Le code à réponse rapide auquel nous étions sur le point de dire au revoir a fait un retour en force, grâce à la pandémie mondiale. Oui, vous avez bien deviné – Nous faisons référence à un code QR. Les directives et les tendances en matière de distanciation sociale telles que le “tout sans contact” ont popularisé les mosaïques pixélisées, et leur application simple et souple ne fait que renforcer leur cas, depuis leur introduction dans les années 1990 pour suivre simplement l’inventaire des produits, les codes-barres ont parcouru un long chemin, depuis les menus de restaurant scannables à l’engagement des clients avec les marques, en passant par les enregistrements rapides à l’aéroport. Leur application la plus répandue est peut-être dans l’écosystème du paiement sans contact – “Scannez le code QR ci-dessous et payez”. Un code QR (Quick Response) est un code-barres bidimensionnel facilement lisible par les smartphones – tout ce dont vous avez besoin pour lire le code est un appareil photo et une application. C’est bien beau, mais c’est là que le problème se pose : ils sont faciles à créer, mais comprendre ce qu’ils cachent est la partie la plus difficile. Bien qu’ils soient apparus comme un moyen pratique de promouvoir la technologie sans contact, les utilisateurs ne savent pas comment identifier une fraude par code QR .
Fraude par code QR : Un nouveau terrain de jeu des cybercriminels
À bien des égards, une fraude par code QR est similaire à toute autre attaque de phishing. Bien sûr, il y a quelques changements. Les attaques de phishing utilisent généralement des liens trafiqués qui se font passer pour des sites Web légitimes dans l’espoir que vous les suivrez vers le site Web malveillant d’un pirate. Une fois sur place, le site est conçu pour vous inciter à fournir vos informations personnelles, vos numéros de carte de crédit et d’autres informations sensibles, éventuellement sous la forme d’une offre spéciale ou d’une alerte de faux compte. De même, il peut vous rediriger vers un site qui infecte simplement votre appareil avec des logiciels malveillants.
C’est similaire avec un code QR, mais il y a quelques différences clés :
-
Il n’y a aucun moyen de savoir si un code QR est authentique ou non, par exemple en repérant les fautes d’orthographe intelligentes, les fautes de frappe ou les adaptations d’une URL légitime.
-
Les codes QR peuvent donner accès à des fonctions et applications supplémentaires sur votre smartphone. Lorsque vous scannez un faux code QR, les escrocs peuvent l’utiliser pour ouvrir des applications de paiement, ajouter des contacts, envoyer un SMS ou passer un appel téléphonique.
Où apparaissent les faux codes QR ?
Outre les e-mails, les messages directs et les publicités sur les réseaux sociaux, de faux codes QR peuvent apparaître à divers autres endroits. En voici quelques-unes qui ont récemment fait le tour :
-
Emplacements où un pirate peut avoir remplacé un code QR par ailleurs légitime par un code falsifié, tels que les aéroports, les arrêts de bus et les restaurants.
-
Sur votre pare-brise, sous la forme de faux tickets de stationnement conçus pour vous faire croire que vous vous êtes garé illégalement et que vous devez payer une amende.
-
Ils peuvent également apparaître dans des dépliants, de fausses publicités dans la rue et même de fausses offres de consolidation de dettes par la poste.
La numérisation d’un code QR peut entraîner une notification sur l’écran de votre smartphone vous demandant de suivre un lien. Les pirates, comme les autres escrocs de type hameçonnage, feront tout leur possible pour que ce lien semble légitime. Ils peuvent changer le nom d’une société bien connue de sorte qu’il semble provenir de cette société. Ils peuvent également utiliser des raccourcisses de liens, qui prennent des adresses Web autrement longues et les compressent en une courte chaîne de caractères, l’astuce étant que vous n’avez aucun moyen de savoir où cela vous mènera simplement en le regardant.
Comme vous pouvez le voir, le code QR ne se limite pas à “l’autofocus”. Pour faire distinction entre les utilisations légitimes et malveillantes, une combinaison de prudence et d’observation aiguë est requise.
Comment prévenir les fraudes par code QR
-
Soyez toujours prudent lorsque vous scannez des codes QR : Lorsque vous essayez de scanner un code QR dans un lieu public, vérifiez son aspect QR et confirmez s’il s’agit d’un autocollant ou d’un affichage. Si vous pensez que le code QR ne correspond pas à l’arrière-plan, vous devez demander une copie ou scanner manuellement le code URL dans votre appareil. Cela vous aidera à identifier le faux code QR. Lorsque vous accédez à un site Web après avoir scanné le code QR, assurez-vous qu’il ressemble au site Web auquel vous vous attendiez. S’il vous demande des informations de connexion ou des informations de compte bancaire qui ne sont pas nécessaires, arrêtez de les fournir et quittez le site Web immédiatement.
-
Les codes QR envoyés dans les e-mails proviennent principalement d’escrocs : Les experts en code QR conseillent que si vous recevez un e-mail vous demandant de scanner un code QR ou un code URL, vous devez l’ignorer. Ils ne sont jamais obtenus d’une source fiable. Ils sont envoyés spécifiquement pour vous tromper.
-
Vérifiez le code URL : De nombreux smartphones ont la capacité d’afficher un aperçu de votre code URL numérisé. Si vous soupçonnez cette URL, vous devez vous arrêter là. Vous pouvez également utiliser une application de scanner sécurisée pour détecter les faux codes QR avant que votre téléphone ne les ouvre.
-
Utilisez le gestionnaire de mots de passe : Même si vous scannez un faux code QR qui mène à un site Web convaincant, le fait d’avoir un gestionnaire de mots de passe vous empêchera de remplir automatiquement vos mots de passe. Cela peut vous aider à éviter de perdre des données sensibles ou de l’argent de votre compte bancaire.
Lorsqu’il s’agit de commettre des activités frauduleuses, les cybercriminels sont extrêmement astucieux. Même si les codes QR sont un mécanisme sûr et sécurisé pour le paiement ou la vérification en ligne, ils peuvent être abusés par des pirates. Il est essentiel de revoir votre activité en ligne ainsi que la plateforme que vous utilisez pour scanner les codes QR. Vérifiez toujours le code QR en copiant son code de numérisation URL avant de le scanner. Si l’URL vous mène à une page suspecte, vous devez l’arrêter et la signaler afin d’aider les autres utilisateurs qui pourraient être victimes de pirates. Vous devez être conscient du fonctionnement des codes QR et diffuser ces connaissances aux autres.
