Largement utilisés comme outils promotionnels par les marques, entreprises, mais aussi par les pouvoirs publics, les codes QR sont maintenant détournés par des acteurs malveillants pour voler l’argent qui se trouve sur vos comptes bancaires.
Ces codes-barres constitués de modules carrés noirs sur fond blanc (codes QR) permettent d’accéder rapidement à des informations. Une simple application sur votre smartphone permet d’y accéder. Un outil très pratique que des pirates créatifs détournent maintenant de manière très astucieuse.
Quand les codes QR sont détournés
Quoi de mieux pour expliquer le danger que peut représenter un QR code que des histoires de personnes qui en ont malheureusement été victime ? La première concerne une femme habitant à Singapour qui a perdu 20 000 dollars en scannant le code QR d’un magasin de « bubble tea » (thé à bulles, une boisson d’origine taïwanaise).
Un simple autocollant sur la vitrine du magasin incitait les visiteurs à scanner le code QR afin de remplir un sondage et pour obtenir un verre gratuit. Une offre relativement classique qui, au premier abord, n’a pas de quoi alerter la victime. En revanche, le fait de devoir télécharger une application tierce pour répondre à l’enquête est un peu plus suspicieux, mais cela n’a pas alerté la femme de 60 ans qui a rapidement déchanté.
En effet, elle a eu la mauvaise surprise de se réveiller avec 20 000 dollars en moins sur son compte bancaire. Cela n’aurait pas été possible si la victime n’avait pas accordé les différentes autorisations demandées par l’application lors de son installation. Après avoir eu le feu vert pour accéder au microphone et à la caméra du téléphone ainsi qu’aux services d’accessibilité d’Android, l’application pouvait littéralement contrôler l’écran du smartphone.
Le pirate derrière cette arnaque a ensuite surveillé l’utilisation de l’application bancaire de la victime afin d’enregistrer les identifiants de connexion et les mots de passe saisis au cours de la journée. Ce n’est qu’à la nuit tombée que l’escroc a pris le contrôle de l’appareil pour effectuer un virement bancaire.
QR code et faux tickets de parking
Aux États-Unis et au Royaume-Uni, ce sont de fausses amendes qui ont été laissées sur les pare-brise des voitures. Un code QR pour « payer en ligne » est alors placé en bas du ticket. Sur le site communautaire Reddit, un utilisateur a sonné l’alerte après avoir retrouvé ce genre de ticket de parking qui prétend avoir été émis par la ville de San Francisco :
« Je sais que tout le monde déteste recevoir des citations à San Francisco. Les escrocs deviennent de plus en plus AUDACIEUX !! Émettre de fausses citations de stationnement !! Pour info : le stationnement à SF est réglementé par la SFMTA, il n’y aura jamais de logo de ville sur une citation !! Veuillez faire attention, si vous en avez reçu un comme celui-ci, jetez-le, car le code QR renvoie à votre compte bancaire. »
Quelques « détails » permettent de déceler qu’il s’agit d’un faux, notamment le fait que le ticket soit daté dans le futur, le 5 mai alors que le billet a été vu le 4 mai. Une fois le code QR scanné, il renvoie vers un faux site imitant celui de la SFMTA (Sans Francisco Municipal Transportation Agency) où il faut payer ses contraventions. Comme vous pouvez le voir ci-dessous, la copie est très proche de l’originale.
Sur une page web dédiée, la SFMTA permet de vérifier l’origine de cette amende et la payer. Malheureusement, le fait que ce service soit hébergé sur un domaine tiers ne permet pas vraiment de le distinguer d’un site illicite, créé par des pirates.
Autant d’éléments qui invitent à la vigilance lorsque vous scannez un QR code qui vous fait télécharger une application demandant beaucoup trop d’autorisations ou qui dirige vers un formulaire de paiement.
Source :
Bleeping Computer