La Gendarmerie nationale a repéré une nouvelle arnaque. Elle propose à des clients de tester contre une rémunération des produits Amazon par le biais d'un courrier frauduleux les encourageant à flasher un QR code qui les conduit en fait à un site Amazon frauduleux.
Vous le savez désormais, quand c'est gratuit, c'est vous le produit. En l'occurrence, l'alerte de la Gendarmerie nationale, déjà sur le coup pour vous prévenir du quishing, prouve également que quand c'est trop beau, c'est qu'il y a un problème.
Car c'est bien une escroquerie que nos confrères de France Info rapportent dans un article du 2 mai 2024. Le principe ? Attirer des usagers en leur proposant des tests gratuits de produits Amazon, moyennant rémunération. Pour s'inscrire, rien de plus simple, un QR code affiché dans un courrier à flasher pour être redirigé vers le site Amazon. Mais où est le loup ? Il se cache bien entendu dans le QR code, qui conduit les malheureux tout droit dans sa gueule, un faux site Amazon.
Une escroquerie qui n'a rien, hélas, d'inhabituel si ce n'est la méthode utilisée par les hackers pour appâter leurs victimes : notre bonne vieille boîte aux lettres jaune et bleu, en dur, celle de La Poste.
Des tests de produits gratuits et rémunérés, la nouvelle arnaque qui utilise le site Amazon
Le hasard fait parfois bien les choses, car c'est un membre de la Gendarmerie nationale qui a bien failli faire les frais de cette nouvelle arnaque. En effet, il a reçu un courrier contenant une proposition alléchante : recevoir des produits Amazon gratuitement, et les tester en étant rémunéré. Pour cela, rien de plus simple : l'adjudant-chef Nicolas Renaud devait juste flasher un QR code, censé le rediriger vers Amazon et le programme de test. Sans doute parce qu'il n'est pas un lapin de 6 semaines, et également parce que certains détails n'ont pas échappé à son flair. « Ce qui m’a mis la puce à l’oreille, c’est la qualité du support, de l’impression, le mot de clôture de la lettre : "tous mes vœux", et puis surtout une adresse mail qui ne correspondait pas du tout à Amazon », explique-t-il à France Info.
Ni une, ni deux, le militaire mène l'enquête. Et bien sûr, en flashant le fameux QR code qui figure dans ce courrier bancal, il atterrit sur un site ressemblant à celui d'Amazon, mais qui semble bien trop curieux à ses yeux. En effet, c'est un véritable interrogatoire en règle et en ligne qu'il subit : nom, prénom, adresse mail, adresse postale et… coordonnées bancaires. Mais ce n'est là que la première phase de l'escroquerie.
Car quelques jours après, les utilisateurs qui ont cédé à la tentation du gain et donné toutes ces informations personnelles sur le faux site Amazon se font appeler par, là encore, leur soi-disant conseiller bancaire, qui n'a plus qu'à dérouler son speech : il leur donne leurs coordonnées pour être crédible et leur indique que des transactions suspectes sont en cours sur leur compte. Pour y mettre un terme, l'escroc s'arrange pour leur faire valider ces achats et les piller.
Pourquoi le piège est tendu par voie postale et comment vous protéger du quishing
Une affaire relayée par la Gendarmerie nationale, qui, sur son compte X.com, (ex-Twitter), alerte ses abonnés de cette nouvelle arnaque.
Si la méthode du quishing n'est pas nouvelle, la technique utilisée par les escrocs pour atteindre leurs victimes, elle, est à la fois inédite et vieille comme… La Poste. Car c'est bien par voie postale que les escrocs envoient ce fameux courrier proposant de tester gratuitement des produits Amazon contre rémunération, sur lequel figure le QR code à flasher. Une arnaque qui relie l'ancien et le nouveau monde des communications. Et ce retour en arrière n'est pas anodin. S'ils avaient envoyé ce courrier sous la forme d'un mail, étant donné l'adresse farfelue qui figure sur le courrier papier, il serait dans la majeure partie des cas directement allé dans le dossier spam de leurs destinataires. Pour être sûr de toucher davantage de victimes, la voie postale a donc été choisie par les escrocs qui se transforment ensuite en hackers.
Et une fois le QR code flashé, les victimes tombent dans le piège du quishing.
La Gendarmerie émet les mises en garde habituelles, comme de ne pas scanner ces QR codes, signaler tout profil suspect sur la plateforme Pharos et faire preuve de prévention auprès de vos proches. Clubic double ces conseils de bon sens en y ajoutant quelques détails pour vous prémunir du quishing.
Par exemple, examinez attentivement la forme du QR code. Sur une borne de recharge, un autocollant contenant un QR code pourrait être mal collé par-dessus un autre. De même, assurez-vous de vérifier le texte et l'URL associés à l'autocollant ou à ce qui est affiché sur votre téléphone lorsque vous utilisez l'appareil photo pour scanner le code.
Si un QR code vous redirige vers une application sur Google Play ou l'AppStore, soyez prudent et vérifiez tous les détails. De même, soyez méfiant si le QR code vous conduit à télécharger un logiciel de sécurité, ou si vous rencontrez des QR codes dans des endroits inhabituels susceptibles de piquer votre curiosité.
01 décembre 2024 à 11h06
Source : France Info