Les dangers du quishing :
protégez vos données bancaires
Avec la crise de Covid-19, les QR codes sont devenus la solution idéale pour diriger les gens vers les bonnes URL rapidement, correctement et surtout sans contact. Vous garez votre voiture ? Scannez le QR code pour télécharger l'application. Vous allez au restaurant ? Scannez le QR code pour consulter le menu. Vous souhaitez accéder au wifi gratuit ? Scannez le QR code pour ensuite vous enregistrer.
Mais ce n’est pas tout : de plus en plus de paiements se font aussi à l’aide d’un QR code. Il vous suffit de prendre une photo avec votre smartphone pour atterrir instantanément au bon endroit, avec le bon montant et les bonnes coordonnées du vendeur.
Est-ce toujours le cas ? La plupart du temps, oui, mais pas toujours. Les escrocs utilisent de plus en plus souvent des QR codes pour installer des applications malveillantes sur les smartphones ou pour soutirer des données personnelles – en particulier des informations bancaires. En d'autres termes, il s'agit de phishing, ou hameçonnage, à l'aide de QR codes. Une technique qu’on appelle également quishing.
Le SPF Économie a récemment mis en garde contre le quishing, qui fait de plus en plus de victimes. La bonne nouvelle ? En maniant les QR codes en toute connaissance de cause, vous éviterez bien des tracas. Vous trouverez dans cet article tous les conseils et informations utiles pour ne pas avoir de problèmes.
Vous ne voulez pas faire partie des victimes du quishing ? Lisez ce qui suit !
Qu'est-ce que le quishing ?
Le quishing – contraction des termes phishing et QR code – est une forme de phishing qui utilise des QR codes pour tromper les gens. En résumé : les escrocs incitent leurs victimes à scanner un QR code. S'ils y parviennent, ce QR code redirige ensuite les victimes vers un site web de phishing ou installe des logiciels malveillants sur leur smartphone.
Comme toute forme de phishing, le quishing comporte un risque majeur pour toute personne qui effectue des transactions financières en ligne. Tout le monde ou presque peut donc être victime de quishing.
Comment fonctionne le quishing ?
La méthode du quishing est d'une simplicité déconcertante… et donc d'une efficacité redoutable. Voici les cinq étapes d'une escroquerie au quishing réussie.
Étape 1 : La création d’un QR code
Le quishing commence par la création, par le fraudeur, d'un QR code. Ce QR code dirige vers à une fausse page web qui semble très réelle et où vous êtes invité à partager des informations personnelles, des données de connexion ou autres informations bancaires.
Autre option : le QR code ne mène pas à une page web mais active un logiciel malveillant qui commence à se télécharger dès le scan du code.
Étape 2 : La partage intelligent du QR code
L'escroc place ce QR code dans un lieu public (par exemple dans un supermarché, parmi les petites annonces). Ou il transmet personnellement ce QR code à ses victimes par le biais d’e-mails, SMS ou posts sur les réseaux sociaux toujours plus ingénieux.
Étape 3 : Le scan du code par la victime
Victime imprudente, vous scannez le QR code avec votre smartphone et arrivez sur une page web – en apparence celle d'une instance fiable mais qui a en fait été créée par l'escroc – où l'on vous demande de saisir vos données personnelles ou vos informations bancaires.
Étape 4 : Frappe immédiate ou ingénierie sociale
Le pirate informatique commence à se servir de vos données personnelles. Soit il a tout ce qu'il faut pour vous escroquer immédiatement, soit il utilise les informations que vous avez communiquées à des fins d'ingénierie sociale. Cette technique utilisée par les hackers consiste à utiliser vos données pour vous cibler encore plus personnellement et vous tromper encore mieux.
Comment ? Ils vous envoient, par exemple, de fausses factures ou de faux avertissements-extraits de rôle, qui semblent tellement réels et détaillés que vous les payez. Ou bien ils piratent votre boîte mail à l'aide du logiciel malveillant qu'ils ont installé, lisent vos courriers électroniques et, en utilisant une adresse mail quasi identique, se font passer par exemple pour le jardinier avec lequel vous échangiez depuis un certain temps. Et ils vous demandent, au nom de ce jardinier, de payer un acompte pour les travaux de jardinage. Mais où va cet acompte ? Sur leur compte propre compte en banque !
Étape 5 : La technique du « réessayez plus tard »
Vous êtes victime de phishing ou de quishing ? Cela ne s’arrête pas toujours à une tentative unique. Le SPF Economie rapporte que les informations volées par quishing sont parfois conservées dans des bases de données pendant des années. Autrement dit, vous devez rester très vigilant, même longtemps après avoir été victime d'un quishing.
