Très populaire, le QR code est devenu, ces derniers mois, un outil supplémentaire aux yeux des criminels informatiques, qui le détournent pour se livrer à des arnaques. La gendarmerie a décidé de lancer l'alerte.
Il y a quelques semaines, nous vous alertions déjà sur la montée en puissance du « quishing », une évolution du phishing qui consiste à détourner les QR codes pour tromper ceux qui les scannent. « De faux QR codes circulent et vous font croire que vous réglez la prestation sélectionnée, mais il y a un mais : ils alimentent directement les comptes bancaires de certains escrocs », explique la gendarmerie de Lot-et-Garonne, qui essaie de sensibiliser les citoyens.
Les escrocs n'ont pas de mal à créer une arnaque au QR code
Le QR code, bien aidé par l'ère Covid, est devenu un incontournable dans bien des domaines, comme la restauration, la santé, les télécommunications, le monde du spectacle ou encore les médias. En scannant un simple pictogramme à l'aide de notre smartphone, nous sommes directement redirigés vers un site, une application ou au document.
De plus en plus utilisé, il n'en fallait pas moins pour que les pirates fassent du QR code l'un de leurs nouveaux jouets. Et le plus embêtant, c'est que le stratagème n'est pas si compliqué à mettre en place du côté des malfrats.
D'abord, l'escroc génère un QR code qui renvoie celui qui le scanne vers un site ou un logiciel malveillant. Ensuite, il imprime son affiche (ou la diffuse sur le web), et la colle ou l'accroche comme l'annonce de la fête des voisins et la mise en garde avant les prochains travaux dans la rue. Lorsqu'elle scanne le QR code frauduleux, la victime télécharge le malware ou livre ses informations personnelles et, souvent, financières. Le voleur n'a plus qu'à conclure. Voilà ce qu'on appelle le « quishing ».
Les cas de quishing sont multiples
Les victimes sont hélas nombreuses, tout comme la diversité de cas. Dans le Loiret (45) par exemple, une victime est tombée dans le piège du QR code apposé sur une borne de recharge de véhicule électrique, nous vous en avions parlé. Elle avait ensuite constaté plusieurs prélèvements frauduleux.
En Seine-en-Marne (77), une personne pensait avoir retrouvé un avis de contravention sous son essuie-glace. En scannant le QR code associé, elle pensait régler son amende, mais ce sont les pirates qui ont récupéré ses coordonnées bancaires. Une dizaine de prélèvements frauduleux a suivi. Il y a aussi le cas de la personne piégée dans un ascenseur, avec une affiche proposant de gagner un voyage ; ou celui du citoyen pensant passer commande sur la table d'un bar. À chaque fois, les prélèvements ont été multiples.
« Restez vigilants et attentifs afin de garder votre argent, et ne tombez pas dans le piège du faux QR code. Ne donnez surtout pas satisfaction à ces escrocs », conseille la gendarmerie. On peut ajouter qu'il faut toujours se méfier d'un QR code qui pourrait être « collé » au-dessus d'une autre affiche, sans oublier de vérifier l'URL de la page où vous atterrissez. Au moindre doute, n'allez pas plus loin.
