Vous voyez des codes QR un peu partout ces jours-ci. Les codes-barres carrés s’affichent partout : annonces immobilières, Publicités télévisées et Média social messages vantant ce qui ressemble à de bonnes affaires sur des articles incontournables.
le pandémie a alimenté une augmentation de l’utilisation des codes QR. Cherchant à réduire une éventuelle transmission, Restaurants remplacé les menus physiques disponibles pour tous les clients par des versions en ligne accessibles sur votre propre téléphone personnel. Scannez ce petit carré et vous découvrirez quelle est la spécialité de la maison.
Cybercriminels ont rapidement pris note et commencent à exploiter l’indéniable commodité de la technologie. Les escrocs créent leurs propres codes QR malveillants conçus pour duper les consommateurs involontaires afin qu’ils transmettent leurs informations bancaires ou personnelles.
« Chaque fois qu’une nouvelle technologie sort, les cybercriminels essaient de trouver un moyen de l’exploiter », a déclaré Angel Grant, vice-président de la sécurité chez F5, une société de sécurité des applications. C’est particulièrement vrai avec des technologies comme les codes QR, que les gens savent utiliser mais ne savent peut-être pas comment ils fonctionnent, dit-elle. « Il est plus facile de manipuler les gens s’ils ne le comprennent pas. »
Les codes QR – l’abréviation signifie « réponse rapide » – ont été inventés au Japon dans les années 1990. Ils ont d’abord été utilisés par l’industrie automobile pour gérer la production mais se sont répandus partout. Des sites Web et des applications ont surgi qui vous permettent de créer les vôtres.
Maintenant, ils sont exploités par des cybercriminels dans le cadre d’une escroquerie de phishing par e-mail. Numériser les faux codes QR ne fera rien à votre téléphone, comme télécharger des logiciels malveillants en arrière-plan. Mais cela vous mènera à des sites Web frauduleux conçus pour obtenir compte bancaire, carte de crédit ou autre informations personnelles.
Comme tout autre stratagème de phishing, il est impossible de savoir exactement à quelle fréquence les codes QR sont utilisés à des fins malveillantes. Les experts disent qu’ils représentent encore un faible pourcentage de l’hameçonnage global, mais de nombreuses escroqueries impliquant un code QR ont été signalées au Better Business Bureau, en particulier au cours de la dernière année.
Beaucoup de gens savent qu’ils doivent être à l’affût de liens hameçons et les pièces jointes douteuses dans les e-mails qui prétendent provenir de la banque. Mais réfléchir à deux fois avant de scanner un code QR avec l’appareil photo de votre smartphone n’est pas une seconde nature pour la plupart des gens.
Profiter d’automobilistes sans méfiance pourrait être à l’origine des près de 30 autocollants de code QR malveillants récemment trouvés sur les parcmètres à Austin, au Texas, qui utilisent la technologie du code QR pour permettre aux conducteurs de payer leur stationnement en ligne.
Au lieu d’être redirigés vers le site Web ou l’application autorisés de la ville, les automobilistes qui ont scanné les autocollants frauduleux ont été dirigés vers un faux site Web qui a recueilli les informations de leur carte de crédit.
La police ne sait pas combien de personnes ont été dupées. Le département encourage toute personne pensant que les informations de sa carte de crédit ont été volées par le faux site Web à les contacter.
Austin n’est pas la seule ville à subir de fausses escroqueries par code QR. Des responsables de San Antonio, au Texas, à environ 80 miles de là, ont émis un avertissement après avoir repéré des autocollants similaires connectés à un faux site Web de paiement de stationnement.
Les codes QR font passer les gens du monde physique au monde en ligne. C’est pourquoi il est logique de les utiliser dans des autocollants d’escroquerie, ainsi que dans des courriers indésirables papier, a déclaré Brad Haas, analyste du renseignement sur les cybermenaces pour Cofense, une société de sécurité des e-mails. Il met en ligne des personnes qui ne l’étaient pas déjà.
