La récompense ou la menace pour attirer votre attention

Rappel d’usage : véhiculée par mail, SMS, messagerie instantanée ou appel téléphonique, la tentative de phishing usurpe une identité et invoque une menace ou une récompense pour vous pousser à livrer des informations sensibles, comme vos données bancaires.

Exemple : un (faux) courrier électronique usurpe l’identité d’un opérateur télécoms et exige le paiement immédiat d’une (fausse) facture en retard. Dans le corps du texte, on trouve généralement un lien qui entend vous forcer à télécharger une application dangereuse ou à remplir un formulaire sur un site frauduleux.

Un processus simple et efficace

Le lien est de plus en plus souvent remplacé par un QR code, insiste Safeonweb.be. C’est un moyen de détourner votre attention. Dans certaines conditions, il est plus facile et rapide de scanner un code QR qui cache son jeu puisque les infos sur la direction sont partiellement masquées.

Voici à quoi ressemble un mail de phishing avec QR code, dans cet exemple repéré par le site Safeonweb.be. ©Safeonweb.be

“Le processus est d’une simplicité et d’une efficacité alarmantes”, estime Safeonweb.be. Il est ainsi possible de publier ce code dans l’espace public, par exemple sur des flyers déposés en douce dans des cafés, sur des autocollants déployés à la sauvette sur les réverbères, etc.

L’usage d’un code QR dans une tentative de phishing porte un nom : le quishing.

Les clés pour se protéger

Comment se protéger ? Voici les recommandations de Safeoneweb.be :

Soyez prudent : traitez les codes QR avec la même prudence que vous le feriez pour un lien inconnu dans un courriel ou un message texte.