Les cybercriminels utilisent de plus en plus de codes QR malveillants pour tromper les consommateurs.
On voit des codes QR un peu partout de nos jours. Ces codes-barres carrés apparaissent partout : annonces immobilières, publicités télévisées et messages sur les médias sociaux vantant ce qui semble être de bonnes affaires sur des articles incontournables.
La pandémie a entraîné une forte augmentation de l’utilisation des codes QR. Cherchant à réduire les risques de transmission, les restaurants ont remplacé les menus physiques disponibles pour tous les clients par des versions en ligne accessibles sur votre téléphone personnel. Scannez ce petit carré et vous saurez quel est le plat du jour.
Les cybercriminels ont rapidement pris note et commencent à exploiter l’indéniable commodité de cette technologie. Les escrocs créent leurs propres codes QR malveillants afin d’inciter les consommateurs à leur remettre leurs informations bancaires ou personnelles.
Réfléchissez avant de scanner ce code QR.
« Chaque fois qu’une nouvelle technologie apparaît, les cybercriminels essaient de trouver un moyen de l’exploiter », explique Angel Grant, vice-président de la sécurité chez F5, une société spécialisée dans la sécurité des applications. C’est particulièrement vrai avec des technologies comme les codes QR, que les gens savent utiliser mais dont ils ne connaissent pas forcément le fonctionnement, dit-elle. « Il est plus facile de manipuler les gens s’ils ne le comprennent pas ».
Les codes QR – dont l’abréviation signifie « Quick response ou « réponse rapide » – ont été inventés au Japon dans les années 1990. Ils ont d’abord été utilisés par l’industrie automobile pour gérer la production, mais se sont répandus partout. Des sites web et des applications ont vu le jour pour vous permettre de créer les vôtres.
Aujourd’hui, ils sont exploités par des cybercriminels dans le cadre d’une arnaque de phishing par e-mail. Scanner les faux codes QR ne fera rien à votre téléphone, comme télécharger un logiciel malveillant en arrière-plan. Mais il vous mènera à des sites Web frauduleux conçus pour obtenir des informations sur vos comptes bancaires, vos cartes de crédit ou d’autres informations personnelles.
Comme pour tout autre système de phishing, il est impossible de savoir exactement combien de fois les codes QR sont utilisés à des fins malveillantes. Les experts affirment qu’ils ne représentent encore qu’un faible pourcentage de l’ensemble du phishing, mais de nombreuses escroqueries impliquant des codes QR ont été signalées au Better Business Bureau, en particulier l’année dernière.
Beaucoup de gens savent qu’ils doivent se méfier des liens malveillants et des pièces jointes douteuses dans les courriels qui prétendent provenir de la banque. Mais la plupart des gens n’y réfléchissent pas à deux fois avant de scanner un code QR avec l’appareil photo de leur smartphone.
Une capture d’écran du site Web d’escroquerie auquel les conducteurs ont été conduits lorsqu’ils ont utilisé leur téléphone pour scanner des codes QR malveillants sur des parcmètres à Austin, au Texas.
Transports d’Austin
Profiter d’automobilistes peu méfiants pourrait être à l’origine de la trentaine d’autocollants malveillants à code QR récemment découverts sur des parcmètres à Austin, au Texas, qui utilise la technologie du code QR pour permettre aux conducteurs de payer leur stationnement en ligne.
Cependant, au lieu d’être dirigés vers le site Web ou l’application autorisés par la ville, les automobilistes qui ont scanné les autocollants frauduleux ont été dirigés vers un faux site Web qui recueillait les informations relatives à leur carte de crédit.
La police ne sait pas combien de personnes ont été dupées. Le département encourage toute personne qui pense avoir été victime d’un vol d’informations de carte de crédit par le faux site Web à les contacter.
Austin n’est pas la seule ville à être victime d’escroqueries au code QR. Les autorités de San Antonio, au Texas, à environ 130 km de là, ont émis un avertissement après avoir repéré des autocollants similaires reliés à un faux site Web de paiement de stationnement.
Les codes QR font passer les gens du monde physique au monde en ligne. C’est pourquoi il est logique de les utiliser dans des autocollants frauduleux, ainsi que dans des courriers indésirables en papier, a déclaré Brad Haas, analyste des renseignements sur les cybermenaces pour Cofense, une société de sécurité des e-mails. Cela permet de mettre en ligne des personnes qui ne l’étaient pas encore.