Les signes d'une tentative de quishing
Le Centre pour la Cybersécurité Belgique rapporte qu'en 2023, les internautes ont signalé près de 10 millions d’e-mails suspects et les ont transmis à suspect@safeonweb.be. Tous ces courriers électroniques étaient soupçonnés d'être des phishings. De nombreuses personnes ne se laissent donc plus prendre au piège lorsqu'elles reçoivent un e-mail suspect. Par contre, et c’est nettement moins positif, le nombre de personnes incitées à scanner un QR code via un quishing ne cesse d'augmenter.
Heureusement, il est possible de s'armer parfaitement contre le quishing. Vous voulez en savoir plus ? Poursuivez votre lecture !
Checklist du quishing : les messages les plus courants pour vous piéger
Cette liste vous donne un aperçu des récits et pièges les plus courants que les fraudeurs utilisent pour vous inciter à scanner leur QR code :
- Les instances gouvernementales : de très nombreux messages de phishing et de quishing semblent provenir des autorités publiques. Soyez donc très vigilant si vous recevez un message du SPF Finances, du Service des Pensions, du SPF Justice, etc. Les escrocs vous piègent en demandant des informations urgentes, nécessaires pour mettre votre dossier en ordre. Ou ils vous proposent des remboursements pour lesquels ils ont besoin de vos coordonnées.
- Les services clientèle : les escrocs du quishing se font parfois passer pour des collaborateurs du service clientèle d'une grande entreprise. Un exemple parmi les arnaques les plus courantes : ils vous demandent de partager votre identifiant de connexion pour confirmer votre identité.
- La police : selon le Centre pour la Cybersécurité, les messages dans lesquels les escrocs se font passer pour la police fédérale ou Europol obtiennent également de très bons résultats ; par exemple en effrayant les citoyens avec des messages relatifs à une enquête sur des faits de mœurs. Et bien sûr, les faux messages concernant des infractions et des amendes à payer immédiatement fonctionnent eux aussi très bien.
- Les banques, les opérateurs de téléphonie et d’internet, les fournisseurs d'énergie et la plateforme d'authentification Itsme® sont fréquemment imités par les fraudeurs dans le cadre d’un phishing ou d’un quishing. Imiter une banque, une institution financière ou un organisme de crédit est évidemment particulièrement intéressant pour les criminels, car ça leur permet d’atteindre directement leur objectif, c’est-à-dire vos finances.
- Les réseaux sociaux : une notification de suppression de votre compte Facebook vous provoque une poussée d’adrénaline ? Vous n'êtes pas le seul. Ce piège est souvent utilisé par les fraudeurs pour vous inciter à scanner un QR code ou à cliquer sur un lien.
- Votre employeur : il est très facile de savoir pour qui vous travaillez. Une fois que le pirate le sait, il peut se faire passer pour votre employeur, et ainsi vous escroquer de précieuses informations ou de l'argent.
- Des membres de la famille en difficulté : vous avez peut-être déjà reçu ce message par WhatsApp ou SMS : « Maman, on a volé mon téléphone et je t’écris avec celui d’un ami. J'ai un problème, c’est urgent ». Il s'agit aussi d'une escroquerie très réussie, pour vous inciter à scanner ou à cliquer.
Et il y a sans doute des dizaines d'autres exemples, car les fraudeurs sont très créatifs. Tout ce qui vous incite à scanner un QR code sans trop réfléchir est une occasion parfaite pour le quishing.
7 astuces pour repérer le quishing
Au-delà de ces mensonges utilisés pour vous piéger, voici quelques précieuses astuces qui peuvent vous permettre de ne jamais être victime d’un quishing.
- L'urgence : vous recevez des messages du type « offre limitée », « votre compte a été piraté », « à payer d’urgence », « rappel » ou « remboursement », qui vous demandent de scanner immédiatement un QR code ? Attention, il y a de fortes chances qu'il s'agisse d’e-mails frauduleux. Les criminels vous effraient ou vous rendent imprudent avec cette soi-disant « urgence » (par exemple, en vous proposant une super réduction qui n'est valable que pour une durée limitée), et comptent sur vous pour scanner immédiatement le QR code partagé.
- Un expéditeur inconnu : vous recevez un message ou un e-mail d'une personne que vous ne connaissez pas ? Dans ce cas, soyez prudent avant de scanner un QR code.
- Une URL suspecte : vérifiez l'adresse URL à laquelle le code est relié. Essayez de la visualiser avant de scanner. Un lien étrange s'affiche ? Prenez le temps de vérifier si l’URL de la page correspond au site web de l'expéditeur. Par exemple, si vous voyez que le QR code veut vous rediriger vers policebelgium.com, vous pouvez être sûr que vous n'avez pas affaire à la police fédérale, mais à des escrocs. Vous recevez une URL simplifiée créée par un réducteur d'URL ? Ne scannez pas. Les escrocs utilisent souvent des URL raccourcies pour cacher leur véritable destination.
