Les Français sont avertis d'une nouvelle arnaque impliquant des codes « QR » sur les menus des restaurants et d'autres lieux du quotidien, que les pirates utilisent pour voler des données personnelles, encourager de faux paiements ou installer des logiciels malveillants sur les téléphones des victimes.
L'arnaque a été surnommée « Quishing », une combinaison de code QR et de phishing, car une tactique similaire est utilisée pour les escroqueries classiques par courrier électronique.
L'Office de Prévention et de Protection de l'Unité Nationale Cyber (UNCyber) et la Gendarmerie mènent une campagne nationale de sensibilisation à ce sujet après une augmentation significative du nombre de fraudeurs utilisant cette méthode à mesure que l'usage des QR codes se développe.
“Les criminels utilisent (les codes QR) pour récupérer des données personnelles, des mots de passe, installer un virus sur le téléphone d'une personne ou détourner de l'argent”, a déclaré le lieutenant Eddy Rouf, chef de l'unité UNCyber.
Comment fonctionnent les arnaques ?
Les codes QR sont des liens numériques que vous scannez avec l'appareil photo d'un smartphone et qui vous renvoient vers un site Internet ou vous invitent à télécharger quelque chose sur votre téléphone.
Ils sont utilisés sur les menus des restaurants, dans les publicités ou même comme lien vers un site Web, souvent pour payer un service numériquement.
Ils sont devenus de plus en plus populaires pendant la Covid pour éviter que les clients ne touchent les mêmes matériaux.
Aujourd’hui, ils sont monnaie courante, tant dans les services publics que dans les entreprises privées.
Les fraudeurs collent des codes QR faux ou frauduleux sur des codes QR légitimes en public (sur des restaurants, des publicités, des affiches, des vitrines, etc.), en prenant soin de donner l'impression qu'ils font partie de l'annonce originale.
En raison de l'apparence des codes QR (un mélange de petits carrés noirs et blancs dans un carré plus grand), il est impossible de savoir où mènera la numérisation d'un code en dehors de l'utilisation des informations de l'affiche ou de la publicité à côté.
Lorsque les gens scannent ces codes, ils peuvent être envoyés vers un faux site Web qui reflète un original – une arnaque courante consiste à coller un faux code sur l'authentique dans les points de recharge des voitures électriques, ce qui conduit à un site Web pour « payer » pour recharger.
Le site Web est faux et les paiements sont effectués directement dans la poche des fraudeurs.
Lire la suite : Avertissement concernant une arnaque au code QR concernant la recharge des voitures électriques en France
D'autres faux codes QR, généralement collés sur des codes légitimes pour des services d'information ou des publicités d'entreprise, vous inviteront à télécharger directement une application ou un document sur votre téléphone.
Cependant, au lieu de télécharger le fichier sécurisé d'origine comme annoncé, vous installerez un virus ou un logiciel malveillant sur votre téléphone, qui pourrait voler vos données.
Comment puis-je éviter ces arnaques ?
“Il y a actuellement plus de 800 procédures pénales en cours concernant les codes QR, dont la plupart sont qualifiées d'escroqueries”, a déclaré M. Rouf.
“Il y a eu une augmentation significative de ces incidents ces derniers mois, car c'est très simple de créer un QR code, on n'a besoin d'aucune compétence technique”, a-t-il ajouté.
La chose la plus importante à faire avant de scanner un code QR est de vérifier qu’il est légitime.
Si vous scannez un code depuis un lieu public (restaurant, vitrine, etc.), vérifiez qu'un faux code n'a pas été collé sur l'annonce originale.
Deuxièmement, lorsque le code QR vous renvoie vers un site Web ou un lien de téléchargement, vérifiez l'adresse URL du site Web pour vous assurer qu'elle est légitime.
Pour reproduire l’URL d’un site Web officiel, les fraudeurs orthographieront mal les mots ou ajouteront des traits d’union aux noms de sites Web.
Enfin, vérifiez si le site Web lui-même est légitime, en particulier s'il vous invite à payer ou à télécharger quelque chose. Les fraudeurs sont de plus en plus habiles à copier l’apparence des sites Web officiels, mais il est toujours possible de savoir s’il s’agit d’un faux, en utilisant le code URL et la mise en page.
Lire aussi
La fraude à la signature d'appartements parisiens coûte plus d'un million d'euros à son propriétaire
Une fraude à grande échelle au compteur Linky découverte en France
