveillants : les dangers pour votre site web
Bots malveillants : les dangers pour votre site web

Les bots malveillants ou robots malveillants sont un fléau et peuvent être dangereux pour votre site web. Dans cet article Lire la suite

illustration article un VPN : qu'est ce que c'est et pourquoi l'utiliser ?
Un VPN : qu’est ce que c’est et pourquoi l’utiliser

Découvrez dans cet article ce qu'est un VPN et pourquoi utiliser ce type d'outil pour protéger vos données et votre Lire la suite

keyboard_arrow_up