L'abus croissant des codes QR dans les logiciels malveillants et les escroqueries aux paiements suscite un avertissement de la FTC
-
La commodité des codes QR est une arme à double tranchant. Suivez ces conseils pour rester en sécurité.
Une femme scanne un code QR dans un café pour voir le menu en ligne.La Federal Trade Commission des États-Unis est devenue la dernière organisation à mettre en garde contre l’utilisation croissante de codes QR dans des escroqueries visant à prendre le contrôle de smartphones, à effectuer des frais frauduleux ou à obtenir des informations personnelles.
Abréviation de codes à réponse rapide, les codes QR sont des codes à barres bidimensionnels qui ouvrent automatiquement un navigateur Web ou une application lorsqu’ils sont numérisés à l’aide de l’appareil photo d’un téléphone. Les restaurants, les parkings, les commerçants et les associations caritatives les affichent pour permettre aux utilisateurs d’ouvrir facilement des menus en ligne ou d’effectuer des paiements en ligne. Les codes QR sont également utilisés dans des contextes sensibles en matière de sécurité. YouTube, Apple TV et des dizaines d’autres applications TV, par exemple, permettent à quelqu’un de se connecter à son compte en scannant un code QR affiché à l’écran. Le code ouvre une page sur un navigateur ou une application du téléphone, où le mot de passe du compte est déjà stocké. Une fois ouverte, la page authentifie le même compte à ouvrir sur l’application TV. Les applications d’authentification à deux facteurs fournissent un flux similaire en utilisant des codes QR lors de l’inscription d’un nouveau compte.
L’omniprésence des codes QR et la confiance qu’on leur accorde n’ont cependant pas échappé aux escrocs. Depuis plus de deux ans, les bornes de stationnement permettant aux gens d’effectuer des paiements via leur téléphone sont une cible privilégiée. Les fraudeurs collent les codes QR sur les codes légitimes. Les codes QR frauduleux mènent à des sites similaires qui acheminent les fonds vers des comptes frauduleux plutôt que vers ceux contrôlés par le parking.
Dans d’autres cas, les e-mails tentant de voler des mots de passe ou d’installer des logiciels malveillants sur les appareils des utilisateurs utilisent des codes QR pour attirer les cibles vers des sites malveillants. Étant donné que le code QR est intégré à l’e-mail sous forme d’image, le logiciel de sécurité anti-phishing n’est pas en mesure de détecter que le lien vers lequel il mène est malveillant. En comparaison, lorsque la même destination malveillante est présentée sous forme de lien texte dans l’e-mail, elle a beaucoup plus de chances d’être signalée par le logiciel de sécurité. La possibilité de contourner ces protections a donné lieu à un torrent de phishing basés sur des images ces derniers mois.
La semaine dernière, la FTC a averti les consommateurs d’être à l’affût de ce type d’escroqueries.
“Le code QR d’un escroc pourrait vous diriger vers un site usurpé qui semble réel mais qui ne l’est pas”, indique l’avis. « Et si vous vous connectez au site usurpé, les fraudeurs pourraient voler toutes les informations que vous saisissez. Ou bien le code QR pourrait installer des logiciels malveillants qui volent vos informations avant que vous ne vous en rendiez compte.
Cet avertissement est intervenu près de deux ans après que le FBI ait émis un avis similaire . Les directives émises par les deux agences comprennent :
-
Après avoir scanné un code QR, assurez-vous qu’il mène à l’URL officielle du site ou du service qui a fourni le code. Comme c’est le cas pour les escroqueries par phishing traditionnelles, les noms de domaine malveillants peuvent être presque identiques à celui prévu, à l’exception d’une seule lettre égarée.
-
Saisissez les informations de connexion, les informations de carte de paiement ou d’autres données sensibles uniquement après vous être assuré que le site ouvert par le code QR passe une inspection minutieuse en utilisant les critères ci-dessus.
-
Avant de scanner un code QR présenté sur un menu, un parking, un vendeur ou un organisme de bienfaisance, assurez-vous qu’il n’a pas été falsifié. Recherchez soigneusement les autocollants placés au-dessus du code d’origine.
-
Soyez très méfiant à l’égard des codes QR intégrés dans le corps d’un e-mail. Il existe rarement des raisons légitimes pour lesquelles des e-mails inoffensifs provenant de sites ou de services légitimes utilisent un code QR au lieu d’un lien.
-
N’installez pas de scanners de codes QR autonomes sur un téléphone sans raison valable et seulement après avoir d’abord soigneusement examiné le développeur. Les téléphones disposent déjà d’un scanner intégré disponible via l’application appareil photo qui sera plus fiable.
Un mot de prudence supplémentaire en ce qui concerne les codes QR. Les codes utilisés pour inscrire un site à l’authentification à deux facteurs à partir de Google Authenticator, Authy ou d’une autre application d’authentification fournissent le jeton de départ secret qui contrôle le mot de passe à usage unique en constante évolution affiché par ces applications. Ne permettez à personne de voir ces codes QR. Réinscrivez le site au cas où le code QR serait exposé.
-
-
Si on posait la question aux gens: "Pourriez vous confier votre clavier au premier inconnu croisé dans la rue ", tout le monde répondrait par la négative, et pourtant ils sont prêts à scanner le 1er QR code venu.
-
undefined duJambon a fait référence à ce sujet sur
-
Ca y est ! Ce type d’arnaque porte désormais le nom officiel de Quishing, contraction de QR-code et de Phishing…
-
ah ben si en plus, ça a déjà un nom !!!
-
@Mister158 ça matérialise la menace, plus compréhensible pour les nouilles, qui peuvent maintenant nommer leur dernière bêtise.
-
@michmich a dit dans L'abus croissant des codes QR dans les logiciels malveillants et les escroqueries aux paiements suscite un avertissement de la FTC :
pour les nouilles
Tu ne veux pas plutôt dire pour les Quiches ?
-
@duJambon a dit dans L'abus croissant des codes QR dans les logiciels malveillants et les escroqueries aux paiements suscite un avertissement de la FTC :
Ca y est ! Ce type d’arnaque porte désormais le nom officiel de Quishing, contraction de QR-code et de Phishing…
@duJambon a dit dans L'abus croissant des codes QR dans les logiciels malveillants et les escroqueries aux paiements suscite un avertissement de la FTC :
pour les nouillesTu ne veux pas plutôt dire pour les Quiches ?
… Ou alors, pour les Quouilles
