Puisque vous lisez régulièrement nos infolettres mensuelles (si vous ne le faites pas, ce n’est pas bien… pour vous), vous connaissez déjà le phishing ou hameçonnage. Et vous avez déjà pu lire ici quelques astuces pour essayer de ne pas vous faire avoir.

L’usage des QR Codes se répand vite

Vous connaissez aussi maintenant les QR Codes, ces carrés remplis de points noirs agencés d’une telle manière qu’ils encodent des informations diverses comme les coordonnées d’une entreprise, l’adresse d’un site ou le numéro de réservation d’un spectacle, par exemple.
En voici d’ailleurs un qui contient les coordonnées de notre association locale et que vous pouvez lire avec une application dédiée depuis votre smartphone (QR Droid, par exemple).

Alors comme les arnaqueurs regorgent d’idées, voici à présent qu’est apparu le quishing ou phishing par un QR Code.

Comment se présente la tentative d’arnaque ?

Le phishing se présentait généralement sous la forme d’un courriel qui vous incitait à vous connecter sur un site que vous fréquentez régulièrement, comme celui de votre banque, par exemple. Sauf que ce n’était pas vraiment celui de votre banque, même s’il en avait réellement l’apparence.
Ce genre de courriel pouvait automatiquement être détecté comme du phishing par des outils capable de constater que le lien vers lequel le mail vous dirigeait ne correspondait pas à celui de l’entreprise d’où était censé provenir le courriel. En effet, ce lien est intégré au courriel sous une forme purement textuelle qu’un outil intelligemment conçu peut aisément analyser.

Avec le quishing, vous allez recevoir un mail exactement du même genre, à savoir, une incitation à vous connecter de toute urgence sur un site important pour vous. Mais, cette fois, le lien vers le site sera contenu dans un QR Code sur lequel on vous demandera de cliquer afin d’accéder au site cible. Vous seriez parfaitement capable de le décoder grâce à votre appli de smartphone. En revanche, les outils cités précédemment ne sont, dans l’état actuel des choses, pas aptes à l’analyser.
Par conséquent, vous n’aurez aucun signalement de risque de phishing et, si vous ne faites pas très attention à l’adresse web vers laquelle vous aura redirigé le QR Code, vous risquez de vous faire piéger : le site visé va ressembler de très près à celui que vous connaissez (celui de votre banque ou d’un vendeur en ligne chez lequel vous avez un compte, par exemple), mais l’adresse cible, elle ne sera pas celle à laquelle vous êtes habitué.

Un exemple de ce qu’il peut se passer

Pour vous donner un exemple, supposons que vous avez un compte au crédit agricole.
L’adresse de la page pour vous connecter est la suivante : https://www.credit-agricole.fr/ca-alpesprovence/particulier/acceder-a-mes-comptes.html
Or, il est tout à fait possible que l’adresse vers laquelle le QR Code va vous diriger soit quelque chose du genre : https://www.creditagricole.xyz/ca-alpesprovence/particulier/acceder-a-mes-comptes.html
Cette adresse s’affiche en haut à gauche de la fenêtre de votre navigateur Internet. Si vous la relisez trop vite, sans vraiment la scruter en détail, vous allez tomber dans le piège et n’aurez ensuite plus que vos yeux pour pleurer, votre banque faisant des pieds et des mains pour ne pas vous rembourser les quelques milliers d’euros que vous vous serez fait voler en ayant « volontairement » donné vos identifiants au pirate en les saisissant dans le simulacre d’écran de votre banque ainsi affiché.

Alors, surtout, pensez à redoubler de vigilance !