Le FBI tire à nouveau la sonnette d’alarme. La police fédérale américaine indique avoir découvert une nouvelle escroquerie reposant sur un QR code malveillant. Dans un premier temps, les pirates vont envoyer « des colis non sollicités » directement au domicile de leur cible. Ce mystérieux colis ne contient pas la moindre information sur l’expéditeur. Sur le paquet, on trouve uniquement un QR code. Pour en savoir plus sur la personne qui a envoyé le colis, l’utilisateur va être tenté de scanner le QR code. C’est à ce moment-là que le piège se referme sur la victime.
À lire aussi : Arnaque à la location de vacances – une famille paie 1400 euros, fait 10 h de route et trouve porte close
QR code et vol de données personnelles
Ce QR code est en effet conçu pour rediriger la cible sur une page de phishing. Celle-ci est taillée pour réclamer les informations personnelles et financières de l’utilisateur, sous différents prétextes, comme un concours par exemple.
« Cette tactique exploite un biais psychologique puissant : la tangibilité inspire confiance. Un colis physique contourne nos défenses mentales habituelles face aux emails de phishing. Les criminels ont maintenant compris que nous questionnons un lien suspect dans un email, mais que nous sommes susceptibles de scanner instinctivement un QR code sur un objet réel reçu », nous explique Adrianus Warmenhoven, expert en cybersécurité chez NordVPN.
Dans certains cas, la page ouverte va automatiquement télécharger et installer un logiciel malveillant sur votre téléphone. Là encore, l’opération risque d’aboutir au vol de vos données personnelles ou de vos coordonnées bancaires. Le QR code « peut déclencher des téléchargements automatiques, activer des permissions cachées ou rediriger vers des sites de phishing parfaitement clonés », résume l’expert en sécurité dans une réaction adressée à 01net.
Pour rappel, une arnaque de cet acabit a fait grand bruit en France l’année dernière. Pour endormir la méfiance de leurs cibles, les pirates ont usurpé l’identité d’Amazon. Dans la lettre, les escrocs proposent à leur interlocuteur de « tester un nouveau produit » gratuitement, et de recevoir une commission. C’est bien trop beau pour être vrai. Le QR code glissé dans la lettre est uniquement taillé pour aspirer les données de la cible.
Le FBI souligne qu’il s’agit d’une variante de « l’arnaque au brossage », massivement employée par certains vendeurs en ligne. Elle consiste à expédier des articles à une personne qui n’a rien commandé, avant d’utiliser ses coordonnées pour publier un faux avis positif sur une plateforme.
À lire aussi : France Travail piraté – les données de 340 000 demandeurs d’emploi ont été compromises
Plus de 40 % des gens se fient aveuglément au QR code
En dépit des risques, la plupart des utilisateurs ne prennent pas de précautions avant de scanner un QR code. Une étude de NordVPN réalisée en France, Belgique et Pays-Bas révèle que « 43% des utilisateurs ne prennent aucune précaution avant de scanner un QR code ». Les cybercriminels en sont bien conscients. C’est pourquoi ils exploitent de plus en plus ce type de code-barres dans le cadre de leurs cyberattaques. Une étude de Trellix publiée en 2023 pointait déjà du doigt l’essor du phishing par QR code. Selon une étude de MobileIron, plus de 84 % des détenteurs de smartphones ont déjà scanné un QR code. Celui-ci est devenu incontournable depuis la crise du Covid-19. Il est toujours massivement employé dans les bars ou les restaurants.
Le FBI recommande de se méfier « des colis non sollicités contenant des marchandises que vous n’avez pas commandées », surtout si ceux-ci ne comportent aucune information sur leur provenance. De son côté, NordVPN conseille tout simplement de « ne jamais scanner un QR code sans connaître sa provenance ».
Si vous voulez absolument scanner le QR code, prenez le temps de passer par une application dédiée de scan de QR code en lieu et place de votre appareil photo. Celle-ci va afficher l’adresse complète du site avant d’ouvrir quoi que ce soit. Vous pourrez donc vérifier l’URL afin de vous s’assurer qu’il ne s’agit pas d’un site de phishing. Parmi les meilleures apps pour scanner un code QR, on trouve Trend Micro Safe QR Code, une application conçue par les experts en sécurité de Trend Micro. Enfin, n’hésitez pas à faire des recherches sur le nom aperçu dans l’URL avant de vous rendre sur le site.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : FBI
