Se répandant comme une trainée de poudre, le quishing ou l’arnaque au QR Code est une technique de phishing visant à voler vos données à travers un email malveillant. Soyez vigilant si un courriel vous demande de réaliser un scan par téléphone. Vous éviterez ainsi d’être victime de piratage.
Arnaque au QR Code : une forme de phishing actuellement en vogue
Dernièrement, une menace plane dans l’univers du numérique ! Il s’agit du « quishing » ou arnaque au QR Code. Nouvelle et redoutable, cette forme de cyberattaque prend la forme d’un email associé à un symbole matriciel « Quick Response ». En scannant ce dernier, la victime est redirigée instantanément vers des sites malveillants.
Les utilisateurs doivent redoubler de vigilance face à cette forme émergente de phishing, basé sur l’envoi de courriels usurpant l’identité de marques ou institutions existantes pour piéger les victimes.
Le « quishing » fut détecté récemment par Check Point, expert en sécurité informatique. Il a connu une expansion alarmante, à raison de 7 fois plus d’incidents entre août et septembre 2023.
Quishing : une toute nouvelle technique d’hameçonnage par email
Le mot-valise « quishing » résulte de la fusion de « Quick Response » et « phishing ». C’est une technique d’ingénierie sociale de plus en plus prisée des cybercriminels adeptes d’attaques par email. Pour cause, cette arnaque au QR Code s’avère plus subtile. Elle crée moins de suspicions auprès des cibles qu’une URL complexe, ce qui permet de les berner plus aisément.
Le simple scan par téléphone redirige l’internaute vers une page Web frauduleuse, exposant ses informations personnelles à une collecte malveillante.
Cette technique exploite la confiance presque aveugle dans ce symbole d’authentification. Or cela compromet la sécurité des utilisateurs qui, sans méfiance, divulguent involontairement leurs données sensibles. Pour prévenir ces attaques sournoises, on n’a d’autres choix que de rester vigilant !
Une cyberattaque apte à passer outre l’authentification multifacteurs
L’arnaque au QR code est devenue la tendance chez les cybercriminels, vu qu’elle est capable de contourner l’authentification à multiples facteurs. Selon les analystes de Sekoia, cette technique est apte à contourner les défenses des entreprises contre le phishing classique. Comment ? En exploitant le symbole à stéroïde, elle peut subtiliser les informations des victimes et accéder à leurs identifiants sans mal.
Comme le rapportent les experts de Sekoia, les entreprises actuelles sont parfaitement protégées contre le phishing traditionnel. Ce qui pousse les cybercriminels à s’adapter et à adopter de nouvelles tactiques pour passer outre les méthodes d’authentification multifactorielle.
Cette dynamique souligne ainsi la nécessité pour les cibles de rester à jour des méthodes de défense efficaces contre les cybermenaces qui ne cessent de se perfectionner.
Microsoft 365 : la cible préférée des fraudeurs
Alors que la technologie est en constante mutation, les cyberattaques en font autant. Les cybercriminels ne lésinent point d’efforts pour d’innover, comme le démontre la récente arnaque au QR Code signalée par les sociétés de cybersécurité Sekoia et Vade.
Cette fraude semble cibler particulièrement les utilisateurs du service de messagerie de Microsoft Office 365. Les attaques actuelles utilisent notamment « Dadsec », une plateforme de kit de phishing. Ce dernier permet de générer de faux sites Web imitant Microsoft 365 et auxquels sont rattachés des codes Quick Response.
L’email d’hameçonnage que le pirate envoie contient l’URL de ces sites frauduleux et parle souvent de transactions financières.
Pas de scan par téléphone comme mesure de précaution
Si elle est si difficile à détecter, que faut-il alors faire pour se protéger d’une arnaque au QR Code ? L’unique recours réside dans la prudence, surtout quand vous réceptionnez ces codes-barres à stéroïde par email.
Il faut à tout prix éviter le scan par téléphone et adopter les bons gestes anti-phishing. Parmi ceux-ci, il est impératif de ne jamais cliquer sur des URL suspects ni sur des symboles suspicieux dans les emails. Ils pourraient facilement vous rediriger vers des sites compromis.
Qu’il s’agisse d’un courriel de la banque, de l’assurance, de la sécurité sociale ou d’un opérateur, vous devez au grand jamais cliquer sur un quelconque lien. Cette mesure permettra d’éviter les éventuelles attaques et de protéger ses données personnelles des cybermenaces.
Quels réflexes adopter en cas de suspicion ?
En cas de doute, l’unique recours que vous avez est de vous connecter directement à votre compte client depuis le site Web officiel ou l’application dédiée de l’expéditeur présumé. Cela vous aidera à vérifier l’exactitude des informations reçues par email.
Aussi, abstenez-vous d’ouvrir des pièces jointes à l’origine douteuse ou au format inconnu. Les cybercriminels se servent généralement de tactiques insidieuses en se faisant passer pour des entités de confiance telles que Microsoft pour vous adresser de fausses notifications de sécurité.
Afin de déjouer les tentatives de piratage par phishing, il suffit de vérifier l’adresse URL du destinataire, la mise en page de l’email et la présence de fautes d’orthographe ou de coquille dans le corps du courriel.
En quête d’autres actualités sur les smartphones et leurs usages ? Rendez-vous sur notre page Facebook pour n’en rater aucune.
Avec ETX Daily Up