Selon cet analyste, les codes QR frauduleux commencent également à apparaître dans les courriels de phishing et les publicités en ligne, une tactique qui le laisse perplexe. « Il n’y a vraiment aucune raison pour que quelqu’un sorte son téléphone et scanne un code QR qui se trouve dans un courriel qu’il est déjà en train de regarder sur son ordinateur portable », explique Brad Haas. Après tout, le destinataire est déjà en ligne avec son ordinateur portable. Pourquoi un expéditeur légitime voudrait-il qu’il se connecte avec un deuxième appareil ? Pour cette raison, les consommateurs doivent considérer avec méfiance tout courriel contenant un code QR, dit-il.
Pourtant, les faux codes apparaissent dans les e-mails de phishing, mais pas aussi souvent que les tactiques éprouvées, comme les pièces jointes contenant des virus ou des liens vers des sites Web frauduleux. Cofense a récemment repéré une arnaque de phishing ciblant les germanophones et comprenant un code QR dans le but d’attirer les utilisateurs de services bancaires mobiles.
Une capture d’écran d’un courriel de phishing contenant un code QR malveillant repéré par les chercheurs de Cofense. Notez que le code QR a été modifié et ne mène pas à un site web malveillant.
Cofense
Les pirates utilisent volontiers les codes QR dans les courriels de phishing parce qu’ils ne sont souvent pas détectés par les logiciels de sécurité, ce qui leur donne plus de chances d’atteindre leurs cibles que les pièces jointes ou les mauvais liens, explique Aaron Ansari, vice-président chargé de la sécurité du cloud chez l’éditeur d’antivirus Trend Micro.
Même si le taux de réussite est plus faible, il est beaucoup plus facile d’envoyer des millions d’e-mails de phishing que de placer physiquement des autocollants sur les parcmètres et les arrêts de bus.
En résumé, les codes QR ne sont qu’un moyen supplémentaire pour les cybercriminels d’obtenir ce qu’ils veulent et une menace de plus à laquelle les gens doivent être attentifs.
« Il y a tellement de façons d’être compromis de nos jours », a déclaré Aaron Ansari, « mais il suffit d’une seule ».
Conseils des experts
Réfléchissez avant de scanner. Méfiez-vous particulièrement des codes affichés dans les lieux publics. Regardez bien. S’agit-il d’un autocollant ou d’une partie d’un panneau ou d’un affichage plus grand ? Si le code ne semble pas s’intégrer dans le décor, demandez une copie papier du document auquel vous essayez d’accéder ou tapez l’URL manuellement.
Lorsque vous scannez un code QR, regardez bien le site web vers lequel il vous conduit, recommande Brad Haas. Ressemble-t-il à ce que vous attendiez ? S’il vous demande des informations de connexion ou bancaires qui ne semblent pas nécessaires, ne les transmettez pas.
Les codes intégrés dans les courriels sont presque toujours une mauvaise idée. Suivez le conseil de Brad Haas et ignorez-les entièrement. Il en va de même pour les codes que vous recevez dans des courriers indésirables non sollicités, comme ceux qui proposent une aide pour la consolidation de dettes, explique Angel Grant.
Prévisualisez l’URL du code. De nombreux appareils photo de smartphones, y compris les iPhones équipés de la dernière version d’iOS, vous donnent un aperçu de l’URL d’un code lorsque vous commencez à le scanner. Si l’URL semble étrange, vous pouvez passer à autre chose.
Mieux encore, Aaron Ansari recommande d’utiliser une application d’analyse sécurisée, conçue pour repérer les liens malveillants avant que votre téléphone ne les ouvre. Sa société, Trend Micro, en propose une, tout comme d’autres grandes sociétés d’antivirus.
Mais tenez-vous en aux sociétés de sécurité bien connues, dit-il. Des applications malveillantes de lecture de QR, conçues pour récupérer des informations sur les utilisateurs, ont déjà fait leur apparition dans les magasins d’applications par le passé.
Utilisez un gestionnaire de mots de passe. Comme pour tous les types d’hameçonnage, si un code QR vous conduit à un faux site Web particulièrement convaincant, un gestionnaire de mots de passe saura faire la différence et ne remplira pas automatiquement vos mots de passe, conclut Brad Haas.
https://www.qrcode.com/en/history/
https://www.bbb.org/scamtracker
https://www.austintexas.gov/news/fraudulent-qr-codes-found-austin-parking-pay-stations
https://sapark.sanantonio.gov/
https://cofense.com/blog/german-users-targeted-in-digital-bank-heist-phishing-campaigns/
