Arnaque au QR Code : attention aux faux PV sur les pare-brises !
La popularité du QR Code a inspiré les escrocs, qui l'utilisent pour réinventer l'arnaque de la fausse amende et entraîner leurs victimes vers des sites malveillants. Attention à ne pas tomber dans ce nouveau piège très en vogue !
Longtemps réservé à quelques initiés, le QR Code a sensiblement gagné en popularité ces dernières années, au point qu'il pourrait bientôt remplacer les codes-barres. Il a notamment été utilisé pour le fameux pass sanitaire pendant l'épidémie de Covid-19, mais on le retrouve aussi sur les tables des restaurants, pour éviter que les clients touchent les cartes de menu, par exemple. Plus largement, ce code graphique numérique est largement utilisé désormais pour obtenir un code Wi-Fi, pour télécharger directement une application ou pour envoyer vers un site Web. Une démocratisation d'autant plus rapide que ce système est très simple d'utilisation, puisque tout se fait automatiquement, de façon transparente, sans manipulation complexe.
Malheureusement, comme à chaque fois qu'une nouvelle technologie gagne en popularité, les pirates s'en emparent. En effet, les victimes ne connaissant pas encore très bien le fonctionnement de ce système, il est plus facile de les leurrer. C'est pour ces raisons que de nombreux experts en cybersécurité alertent régulièrement sur la multiplication de QR Codes frauduleux, capables de voler les données des utilisateurs ou d'installer un logiciel malveillant sur leurs appareils. La dernière arnaque en date ? De fausses contraventions que l'on retrouve sur son pare-brise, contenant le fameux QR Code, qui renvoie vers un faux site gouvernemental demandant de régler l'amende. C'est la gendarmerie de Seine-et-Marne qui a sonné l'alerte ce 14 mai en partageant un des faux PV retrouvés sur le pare-brises d'habitants du département. Il s'agit d'un moyen plus moderne pour récupérer les informations bancaires des victimes que le faux SMS de l'ANTAI !
ARNAQUE AU FAUX PV
— Gendarmerie de Seine-et-Marne (@Gendarmerie_077) May 14, 2023
Si vous découvrez ce type de document sur votre véhicule, soyez prudents.
Ici, le QR code renvoie à une contrefaçon du site https://t.co/WZbNlcBmJ0. Vous pouvez l'identifier à la fausse extension de domaine https://t.co/FpnIzAbjrJ .
... pic.twitter.com/AuEcOUq3Hc
QR Code : un nouvelle technique d'hameçonnage peu connue
Pour rappel, le principe du QR Code est des plus simples. Grâce à l'appareil photo ou une application de scan sur un smartphone, il renvoie l'utilisateur vers une page internet ou une application. Or, il suffit simplement de coller un autocollant – sur un menu, une affiche ou un flyer, par exemple – pour que des milliers de personnes se fassent avoir sans s'en rendre compte. Se faire passer pour un document officiel est également très efficace. En le scannant, les victimes sont soit amenées à télécharger une application contenant un malware, soit redirigées vers une page ressemblant à l'original et qui va, d'une façon ou d'une autre, les inviter à rentrer leurs données personnelles et/ou bancaires.
Les campagnes de phishing sont de plus en plus ingénieuses, et il est plutôt difficile de déceler un faux QR Code, bien que certains détails puissent mettre la puce à l'oreille, comme un autocollant en surcouche ou une adresse Internet qui ne correspondrait pas. En plus, il est très facile, grâce à des sites internet, de générer rapidement un QR Code pour une adresse URL.
QR Code : une arnaque encore méconnue
Len Noe, chercheur en cybersécurité chez CyberArk, avait déjà tiré la sonnette d'alarme auprès du Parisien l'été dernier. "Il a fallu des années pour sensibiliser les gens à ne pas cliquer sur un lien douteux envoyé par e-mail, il faut tout recommencer avec ces QR Codes qui sont des campagnes d'hameçonnage sous une nouvelle forme physique", déplorait-il. Les faux QR Codes sont redoutables car, comme l'explique le spécialiste, "la cyberattaque passe par l'appareil photo et contourne ainsi les antivirus et les filtres de sécurité." Ce type de fraude avait déjà été détecté en Asie, en Allemagne et aux États-Unis, ce qui avait conduit le FBI à lancer des alertes. Il s'agit d'une cybercriminalité de proximité qui vise les sites touristiques comme les habitants.
Autre exemple d'arnaque de ce type : au Texas, dans la ville d'Austin, des automobilistes avaient été victimes de phishing via des QR Codes collés sur des parcmètres. Mais au lieu d'être redirigés vers le site Web ou l'application officielle de la ville pour régler leur stationnement, les automobilistes atterrissaient sur un faux site qui recueillait les informations relatives à leur carte de crédit. Une arnaque similaire avait été recensée dans la ville de San Antonio. Ces QR Codes commencent également à apparaître dans des courriels de phishing et des publicités en ligne. Un moyen qui peut paraître étrange puisque pourquoi nous rediriger vers un site Internet, alors que nous y sommes déjà ? Tout simplement parce qu'ils ne sont souvent pas détectés par les logiciels de sécurité, ce qui leur donne plus de chances d'atteindre leurs cibles que les pièces jointes ou les liens dangereux. En plus, il est beaucoup plus rapide d'envoyer des milliers d'e-mails frauduleux que d'aller coller des QR Codes en ville.
Il faudra rester vigilant durant ces vacances, que ce soit en France ou à l'étranger. Le site cybermalveillance.gouv.fr se tient à l'affût, en particulier pendant cette période. Par précaution, il est recommandé un moteur de recherche ou un VPN lors d'une connexion à un réseau Wi-Fi public. De même, mieux vaut ne pas télécharger d'applications en dehors des stores officiels –le Play Store de Google et l'App Store d'Apple –, même si cela n'est pas un gage de sécurité absolu. Il faut garder à l'esprit que de nombreux QR Codes intégrés dans les e-mails sont frauduleux, et que si un QR Code renvoie vers un site demandant des informations qui ne semblent pas nécessaires, mieux vaut ne pas les transmettre. Enfin, concernant les fameuses fausses amendes à payer, il faut bien garder en tête que, même si un QR code est présent sur le document, il faut impérativement passer par le site officiel amendes.gouv.fr pour les régler. Et si jamais les coordonnées bancaires ont malheureusement déjà été fournies, il faut contacter sa banque en vitesse avant de faire opposition, et ainsi limiter les risques de prélèvements et de paiements frauduleux.