Vous avez de la chance !
CELA AURAIT PU ÊTRE UN QR CODE MALVEILLANT (QRISHING).
Pas de panique !
Vous ne courez aucun risque. Ni pour vos données, ni pour votre appareil. La simulation n'a qu'un objectif formateur.
Nous vous déconseillons de discuter de votre expérience en formation ou du contenu des e-mails de phishing avec vos collègues. Cela permettra à tous les participants de bénéficier de la simulation de phishing.
Quelles attaques possibles avec des QR codes ?
Les QR codes sont de plus en plus employés pour leur aspect pratique. Ils peuvent aussi être utilisés dans le cadre d'attaques par des pirates. Voici quelques conseils pour protéger des faux QR codes ou ceux qui sont malveillants.
Les QR codes peuvent pointer vers des URL malveillantes (adresses de sites, de pages, logiciels exécutables) pour tenter d’avoir accès à des données d’un smartphone ou d’une tablette.
Il peut aussi d’agir de cyberattaques visant à ouvrir un site de phishing (hameçonnage), technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.
Pour les QR codes, on appelle cela le QRishing. Cela peut aussi amener vers une URL courte (raccourcisseur d’URL) qui renvoie ensuite vers l’URL malfaisante.
Bref, les pirates cherchent à récupérer des informations confidentielles des utilisateurs.
Autres agissements malveillants possibles :
Vol de Contacts
Récupérer une liste de contacts de votre appareil afin de leur envoyer des messages par email ou téléphone.
Appels Surtaxés
Déclencher des appels téléphoniques vers des numéros surtaxés à votre insu.
SMS Malveillants
Envoyer des SMS malveillants pour propager l'attaque ou vous abonner à des services.
Paiements Mobiles
Effectuer des paiements mobiles frauduleux directement depuis votre terminal.
Comment se prémunir contre les attaques via QR code et rester vigilant ?
Voici quelques règles à observer pour se protéger des faux QR codes :
Avant de scanner un QR code, s’assurer qu’il ne couvre pas un autre code.
En cas de doute sur un QR code, ne pas le scanner.
Vérifier l’URL proposée sur la notification avant de cliquer sur la redirection. Si URL étrange ou très courte, quitter la notification.
Le QR code doit vous amener à une information souhaitée, si ce n’est pas le cas, fermez la page et effacez l’historique de son navigateur.
Si le QR code arrive vers une application de l’AppStore ou de Google Play, s’assurer que l’entreprise mentionnée sur cette page a bien développé l’application demandée.
Ne pas installer d’applications de sécurité à partir d’un lien scanné d’un QR code car c’est souvent un logiciel malveillant (malware) qu’on cherche à installer sur votre smartphone ou tablette.
Être méfiant sur les QR codes distribués sur des cartes, mentionnés sur des affiches lors d’évènements ou placés dans des lieux publics.
Pour les smartphones professionnels, ne pas mettre en place l’installation automatique d’applications.
Utiliser une authentification multifacteurs pour les applications d’entreprise.
Professionnels : il est fortement recommandé d'adopter une solution de défense contre les menaces mobiles.
Vous êtes maintenant paré contre le QRishing.