- Une mauvaise orthographe ou grammaire : souvent, les fraudeurs sont basés à l'étranger et ne parlent pas notre langue. Même si, aujourd’hui, ils trouvent généralement un moyen de contourner ce problème linguistique avec des outils d'IA comme ChatGPT, vérifiez toujours soigneusement la grammaire et l'orthographe des messages. Il y a des erreurs de langage ? Une façon inhabituelle de s'adresser à vous ? Soyez vigilant !
- Des informations personnelles : les institutions financières et les entreprises actives dans le secteur du crédit mettent tout en œuvre pour assurer la sécurité de leurs clients. Votre banque ou votre organisme de crédit ne vous demandera jamais de scanner un QR code ni de partager des données personnelles.
- Des autocollants avec un QR code dans des lieux publics : il arrive que les pirates informatiques collent leur QR code sur un vrai code. Par exemple, dans le bus, vous pourriez croire que vous scannez le QR code d'une publicité pour gagner une voiture alors qu’en réalité, vous êtes redirigé vers la page web de l’escroc.
- Des factures dont vous n’aviez pas connaissance : vous recevez soudain un rappel urgent pour payer une amende ou une facture dont vous n’aviez même pas connaissance ? Ne le faites pas. Il y a de fortes chances qu'il s'agisse d'un phishing ou d'un quishing.
Les conséquences du quishing sur votre santé financière
Les pirates informatiques adorent l'éventail de possibilités qu'offre le quishing. Le quishing peut mener à des usurpations d'identité, des fraudes au crédit, des attaques par ransomware, des fuites de données et d'énormes pertes financières. Non seulement pour les particuliers mais aussi pour les organisations et les entreprises. En voici un aperçu.
- Usurpation d'identité : les pirates informatiques peuvent utiliser le quishing pour vous voler des informations personnelles telles que vos noms d'utilisateur, mots de passe et autres données sensibles. Ils se servent ensuite ces informations pour une usurpation d’identité. Autrement dit, ils utilisent votre identité en ligne pour commettre des délits.
- Perte financière : le quishing est un moyen très efficace d'accéder à des données financières, telles que des informations relatives aux cartes de crédit et numéros de comptes bancaires. Avec ces informations, les escrocs accèdent aux comptes en banque de leurs victimes et peuvent aussi effectuer de nombreuses autres transactions frauduleuses.
- Attaque par ransomware : le quishing permet aux pirates de télécharger des logiciels malveillants (malwares), tels que des ransomwares, sur les smartphones de leurs victimes. Les ransomwares cryptent les fichiers, puis demandent aux victimes une rançon pour restaurer l'accès aux données.
- Vie privée : les attaques de quishing permettent aux criminels d’accéder à des informations confidentielles qu'ils peuvent ensuite faire fuiter. Pour une entreprise, cela peut avoir d’importantes conséquences financières mais aussi porter atteinte à leur réputation.
Le butin du quishing peut varier fortement : cela va d’un grand nombre de petites sommes d'argent différentes, aux données nécessaires pour mener des attaques plus importantes ou subtiliser immédiatement de grosses sommes. Ce que les criminels en retirent dépend de leur approche, mais une chose est sûre : plus les pirates pourront s'approcher de vos données bancaires et vous soutirer des identifiants et des mots de passe importants, plus vos pertes financières, en tant que victime de quishing, seront importantes.
Comment se protéger du quishing ?
Le meilleur conseil pour éviter d'être victime de quishing est bien sûr le suivant : soyez très prudent quant à vos informations financières. On vous demande de partager des données personnelles ou financières sensibles ? Prenez le temps de réfléchir à ce que vous allez partager et pourquoi. Car lorsqu’il s’agit de phishing ou de quishing, les fraudeurs jouent sur la rapidité et sur vos émotions.
Voici encore quelques conseils pour vous protéger contre le quishing.
- Utilisez un scanner de QR codes fiable : la plupart des smartphones peuvent scanner les QR codes à l'aide de leur appareil photo. Si vous souhaitez quand même télécharger un scanner, assurez-vous d'utiliser une application fiable. Déjà par le passé, des hackers utilisaient des mises à jour d'applications non fiables pour installer des logiciels malveillants sur des smartphones. Assurez-vous également que vous pouvez visualiser l'URL. Si elle semble étrange ou est simplifiée, il pourrait s'agir d'un quishing.
- Procédez à une vérification en deux étapes (ou authentification à deux facteurs) : si vous êtes victime de quishing, cette sécurité supplémentaire fera en sorte que les pirates ne passent pas le cap de la deuxième vérification.
- Assurez-vous que votre smartphone est à jour : la mise à jour régulière des applications sur votre appareil peut certainement aider à tenir les pirates à l'écart.
