De plus en plus d’escrocs exploitent les QR Code pour y dissimuler des liens malveillants. Malwares, tentatives de phishing, vols par ruse, les QR Code sont devenus le nouvel eldorado des arnaqueurs.
Vous aussi, il vous arrive fréquemment de scanner des QR Codes sans forcément prêter attention aux plates-formes vers lesquelles ils vous renvoient ? Vous devriez pourtant vous méfier. Bien que le problème ne date pas d’hier, la FTC (Federal Trade Commission), l’autorité américaine de la concurrence et de la protection des consommateurs, rappelle que les escrocs sont de plus en plus nombreux à exploiter ces petits code-barres 2D pour réaliser leurs méfaits.
Et il n’est pas compliqué de comprendre pourquoi. Depuis quelques années maintenant, les QR Code ont fleuri un peu partout. Ils sont utilisés dans de nombreux domaines : pour afficher le menu sur votre smartphone dans les restaurants, pour régler un paiement (notamment les stationnements), ou encore pour se connecter rapidement à un réseau Wi-Fi dans un lieu public.
Autant de domaines d’utilisations qui permettant aux malfrats de démultiplier leurs activités malveillantes en profitant de la naïveté de leurs victimes.
Vérifiez les URL ouvertes depuis les QR Code
La plupart du temps, les QR Code redirigent automatiquement vers un site Web et malheureusement, rien ne permet de distinguer un QR Code malveillant d’un QR Code légitime. Et c’est là que repose tout le problème. Car il est très facile pour ces escrocs de bas étage d’usurper un site Web et d’attirer le chaland en collant leur QR Code malveillant par-dessus, ou à la place), d’un QR Code légitime.
Et si les utilisateurs plus aguerris ne tombent pas dans le panneau, le public moins au fait de ces techniques d’escroquerie se fera malheureusement avoir. En collant, par exemple un QR Code vérolé sur un parcmètre, les malotrus n’auront aucun mal à empocher le paiement de votre place de stationnement. Ils pourront également dérober vos informations personnelles, comme vos identifiants de connexion lorsque vous les saisissez sur leur faux site, alors que vous pensez vous connecter sur un site officiel.
Pour éviter de se faire avoir, la FTC rappelle ainsi une liste de bonnes pratiques. Des conseils pleins de bon sens, à adopter à chaque fois que vous vous apprêtez à scanner un QR Code.
Commencez par vérifier si l’URL affichée après avoir scanné un QR Code correspond bien à une URL de confiance. Vous le faites sans doute déjà lorsque vous cliquez sur un lien depuis votre ordinateur, adoptez donc le même réflexe après avoir scanné un QR Code. Assurez-vous que celle-ci ne comporte pas de faute, ni n’utilise de caractères spéciaux qui permettrait d’usurper une véritable URL.
Par ailleurs, vous ne cliquez sûrement pas sur les liens bizarres que vous recevez dans des e-mails de provenance inconnue. Faites-en donc de même avec les QR Code que vous recevriez sans raison valable par e-mail ou par SMS. Ne les scannez pas.
Par ailleurs, évitez d’utiliser des applications tierces pour scanner des QR Code. Tous les smartphones, sur iOS comme sur Android, sont capables de lire nativement les QR Code depuis l’application appareil photo native.
Enfin, dernier conseil, là encore plein de bon sens, assurez-vous d’avoir toujours un smartphone à jour, de protéger vos comptes avec des mots de passe complexes uniques, et de configurer une double authentification lorsque cela est possible.
Source :
FTC