Comment se protéger des arnaques croissantes aux codes QR ?

Plus de 26 millions de personnes ont été piégées et ont visité des sites web malveillants en scannant de faux codes QR, souvent affichés par-dessus de vrais codes dans des lieux publics tels que les arrêts de bus, les stations-service ou sur des prospectus publicitaires, selon un avertissement de la société de cybersécurité panaméenne NordVPN.

Lorsqu'un utilisateur effectue un scan accidentel, ses informations personnelles telles que ses identifiants, mots de passe, numéros de carte de crédit peuvent être volées, et l'appareil peut même être infecté par un logiciel espion, permettant ainsi aux pirates informatiques de le contrôler à distance.

La Commission fédérale du commerce (FTC) des États-Unis a émis un avertissement concernant les codes QR imprimés sur les emballages. Un simple scan, en apparence inoffensif, peut vous rediriger vers un faux site web où toutes vos données personnelles peuvent être volées en quelques clics.

Aux États-Unis, le département des transports de l'État de New York a découvert des codes QR frauduleux sur les horodateurs de stationnement. Hawaii Electric a également mis en garde ses clients contre des arnaques similaires visant à escroquer les factures d'électricité.

Les statistiques de la plateforme de cybersécurité KeepNet Labs montrent qu'actuellement, jusqu'à 26 % des liens malveillants sont diffusés via des codes QR, un chiffre alarmant car cette forme devient de plus en plus populaire, surpassant même les campagnes d'hameçonnage traditionnelles par e-mail.

Le plus inquiétant, c'est que la plupart des utilisateurs ne font pas la différence entre un vrai et un faux code QR. Les fraudeurs se contentent d'imprimer un faux code sur de vrais panneaux d'affichage ou des documents, de la même manière qu'ils installent des dispositifs de vol de données sur les distributeurs automatiques de billets. Les codes QR ont été créés pour des raisons pratiques, et non de sécurité ; c'est pourquoi ils deviennent un outil puissant pour les pirates informatiques.

Les experts estiment même que les codes QR sont plus dangereux que les courriels d'hameçonnage classiques. En effet, lors du scan, l'adresse web n'est pas immédiatement visible. C'est pourquoi les groupes de pirates informatiques utilisent les codes QR pour diffuser des logiciels malveillants, attaquer des systèmes militaires ou voler l'accès à des appareils via des logiciels malveillants d'accès à distance.

Soyez particulièrement prudent lorsque vous scannez des codes QR en public. Utilisez uniquement des codes provenant de sources fiables et évitez de scanner ceux provenant de sources inconnues, notamment sur des colis, des panneaux d'affichage ou des prospectus que vous ne connaissez pas. Ce qui peut paraître une action simple peut en réalité ouvrir la porte aux cybercriminels.

Comment se protéger des codes QR frauduleux ?

Comme beaucoup d'autres arnaques, les attaques par code QR exploitent souvent l'impatience et la précipitation de la victime. Par conséquent, le principe le plus important pour se protéger est de rester calme, vigilant et de ne pas agir de manière précipitée.

Vous ne cliqueriez pas sur des liens ou des fichiers étranges dans des courriels, alors ne scannez pas au hasard les codes QR sur les panneaux d'affichage, les poteaux électriques, les prospectus ou dans les lieux publics d'origine inconnue.

En particulier, si vous voyez un code QR au bas d'une affiche publicitaire pour un événement ou une marque, recherchez le nom de l'événement ou de l'entreprise sur Google et consultez la page officielle au lieu de le scanner directement.

Lorsque vous scannez un code QR et que vous êtes redirigé vers un site web, ne saisissez jamais d'informations personnelles telles que votre nom complet, votre numéro d'identification, vos coordonnées bancaires ou votre mot de passe.

Vérifiez attentivement si l'adresse du site web est un nom de domaine courant comme .com ou .vn, ou s'il s'agit d'une extension inhabituelle comme .tv, .top ou .xyz, souvent utilisées par les sites frauduleux pour tromper les utilisateurs.

Pour les utilisateurs Android, il est possible d'installer des applications antivirus réputées afin de renforcer la protection contre les logiciels malveillants et les sites web frauduleux. De plus, si le risque de vol d'informations vous préoccupe, vous pouvez envisager d'utiliser des services de protection d'identité. Ces services permettent non seulement de détecter et de prévenir la fraude, mais aussi de récupérer les comptes ou les fonds volés.

Avec la popularité croissante des codes QR – utilisés pour les paiements, les menus ou l'inscription à des événements – le risque d'être victime d'attaques par ce type de logiciel malveillant augmente également. Les experts avertissent que les cybercriminels trouvent sans cesse de nouvelles méthodes, toujours plus sophistiquées, pour exploiter les codes QR.

Soyez donc toujours prudent lorsque vous sortez votre téléphone pour scanner un code. Un scan apparemment anodin peut avoir des conséquences imprévisibles : perte d’argent, divulgation d’informations personnelles, voire prise de contrôle à distance de votre appareil. La prudence est essentielle pour se protéger à l’ère du numérique.