Quishing : de faux QR codes dans l'espace public
Des QR codes collés sur les horodateurs, bornes de recharge et amendes renvoient vers de fausses pages de paiement. Le coup d'oeil ne suffit pas.
Le quishing, contraction de QR code et de phishing, gagne du terrain. Le principe est simple : un faux QR code est collé par-dessus le vrai, sur un horodateur de stationnement, une borne de recharge, une affiche, ou glissé dans un faux avis d'amende. Une fois scanné, il ouvre une page de paiement qui imite un service officiel.
Pourquoi cela fonctionne
Un QR code ne se lit pas à l'oeil nu. Impossible de savoir vers quelle adresse il pointe avant de l'ouvrir. La cible se croit sur un service de paiement de stationnement ou de contravention et saisit sa carte en confiance. Les escrocs soignent la page de destination pour qu'elle ressemble à un site public.
Comment reconnaître l'arnaque
- Après le scan, regardez l'adresse affichée par votre téléphone avant de continuer. Un domaine inconnu, mal orthographié ou doté d'une extension inhabituelle doit faire renoncer.
- Méfiez-vous d'un autocollant qui semble rapporté, décollé ou posé de travers sur un appareil public.
- Un paiement de stationnement ou une amende passent par des canaux officiels connus, pas par un QR code anonyme.
Que faire
- Ne payez pas via un QR code croisé dans l'espace public. Passez par l'application ou le site officiel que vous connaissez.
- Si vous avez payé, faites opposition auprès de votre banque.
- Signalez le faux QR code au gestionnaire du lieu et sur la plateforme de signalement adaptée.
Avant de valider un paiement après avoir scanné un QR code, copiez l'adresse et analysez-la pour détecter une fausse page.