Les codes QR sont de plus en plus employés par les pirates pour tenter d’arnaquer des victimes, mises en confiance par l’origine du lien obtenu. Rien que sur le troisième trimestre 2024, 60 000 attaques ont été rapportées

Comment fonctionnent les arnaques au code QR ?

La technique des pirates est très simple. Ceux-ci placent codes QR à la place de véritables codes QR, sur lesquels l’utilisateur aurait raisonnablement pu croire qu’il devait entrer des identifiants ou des informations de paiement. La confiance placée dans la méthode d’obtention du lien mène ensuite la victime à entrer ces données sensibles.

Ainsi, le New York Times rapporte que les services de police de plusieurs villes au Texas ont déclaré avoir trouvé des codes QR frauduleux placés sur des parcmètres. Les liens dirigeaient alors les automobilistes vers un faux site de paiement.

Les cybercriminels les envoient aussi par SMS ou par courrier électronique, avec probablement moins de succès. Dans ce genre de scénario, le Times affirme que les escroqueries les plus répandues aux Etats-Unis consistent à se faire passer pour le personnel de paie des ressources humaines des entreprises.

Pour s’y prémunir, il s’agit toujours de bien vérifier l’URL qui s’affiche en scannant le code QR (par exemple sur iPhone). Toutefois, même un code QR légitime peut afficher une adresse web abrégée et dénuée de sens. Si vous savez quel site vous souhaitez visiter, il est préférable de s’y rendre directement via une recherche internet.

S’agissant des mails ou SMS envoyant des codes QR, les précautions sont les mêmes que pour tous les courriels. Surtout, lorsque la demande urgente, les pirates tentent d’empêcher la victime de prendre le temps réfléchir au pourquoi de la demande. Généralement, les gens vous appelleront pour cela, alors prenez votre temps d’en vérifier l’origine.