Le hacking des QR Codes et comment y parer
Qishing - Hacking des QR Codes par des pirates

ICON LegalLe contexte

 

Le nom anglais est “ Qishing ”. Les hackers utilisent les QR Codes afin de remplacer ceux originaux. Les utilisateurs sont alors dirigés vers des sites qui leurs demandent des informations confidentielles. On parle ici de données sensibles telles que les cartes de crédit ou personnelles pouvant être revendues.

Dernièrement des hackers ont placé des QR Codes sur des bornes de recharge électrique.
Les utilisateurs ont payé en ligne … pour un service qu’ils ne recevront jamais.
https://www.lepoint.fr/societe/borne-de-recharge-electrique-attention-a-cette-nouvelle-arnaque-aux-qr-codes-03-01-2024-2548935_23.php

ICON LegalComment parer au hacking des QR Codes “Qishing” ?

 

  1. Physiquement

Interrogez-vous sur la provenance du QR Code.
Vérifiez tout d’abord bien qu’il n’y ait pas une superposition d’étiquettes.

  1. Par logiciel

Utilisez une app de scanning de QR Code avec analyse de l’URL Ces apps permettent grâce à leur base de données en ligne de reconnaître les URLs frauduleuses.
telle que Scanner QR : sécurisé (sur Androïd) ou QR Defender sur Apple.  Ces apps ont soit une base de données en ligne qui contient une liste de sites frauduleux et vous met en garde si vous tombez sur l’un d’entre eux (Il faut par contre que le site ait été déclaré comme frauduleux.…,) soit effectuent des vérifications  (validité du protocole de sécurité, pas une ue URL déjà comprimée, …).

 

Scanner QR : sécurisé  https://play.google.com/store/apps/details?id=com.trendmicro.qrscan&hl=fr 

QR Defender :https://apps.apple.com/fr/app/qrdefender-scanner-qr-s%C3%A9curise/id6473653366 

 

  1. Par vous même

Tous les scanners affichent l’URL de destination. C’est à ce moment qu’il faut être vigilant et bien vérifier que l’URL est sécurisée. Avant d’ouvrir cette URL contrôlez bien

  • qu’elle ne soit pas un une URL qui se “ rapproche “ de celle que vous voulez atteindre ou qu’elle ne soit pas déjà connue comme étant frauduleuse
  • qu’elle ne soit pas une “tiny URL” , donc une URL compactée qui ne vous permet pas de savoir où vous allez atterrir…
  • Ex.: https://www.credit-agricole.fr/  et https://www.credit-agricole-clients.fr
    La 1ère URL est correcte, l’autre pas…
  • que l’URL n’est pas connue comme frauduleuse (copier/coller dans la recherche Google en ajoutant “avis” ou “feedback”)

Lors de l’ouverture de la page contrôlez aussi que le protocole de sécurité est correcte :

PurpleOne-connexion-securisee

Ces articles pourraient aussi vous intéresser

Browse All Categories
Arnaque sur les liens QR Code

Arnaque sur les liens QR Code

Jan 17, 2024

Si vos QR Codes ne contiennent pas votre nom de domaine alors lisez cet article avant qu’il ne soit trop tard !