Au quotidien, les QR codes sont utiles mais ils peuvent être utilisés par des escrocs pour subtiliser vos données ou installer un logiciel malveillant sur votre smartphone. En effet, n’importe qui peut créer son propre QR code via des sites dédiés. Une fois créé dans le but d’arnaquer, le QR code peut être imprimé et placé sur de « vrais » QR codes utilitaires comme dans des parkings afin que les utilisateurs le scannent par erreur et soient par exemple reconduits sur un faux site.

Celui-ci peut être un site clone copiant habillement le vrai, invitant les personnes piégées à renseigner leurs informations ou effectuer un paiement.

Techniques Arnaques aux QR codes

Les QR codes peuvent aussi être utilisés par mail ou dans des publicités en ligne par des arnaqueurs (phishing). L’avantage pour eux est que les QR codes sont encore rarement détectés par les logiciels de sécurité contrairement aux pièces jointes ou aux liens de sites frauduleux et cela leur demande moins d’efforts d’envoyer des milliers de mails similaires que de placer des dizaines de QR codes physiquement dans un périmètre assez large pour espérer obtenir un rendement.

Il faut toujours se rappeler que la majorité des QR codes présents dans des mails, des publicités ou des sites sont des arnaques. Si vous êtes déjà en ligne, l’intérêt de vous faire passer par un QR code est faible sauf si son utilisation est justifiée ou qu’elle permet à des individus de vous tromper.

Un QR code permet de déclencher plusieurs actions :
– ajouter un contact
– passer un appel surtaxé
– écrire un mail en renseignant le destinataire et l’objet
– partager votre localisation avec une application
– créer un compte sur les réseaux sociaux
– ajouter un réseau Wi-Fi en favori avec vos identifiants pour une connexion automatique
– envoyer vos contacts par mail ou SMS à un destinataire

Des escrocs peuvent par exemple ajouter leurs coordonnées à votre répertoire sous le nom « Banque » afin qu’un appel visant à vous arnaquer paraisse plus crédible.
Des images de marques ou de groupes de confiance sont régulièrement placées à côté des QR codes pour leur donner plus de crédibilité. Il peut s’agir de l’App Store, de Google Play ou encore en France de l’image de La Poste.

Récemment, plusieurs centaines de personnes ont été arnaquées par de faux avis de passage de La Poste dans leur boite postale. L’avis frauduleux les invitait à scanner un QR code les renvoyant vers un site clone de La Poste pour récupérer leurs données bancaires. Les arnaqueurs avaient reproduit fidèlement les véritables avis de passage de La Poste en y ajoutant leur propre QR code.

Celui-ci renvoyait les cibles sur le site de La Poste un bref instant avant de les rediriger vers un faux site. Il leur était demandé de payer la modique somme de 0,97 euro pour relancer la livraison ce qui permettait aux escrocs de récupérer leur données de carte bancaire et s’en resservir pour d’autres achats ou prélevez ensuite régulièrement une somme fixe.

Cette arnaque exploitait une faille du site de La Poste qui semble avoir été résolue depuis. Cependant les arnaqueurs ne manquent pas d’ingéniosité pour trouver de nouveaux moyens de vous duper donc restez vigilants et suivez nos conseils pour minimiser les risques.

Les conseils pour éviter les arnaques

• Assurez-vous que le QR code que vous souhaitez scanner n’est pas un autocollant ajouté sur le vrai.
• Après le scan, vérifiez que l’ URL renvoie vers le bon site en le comparant avec celui que vous aurez trouvé en. cherchant sur votre moteur de recherche. Vous pouvez également vérifier les sites vers lesquels vous êtes redirigés en copiant l’URL dans un outil comme Scamdoc qui vous donnera un score de confiance.
• Évitez de télécharger une application en dehors d’une plateforme sûre et faites attention aux autorisations à cocher au moment de l’installation.
• Installez un antivirus sur votre téléphone, celui-ci vous préviendra si vous êtes redirigé vers un site ou une application non sécurisée.
• Ne scannez pas les QR codes contenus dans les mails ou sur les sites internet que vous connaissez peu car se sont des arnaques la plupart du temps.
• Rappelons également qu’il est possible de désactiver dans ses paramètres, la fonctionnalité permettant de lancer un téléchargement ou de se connecter à un Wi-fi via un QR Code.