Haas dit que les codes QR frauduleux commencent également à apparaître dans les e-mails de phishing et les publicités en ligne, une tactique qui le laisse se gratter la tête. « Il n’y a vraiment aucune raison pour que quelqu’un sorte son téléphone et scanne un code QR qui se trouve dans un e-mail qu’il regarde déjà sur son ordinateur portable », a déclaré Haas. Après tout, le destinataire est déjà en ligne avec son ordinateur portable. Pourquoi un expéditeur légitime voudrait-il qu’il se connecte avec un deuxième appareil ? Pour cette raison, les consommateurs devraient considérer tout e-mail contenant un code QR avec méfiance, dit-il.
Pourtant, les faux codes apparaissent dans les e-mails de phishing, mais pas aussi souvent que les tactiques éprouvées, comme les pièces jointes contenant des virus ou des liens vers des sites Web frauduleux. Cofense a récemment repéré une escroquerie par hameçonnage ciblant les germanophones qui comprenait un code QR dans le but d’attirer les utilisateurs de services bancaires mobiles.
Les pirates peuvent aimer utiliser des codes QR dans les e-mails de phishing, car ils ne sont souvent pas détectés par les logiciels de sécurité, ce qui leur donne une meilleure chance d’atteindre leurs cibles que les pièces jointes ou les mauvais liens, déclare Aaron Ansari, vice-président de la sécurité du cloud chez la société antivirus. Tendance Micro.
Même si le taux de réussite est plus faible, il est beaucoup plus facile d’envoyer des millions d’e-mails de phishing que de placer physiquement des autocollants sur les parcomètres et les arrêts de bus.
En résumé, les codes QR ne sont qu’un moyen de plus pour les cybercriminels d’obtenir ce qu’ils veulent et une autre menace que les gens doivent surveiller.
« Il y a tellement de façons d’être compromis de nos jours », a déclaré Ansari, « mais il n’en faut qu’une. »
Conseils d’experts
Réfléchissez avant de numériser. Méfiez-vous particulièrement des codes affichés dans les lieux publics. Regarde bien. S’agit-il d’un autocollant ou d’une partie d’un panneau ou d’un affichage plus grand ? Si le code ne semble pas correspondre à l’arrière-plan, demandez une copie papier du document auquel vous essayez d’accéder ou saisissez l’URL manuellement.
Lorsque vous scannez un code QR, jetez un coup d’œil au site Web auquel il vous a conduit, recommande Haas. Cela ressemble-t-il à ce que vous attendiez ? S’il demande des informations de connexion ou des informations bancaires qui ne semblent pas nécessaires, ne les donnez pas.
Les codes intégrés dans les e-mails sont presque toujours une mauvaise idée. Suivez les conseils de Haas et ignorez-les complètement. Il en va de même pour les codes que vous recevez dans les courriers indésirables non sollicités, tels que ceux offrant une aide à la consolidation de dettes, explique Grant.
Prévisualisez l’URL du code. De nombreux appareils photo pour smartphones, y compris les iPhones exécutant la dernière version d’iOS, vous donneront un aperçu de l’URL d’un code lorsque vous commencerez à le scanner. Si l’URL semble étrange, vous voudrez peut-être passer à autre chose.
Mieux encore, Ansari recommande d’utiliser une application de scanner sécurisée, conçue pour détecter les liens malveillants avant que votre téléphone ne les ouvre. Son entreprise, Trend Micro, en propose un gratuitement, tout comme certaines des autres grandes sociétés antivirus.
Mais tenez-vous en aux sociétés de sécurité bien connues, dit-il. Des applications de numérisation QR malveillantes conçues pour récupérer les informations des utilisateurs ont fait leur entrée dans les magasins d’applications dans le passé.
Utilisez un gestionnaire de mots de passe. Comme pour toutes sortes d’hameçonnages, si un code QR vous dirige vers un faux site Web particulièrement convaincant, un gestionnaire de mots de passe saura toujours la différence et ne remplira pas automatiquement vos mots de passe, dit Haas.