Il s’agit du quishing, la nouvelle frontière des escroqueries informatiques. L’utilisateur scanne un code QR contrefait et atterrit sur un site malveillant. En saisissant les données, il se retrouve entre les mains de fraudeurs.
Méfiez-vous des codes QR sur les stations de recharge. La nouvelle escroquerie, qui implique le vol de données de cartes de crédit, commence par les codes qui doivent être scannés pour activer les procédures de recharge. Des cas avérés de vol de données ont été signalés en Belgique, aux Pays-Bas, en France, en Espagne, en Italie et en Allemagne.
L’escroquerie, dans sa simplicité, est très dangereuse : de nombreuses applications offrent la possibilité de scanner un code QR pour lancer les procédures de recharge dans les colonnes, afin d’accélérer le temps et de ne pas utiliser la carte. Les attaquants malveillants apposent un autocollant avec un code QR contrefait qui recouvre le code légitime, de sorte qu’une fois scanné, il mène à un site malveillant.
Le site malveillant, qui est pratiquement le même que le site original, vous demande de saisir vos données de connexion et de paiement pour lancer les procédures de rechargement. Les données se retrouvent ainsi entre les mains des fraudeurs. Comme indiqué, des cas ont été signalés pratiquement dans toute l’Europe, y compris en France.
C’est ce qu’on appelle le quishing, et c’est la nouvelle frontière des escroqueries informatiques
Techniquement parlant, ce type d’attaque est appelé quishing, une corruption des termes QR et phishing. Ce terme désigne précisément une escroquerie visant à amener la victime à partager des données personnelles, des identifiants d’accès ou à effectuer des paiements. Il s’agit de l’un des types d’attaques les plus dangereux, facilité par la présence de plus en plus fréquente de codes QR.
Le moyen le plus simple de se protéger contre toute tentative d’hameçonnage est d’utiliser les cartes de recharge fournies par les opérateurs et les agrégateurs. La possibilité de payer ensuite la recharge directement au point de vente est une procédure de sécurité supplémentaire. Mais, comme pour la grande majorité des escroqueries informatiques, c’est toujours l’analyse minutieuse du site sur lequel les données sont saisies qui fait la différence entre une escroquerie réussie et une escroquerie déjouée.
Toutes les voitures équipées de la technologie Plug & Charge seront à l’abri des fraudes, car la reconnaissance de la voiture et toutes les opérations de recharge sont activées automatiquement. L’intervention du conducteur n’est pratiquement pas nécessaire.
Pour la même raison, le quishing n’affecte pas les voitures Tesla lorsqu’elles sont rechargées dans les Superchargers. Toutefois, une autre escroquerie, liée au réseau Wi-Fi, a récemment atteint les conducteurs américains de voitures électriques.
Une grande partie des bornes de recharge Tesla dans le monde offrent la possibilité de se connecter à un réseau Wi-Fi, et il a été rapporté que des attaquants malveillants ont mis en place un faux réseau Wi-Fi afin de voler les identifiants de connexion à l’application Tesla d’un conducteur. Dans le pire des cas, ils ont réussi à voler la voiture de victimes qui ne se doutaient de rien grâce à cette manœuvre. Vigilance donc !
