04 70 96 18 36
contact@axis-solutions.fr
Espace client
title
Logo Axis Solutions entreprise accompagnement technique et développement informatique vichyLogo Axis Solutions entreprise accompagnement technique et développement informatique vichy

Le Quishing : savoir le reconnaître et s’en protéger

Cybersécurité

Le quishing est peut être moins connu que son cousin éloigné le phishing, mais il n’en reste pas moins dangereux pour votre cybersécurité. Car les pirates ont trouvé une nouvelle manière de vous piéger et vous dérober vos informations sensibles : en exploitant les QR Codes ! Subtiles et difficiles à détecter, nous vous expliquons en détail comment fonctionnent les tentatives de Quishing et surtout, comment les déjouer.

Qu’est-ce que le Quishing ?

Le quishing est une forme de phishing qui utilise les QR Code pour vous dérober des données sensibles. Moins connu que le phishing « classique » par email, ou que ses variantes Smishing et Vishing, il est pourtant tout aussi dangereux. Car, pour fonctionner, cette technique d’ingénierie sociale profite :

  • de la généralisation des QR codes pour différents usages (billets d’entrée lors d’un événement, opérations commerciales, menus dans les restaurants, etc…)
  • du fait que le grand public perçoit cette technologie comme « pratique » et ignore/sous-estime ses risques
  • et du fait que vos mobiles (pros ou persos) sont généralement moins bien protégés que vos autres appareils informatiques

Alors, pour vous attirer dans leurs filets, les cybercriminels déroulent généralement le scénario suivant :

illustration comment se déroule généralement une tentative de quishing
  • Tout d’abord, ils génèrent un QR Code qui, lorsque vous le scannez, vous redirige vers des adresses web malveillantes. Comme par exemple un site de phishing qui imite à la perfection le design d’un site légitime (Amazon, France Travail, SFR…). Ou encore un site qui déclenche automatiquement le téléchargement de malware sur votre appareil.
  • Ils diffusent ensuite ces QR Codes via différents supports (email de phishing, fausses factures, superposition sur des QR Codes légitimes…) pour qu’ils soient présentés au plus grand nombre. Et pour être sûrs que vous tombiez dans leur piège, ils les accompagnent de messages qui jouent avec vos émotions (sentiment d’urgence, opportunité immanquable, curiosité…) pour vous inciter à les scanner.
  • Enfin, ils n’ont plus qu’à patienter le temps que leurs victimes « mordent à l’hameçon ». Une fois qu’elles ont saisi leurs coordonnées bancaires ou les identifiants de leurs comptes en ligne, sur ces « faux-sites », les hackers n’ont qu’à les collecter pour les utiliser ou les revendre.

Comment reconnaître une tentative de Quishing ?

Pour protéger efficacement votre société contre les tentatives de Quishing, la vigilance constante est votre première alliée. Car elle vous permettra de détecter ces signaux d’alerte :

  • le support physique du QR code : s’il se présente sous la forme d’un simple autocollant superposé sur un horodateur ou une affiche par exemple, méfiez vous ! En général, un QR code légitime est imprimé directement sur le support et n’est pas modifiable.
illustration comment reconnaître une tentative de quishing
  • l’URL de destination : la plupart des lecteurs de QR codes affichent l’URL vers laquelle vous serez redirigé. Prenez donc le temps de la vérifier avant de cliquer dessus, afin de vous assurer que vous allez bien vous rendre sur le site que vous souhaitez visiter. Si vous repérez par exemple un nom de domaine qui ne correspond pas à la marque qui diffuse ce QR Code, ne prenez aucun risque et ne cliquez pas.