- Évitez de télécharger des apps et des fichiers via des QR codes : vous êtes tenté de scanner un QR code mais doutez de son authenticité ? Envisagez des alternatives sûres. Surfez vous-même sur le site web de l'entreprise ou téléchargez des apps à partir de votre app-store.
- Restez informé : les pirates et les cybercriminels exploitent principalement l'ignorance de leurs victimes. L'un des moyens les plus efficaces de lutter contre le quishing est donc de vous informer. Vous garderez ainsi une longueur d'avance sur les pirates informatiques.
- Installez l'extension Safeonweb : pour chaque site web sur lequel vous surfez, l'extension de navigateur Safeonweb vous indique si le propriétaire du site a été validé (vert) ou non (orange).
Quelques exemples
Vous n'arrivez toujours pas à imaginer comment on peut se faire piéger ? Les exemples de quishing qui suivent vous montrent à quel point les hackers sont malins et créatifs lorsqu'ils veulent flouer leurs victimes. Et à quel point les possibilités sont illimitées.
- Lors d'une cyberattaque aux États-Unis, des hackers se sont fait passer pour une banque. Ils ont envoyé aux clients un e-mail leur demandant d'accepter d'urgence la nouvelle politique de confidentialité de la banque. Pour ce faire, les clients devaient scanner un QR code. Une fois qu’ils l’avaient fait, ils étaient dirigés vers une landing page qui ressemblait à la page de connexion de la banque. Butin récolté ? Tous les noms d'utilisateurs et identifiants de ces personnes.
- Toujours aux États-Unis, des pirates ont collé de faux QR codes sur les automates de paiement dans un parking. Les automobilistes qui scannaient le code pour payer leur stationnement atterrissaient ainsi sur une page où ils devaient saisir toutes les données relatives à leur carte de crédit, donnant aux pirates toutes ces informations confidentielles.
- Le quishing utilisant les amendes de stationnement est un autre exemple américain. À Atlanta, des automobilistes ont trouvé sous leur essuie-glace de faux tickets de stationnement sur lesquels figurait un QR code permettant de payer rapidement l'amende. Destination de tout cet argent ? Le compte des escrocs.
- En 2022, en Chine, des pirates informatiques ont usurpé l'identité du ministère chinois des Finances dans un e-mail. Ils ont fait croire aux internautes qu'ils étaient éligibles à une nouvelle bourse gouvernementale. Pour l'obtenir, les gens devaient scanner un QR code sur un document joint à l'e-mail. Après avoir scanné le code, les victimes étaient dirigées vers une page où elles devaient compléter un formulaire de demande. En ce compris des informations très détaillées sur leurs cartes de crédit et comptes bancaires.
FAQ sur le quishing et le crédit
Voici les réponses aux questions les plus fréquemment posées (FAQ) sur le quishing et le crédit.
Est-il possible de récupérer l'argent volé lors d’un phishing ou quishing ?
Sous certaines conditions, les banques sont tenues de rembourser les victimes de phishing – et donc aussi de quishing. Selon Test-Achats, dans le cas d'une transaction non autorisée telle que le phishing, les banques sont légalement tenues de vous rembourser le montant prélevé, à moins qu'elles ne puissent prouver que la transaction résulte d'une fraude, d'une action délibérée ou d'une négligence grave de votre part.
Que font les banques en cas de phishing et de quishing ?
Les banques déploient beaucoup d'efforts pour lutter contre les fraudes en ligne comme le phishing et le quishing. Elles sont désormais joignables 24 heures sur 24 et 7 jours sur 7 pour les victimes de phishing. C'est important, car plus tôt vous contacterez votre banque, plus vite elle sera en mesure de vous aider et de limiter les dégâts.
Qu'est-ce que le phishing et le quishing ? Comment cela fonctionne-t-il ?
Le phishing est une forme d'escroquerie en ligne dans laquelle les pirates tentent d'obtenir des informations personnelles de la part de leurs victimes ou d'installer immédiatement des logiciels malveillants sur un PC ou un smartphone. Le quishing est une forme particulière de phishing, qui consiste à utiliser des QR codes pour rediriger les victimes vers une page ou un site web malveillant.
Que faire si vous êtes victime de phishing ou de quishing ?
Si vous êtes victime de phishing ou de quishing, signalez-le à la police dès que possible. Contactez aussi Card Stop et votre banque immédiatement, et faites bloquer votre compte. Rassemblez un maximum de preuves des faits, notez toutes les coordonnées des escrocs (numéros de téléphone, noms, adresses de sites web, etc.) et communiquez ces informations à suspect@safeonweb.be.
Besoin d’aide ou d’autres conseils ?
Quel crédit correspond
à mon besoin ?
Des projets en tête ? Envie de vous faire plaisir ? Des achats imprévus ?
Découvrez en 3 clics le crédit Cofidis adapté à votre budget.
Quelques conseils
Tout ce que vous avez toujours voulu savoir sur le crédit sans le demander