Le contexte
Le nom anglais est “ Qishing ”. Les hackers utilisent les QR Codes afin de remplacer ceux originaux. Les utilisateurs sont alors dirigés vers des sites qui leurs demandent des informations confidentielles. On parle ici de données sensibles telles que les cartes de crédit ou personnelles pouvant être revendues.
Dernièrement des hackers ont placé des QR Codes sur des bornes de recharge électrique.
Les utilisateurs ont payé en ligne … pour un service qu’ils ne recevront jamais.
https://www.lepoint.fr/societe/borne-de-recharge-electrique-attention-a-cette-nouvelle-arnaque-aux-qr-codes-03-01-2024-2548935_23.php
Comment parer au hacking des QR Codes “Qishing” ?
- Physiquement
Interrogez-vous sur la provenance du QR Code.
Vérifiez tout d’abord bien qu’il n’y ait pas une superposition d’étiquettes.
- Par logiciel
Utilisez une app de scanning de QR Code avec analyse de l’URL Ces apps permettent grâce à leur base de données en ligne de reconnaître les URLs frauduleuses.
telle que Scanner QR : sécurisé (sur Androïd) ou QR Defender sur Apple. Ces apps ont soit une base de données en ligne qui contient une liste de sites frauduleux et vous met en garde si vous tombez sur l’un d’entre eux (Il faut par contre que le site ait été déclaré comme frauduleux.…,) soit effectuent des vérifications (validité du protocole de sécurité, pas une ue URL déjà comprimée, …).
Scanner QR : sécurisé https://play.google.com/store/apps/details?id=com.trendmicro.qrscan&hl=fr
QR Defender :https://apps.apple.com/fr/app/qrdefender-scanner-qr-s%C3%A9curise/id6473653366
- Par vous même
Tous les scanners affichent l’URL de destination. C’est à ce moment qu’il faut être vigilant et bien vérifier que l’URL est sécurisée. Avant d’ouvrir cette URL contrôlez bien
- qu’elle ne soit pas un une URL qui se “ rapproche “ de celle que vous voulez atteindre ou qu’elle ne soit pas déjà connue comme étant frauduleuse
- qu’elle ne soit pas une “tiny URL” , donc une URL compactée qui ne vous permet pas de savoir où vous allez atterrir…
- Ex.: https://www.credit-agricole.fr/ et https://www.credit-agricole-clients.fr
La 1ère URL est correcte, l’autre pas… - que l’URL n’est pas connue comme frauduleuse (copier/coller dans la recherche Google en ajoutant “avis” ou “feedback”)
Lors de l’ouverture de la page contrôlez aussi que le protocole de sécurité est correcte :
Ces articles pourraient aussi vous intéresser
Arnaque sur les liens QR Code
Si vos QR Codes ne contiennent pas votre nom de domaine alors lisez cet article avant qu’il ne soit trop tard !
Vin :QR Code versus contre-étiquette
Vin :QR Code versus contre-étiquette – Dans quel cas ne pas utiliser les QR Codes