    Si vous avez déjà cliqué sur l’adresse, examinez la page sur laquelle vous arrivez avant de saisir des informations personnelles (identifiant, mot de passe, coordonnées bancaires). Vérifiez là aussi que son nom de domaine correspond bien à celui de la marque, qu’elle est sécurisée (HTTPS) qu’elle ne demande pas d’informations personnelles inhabituelles, et qu’elle ne présente pas d’éléments de design étranges (logo déformé, fautes d’orthographe de syntaxe, mise en page hasardeuse…)
  • le contexte autour du QR Code : si le message qui l’accompagne promet par exemple un avantage trop beau pour être vrai (subvention exceptionnelle de 90 %) ou suscite chez vous un sentiment d’urgence (fournisseur qui vous envoie un règlement urgent), c’est un signal d’alarme. Car l’ingénierie sociale exploite vos émotions pour vous pousser à agir.

Comment se protéger du Quishing : les bonnes pratiques à adopter

Alors, pour vous prémunir efficacement contre cette menace, voici les bonnes pratiques à mettre en œuvre :

  • ne scannez jamais un QR code par curiosité : car comme évoqué plus tôt, la curiosité est une méthode d’ingénierie sociale couramment utilisée par les pirates pour vous pousser à la faute. Scannez donc uniquement les QR codes provenant des sources que vous connaissez auxquelles vous faîtes confiance.
  • configurez votre smartphone pour empêcher les actions automatiques au scan d’un QR code : comme par exemple, la visite d’un site, le téléchargement d’un fichier ou la connexion à un réseau Wi-Fi. Ainsi vous avez le temps d’analyser l’adresse de destination et de rebrousser chemin si vous n’avez pas confiance.
  • sécurisez impérativement vos appareils mobiles : avec des solutions de sécurité professionnelles. Ainsi, un antivirus solide vous protégera en détectant et plaçant en quarantaine les potentiels logiciels malveillants que vous pourriez rencontrer.
illustration comment se protéger du quishing : les bonnes pratiques à adopter
  • activez la double authentification partout où vous le pouvez : elle vous apporte une couche de sécurité supplémentaire. Par exemple, si vous saisissez par inadvertance vos données sur un site malveillant, le cybercriminel sera bloqué.
  • sensibilisez régulièrement vos collaborateurs : pour leur apprendre à reconnaître et éviter les manipulation des pirates. En complément, n’hésitez pas à simuler des attaques pour tester leurs connaissances en conditions « réelles ». Encouragez les également à signaler tout événement suspect ou inhabituel.

Conclusion : faîtes appel à Axis pour assurer votre cybersécurité

Vous l’aurez compris, bien que redoutable en cas d’inattention, le quishing n’est pas une menace insurmontable. Pour y faire face et assurer la cybersécurité de votre société, vous devez surtout vous appuyer sur ces trois piliers :

  • l’adoption d’outils de protection professionnels (protocoles emails, antivirus, antispam)
  • une vigilance constante, surtout durant les périodes dîtes « calmes » (congés estivaux, de fin d’année etc…)
  • et la formation continue de vos équipes, face aux cybermenaces émergentes et aux bonnes pratiques pour les contrer

Alors pour vous aider à bâtir une ligne de défense solide contre les cybercriminels, faîtes appel à nos équipes techniques ! En combinant technologie et sensibilisation accrue de vos collaborateurs, vous renforcerez ainsi la sécurité de votre organisation.

Je protège mon entreprise contre le Quishing

Pour compléter votre lecture, découvrez aussi :

illustration article les bonnes pratiques cyber : pendant vos vacances
Les bonnes pratiques cyber : pendant vos vacances

Si les vacances approchent à grands pas pour bon nombre d'entre nous sachez que les pirates ne prennent pas de Lire la suite

illustration article messagerie d'entreprise : luttez contre les spams
Messagerie d’entreprise : luttez contre les spams

Dans cet article, nous vous donnons toutes les clés pour protéger votre messagerie professionnelle contre les spams. Au programme : Lire la suite

illustration article la double authentification : définition & méthodes
La double authentification : définition & méthodes

Si vous n'avez pas déjà adopté la double authentification pour sécuriser vos comptes en ligne, il n'est pas trop tard Lire la suite

keyboard_arrow_up