Les codes QR sont de plus en plus employés par les pirates pour tenter d’arnaquer des victimes, mises en confiance par l’origine du lien obtenu. Rien que sur le troisième trimestre 2023, 60 000 attaques ont été rapportées par l’entreprise de cybersécurité Trellix.
De nos jours les codes QR sont partout : même les profs en envoient aux élèves pour corriger leurs copies. C’est d’autant plus vrai depuis que la pandémie est passée par là et que de nombreux restaurants ont préféré dématérialiser leur menu. Ils peuvent pourtant présenter un danger. La firme de cybersécurité Trellix aurait ainsi reçu 60 000 signalements d’attaques via un code QR rien qu’au troisième trimestre 2023.
Aux Etats-Unis, la situation est suffisamment sérieuse pour que la Federal Trade Commission (FTC) mette en garde la population contre le fait de scanner n’importe quel code QR. La France n’est pas épargnée par le phénomène, où ces QR codes malveillants circulent pour vider votre compte bancaire.
Comment fonctionnent les arnaques au code QR ?
La technique des pirates est très simple. Ceux-ci placent codes QR à la place de véritables codes QR, sur lesquels l’utilisateur aurait raisonnablement pu croire qu’il devait entrer des identifiants ou des informations de paiement. La confiance placée dans la méthode d’obtention du lien mène ensuite la victime à entrer ces données sensibles.
Ainsi, le New York Times rapporte que les services de police de plusieurs villes au Texas ont déclaré avoir trouvé des codes QR frauduleux placés sur des parcmètres. Les liens dirigeaient alors les automobilistes vers un faux site de paiement.
À lire > Fausses amendes par courrier recommandé : attention à cette arnaque sophistiquée
Les cybercriminels les envoient aussi par SMS ou par courrier électronique, avec probablement moins de succès. Dans ce genre de scénario, le Times affirme que les escroqueries les plus répandues aux Etats-Unis consistent à se faire passer pour le personnel de paie des ressources humaines des entreprises.
Pour s’y prémunir, il s’agit toujours de bien vérifier l’URL qui s’affiche en scannant le code QR (par exemple sur iPhone). Toutefois, même un code QR légitime peut afficher une adresse web abrégée et dénuée de sens. Si vous savez quel site vous souhaitez visiter, il est préférable de s’y rendre directement via une recherche internet.
S’agissant des mails ou SMS envoyant des codes QR, les précautions sont les mêmes que pour tous les courriels. Surtout, lorsque la demande urgente, les pirates tentent d’empêcher la victime de prendre le temps réfléchir au pourquoi de la demande. Généralement, les gens vous appelleront pour cela, alors prenez votre temps d’en vérifier l’origine.
Source : New York Times
