Gare au "quishing", la nouvelle méthode d'hameçonnage au QR code
© Capture d'écran BFMTV
Plusieurs propriétaires de voitures électriques ont été victimes d'une arnaque au faux QR code au moment de recharger leur véhicule. La fraude est simple : un faux QR code remplace le vrai, et renvoie vers un site copier-coller du prestataire.
Le stratagème est ingénieux. À Lorris, un petit village dans le Loiret, plusieurs utilisateurs d'une borne de recharge pour voitures électriques ont eu la surprise, quelques jours avant Noël, de voir leur argent débité sans que leur véhicule soit fourni en électricité, rapporte La République du Centre. En cause, une arnaque visant le QR Code figurant sur la borne de recharge.
Pour ce faire, les malfaiteurs ont simplement remplacé le QR Code déjà existant par un leur appartenant et qui renvoie vers un site correspondant trait pour trait à celui du prestataire. Le montant subtilisé, lui, correspondait au prix de la recharge pour ne pas se faire repérer.
Interrogée par nos confrères, la maire du village a tenu à indiquer : "Dès qu'on a été prévenus de ce piratage, notre prestataire INEO a été très réactif et la borne a été immédiatement désactivée pour éviter la multiplication des victimes." Celle-ci a aussi précisé que les montants dérobés n'étaient "pas de grosses sommes".
Technique du "quishing"
Face à un tel procédé, plusieurs sociétés de cybersécurité en appellent à la plus grande vigilance. Cette nouvelle technique de vol, surnommé "quishing", en référence au phishing qui consiste à hameçonner des internautes par le biais d’e-mails frauduleux, a déjà fait de nombreuses victimes à commencer par la gendarmerie en Seine-et-Marne. En mai 2023, de fausses amendes de stationnement avaient été distribuées et renvoyaient par le biais d'un QR Code sur un site frauduleux en vue de procéder au paiement de la somme due. "C'est le risque de tout ce qui invisibilise le site sur lequel on se trouve", explique Valéry Marchive, rédacteur en chef du MagIT, un média spécialisé en cybersécurité. "Les cyber-délinquants utilisent des noms de domaine qui ont l'air légitimes pour héberger des copies parfaites du site cible", poursuit-il.
Pour éviter toute mésaventure, certaines précautions sont de mise. Tout d'abord, vérifiez l'URL du site vers lequel renvoie un QR Code, et surtout, restez vigilant face à toute demande de paiement qui peut vous paraître suspecte.
publié le 2 janvier à 21h57, Kévin Comby, 6Medias