Quishing.

Hameçonnage dissimulant une URL malveillante dans un QR code, incitant la victime à le scanner avec son téléphone et à visiter une page de vol d'identifiants ou de malware hors des défenses de l'entreprise. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Hameçonnage dissimulant une URL malveillante dans un QR code, incitant la victime à le scanner avec son téléphone et à visiter une page de vol d'identifiants ou de malware hors des défenses de l'entreprise.

Le quishing (hameçonnage par QR code) est une attaque d'ingénierie sociale dans laquelle le lien malveillant est encodé sous forme de QR code plutôt qu'écrit en texte visible. Comme l'URL est intégrée à une image, elle échappe souvent aux scanners de liens des messageries et aux passerelles de messagerie sécurisées, et le scan fait généralement basculer la victime sur un appareil mobile personnel aux contrôles plus faibles. Les appâts courants incluent de faux avis de configuration de l'authentification multifacteur, des demandes de livraison de colis ou de paiement de stationnement, et des autocollants apposés sur des codes légitimes sur des affiches ou des tables de restaurant. Les défenses comprennent un filtrage des courriels analysant images et QR codes, le blocage des domaines malveillants, l'authentification FIDO2 résistante à l'hameçonnage, la défense mobile et la sensibilisation des utilisateurs.

Les défenses contre Quishing combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Hameçonnage par QR code, Phishing par QR code.