Arnaque au QR code : comment les repérer, comment s’en protéger… On vous explique tout

On voit des QR codes un peu partout de nos jours : annonces immobilières,
publicités télévisées, messages sur les réseaux sociaux, applications, mode
d’emploi d’appareils… Par ailleurs, la pandémie a entraîné une forte augmentation de
l’utilisation des codes QR, à commencer par le

pass sanitaire et le pass vaccinal. Pour réduire les risques de transmission, les
restaurants ont remplacé les menus physiques par des versions en ligne
accessibles depuis un smartphone en scannant un QR code.

Hélas, les cybercriminels ont rapidement pris la mesure de ce phénomène
qu’ils commencent à détourner à leur avantage. Les escrocs créent leurs
propres codes QR malveillants afin de leurrer les consommateurs pour leur
soutirer des informations bancaires ou personnelles.

« Chaque fois qu’une nouvelle technologie apparaît, les cybercriminels
essaient de trouver un moyen de l’exploiter
», explique Angel Grant,
vice-présidente chez F5, société spécialisée dans la sécurité des
applications. C’est particulièrement vrai avec des technologies comme les QR codes, que le grand public sait utiliser mais dont il ne connait pas
forcément le fonctionnement, poursuit-elle. « Il est plus facile de
manipuler les victimes se elles ne comprennent pas.
»

 

Le QR code, abréviation anglaise de quick response qui signifie « réponse
rapide », a été inventé au Japon dans les années 1990. Il a d’abord été
utilisé par l’industrie automobile pour gérer la production, puis s’est
répandu partout. Aujourd’hui, des sites web et des applications permettre
de créer facilement ses propres codes QR.

Actuellement, ils sont exploités par des cybercriminels pour de l’hameçonnage (phishing) par courriel. Scanner un faux QR code ne fera rien à votre
smartphone, du genre télécharger un logiciel malveillant en arrière-plan.
Mais il vous mènera à des sites Web frauduleux conçus pour obtenir des
informations sur vos comptes bancaires, vos cartes de crédit ou d’autres
informations personnelles.

Comme pour tout autre système de phishing, il est impossible de savoir
exactement combien de fois les QR code sont utilisés à des fins
malveillantes. Les experts affirment qu’ils ne représentent encore qu’un
faible pourcentage de l’ensemble du phishing, mais de nombreuses
escroqueries impliquant des QR codes ont été signalées au Better Business Bureau aux
Etats-Unis.

Arnaque aux parcmètres

Beaucoup d’usagers savent qu’ils doivent se méfier des liens piégés et des
pièces jointes douteuses dans les courriels. Mais la plupart n’y
réfléchissent pas à deux fois avant de scanner un QR code avec leur
smartphone.

Outre-Atlantique, dans la ville d’Austin, des automobilistes ont
été victimes d’un hameçonnage via des QR code trafiqués collés sur des
parcmètres. Au lieu d’être dirigés vers le site Web ou l’application
autorisés par la ville pour régler leur stationnement, les automobilistes
qui ont scanné ces autocollants frauduleux ont atterri sur un faux site qui
recueillait les informations relatives à leur carte de crédit. Toujours au
Texas, une arnaque similaire a été découverte dans la ville de San Antonio.

 

Selon Brad Haas, analyste cybermenaces pour Cofense, les QR code font
passer les gens du monde physique au monde en ligne. Les utiliser dans des
autocollants frauduleux et des courriers papier piégés est évidemment très
attractif pour les cyberpirates, car cela permet d’attirer des personnes
qui n’utilisent pas forcément les services en ligne par ailleurs.

L’analyste de Cofense explique que des QR code frauduleux commencent
également à apparaître dans des courriels de phishing et des publicités en
ligne. Une tactique qui le laisse perplexe. « Il n’y a vraiment aucune
raison pour que quelqu’un sorte son téléphone et scanne un code QR qui se
trouve dans un courriel qu’il est déjà en train de regarder sur son
ordinateur portable
», estime Brad Haas. Après tout, le destinataire est
déjà en ligne via son ordinateur portable. Pourquoi un expéditeur légitime
voudrait-il qu’il se connecte avec un deuxième appareil ? C’est pour cette
raison que les consommateurs doivent se méfier de tout courriel contenant
un QR code.

Il dit avoir récemment repéré une arnaque de phishing ciblant les
germanophones et comprenant un QR code dans le but d’attirer les
utilisateurs de services bancaires mobiles.


Une capture d’écran d’un courriel de phishing contenant un code QR
malveillant repéré par les chercheurs de Cofense. Notez que le code QR
a été modifié et ne mène pas à un site web malveillant. © Cofense

D’après Aaron Ansari, vice-président chargé de la sécurité du cloud chez
l’éditeur d’antivirus Trend Micro, les cyberpirates utilisent volontiers
les QR codes dans les courriels de phishing parce qu’ils ne sont souvent
pas détectés par les logiciels de sécurité, ce qui leur donne plus de
chances d’atteindre leurs cibles que les pièces jointes ou les liens
vérolés. Et même si le taux de réussite est plus faible, il est beaucoup
plus facile d’envoyer des millions d’e-mails de phishing que de placer
physiquement des autocollants de QR code sur les parcmètres et les arrêts
de bus.

En résumé, les QR codes ne sont qu’un moyen supplémentaire pour les
cybercriminels d’obtenir ce qu’ils veulent et une menace de plus à laquelle
il faut être attentif.

Les conseils des experts

  • Réfléchissez avant de scanner. Méfiez-vous surtout des codes affichés dans
    les lieux publics. Observez bien. S’agit-il d’un autocollant ajouté ou
    d’une partie d’un panneau ou d’une affiche ? Si le code ne semble pas
    s’intégrer dans le décor, demandez une copie papier du document auquel vous
    essayez d’accéder ou tapez l’URL manuellement.
  • Lorsque vous scannez un QR code, regardez bien le site web vers lequel il
    vous conduit, recommande Brad Haas. Ressemble-t-il à ce que vous attendiez
    ? S’il vous demande des informations de connexion ou bancaires qui ne
    semblent pas nécessaires, ne les transmettez pas.
  • Les codes intégrés dans les courriels sont presque toujours douteux. Mieux
    vaut les ignorer systématiquement. Il en va de même pour les codes que vous
    recevez dans des courriers publicitaires papier.
  • Prévisualisez l’URL du code. De nombreux appareils photo de smartphones, y
    compris les iPhone équipés de la dernière version d’iOS, donnent un aperçu
    de l’URL d’un code lorsque vous commencez à le scanner. Si l’URL semble
    étrange, mieux vaut vous abstenir.
  • Vous pouvez également utiliser une application d’analyse sécurisée, conçue
    pour repérer les liens malveillants avant que votre téléphone ne les ouvre.

    Trend Micro en propose une gratuite, tout comme d’autres grands éditeurs d’antivirus.
    Mais là encore prudence, ne faites confiance qu’à des marques connues. Car
    il existe aussi de fausses applications d’analyse qui siphonnent les
    données.

  • Utilisez un

    gestionnaire de mots de passe. Comme pour tous les types d’hameçonnage, si un QR code vous conduit à un
    faux site internet particulièrement convaincant, un gestionnaire de mots de
    passe saura faire la différence et ne remplira pas automatiquement vos
    coordonnées, explique Brad Haas.

Article de CNET.com adapté par CNETFrance

Image : Richard Baker / In Pictures via Getty Images

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici