Vous avez presque certainement utilisé des codes QR auparavant – c’est lorsque vous pointez la caméra de votre téléphone sur un code-barres carré pour accéder à un menu, un formulaire ou même une application, puis appuyez sur le lien qui apparaît. Mais alors que la plupart des codes QR sont souvent inoffensifs (surtout par rapport à leurs premiers jours sauvages), leur ambiance basse et humble en fait des outils parfaits pour les mauvais acteurs.
Un exemple récent a fait surface dans les nouvelles la semaine dernière, avec malwarebytes publiant un article de blog sur une attaque de code QR ciblée sur les comptes WhatsApp. Les codes QR brisés ont été appâts pour les victimes, qui ont été attirées dans le clic sur un lien et les instructions suivantes qui ont accordé l’accès à un nouvel appareil. Cet appareil appartenant à des hackers a ensuite acquis la possibilité de lire et potentiellement de télécharger des histoires de messages complets.
Bien que sophistiqué, cette campagne particulière souligne comment un code QR servira de passerelle vers un site Web malveillant. Plus souvent, l’attaque est directe – comme lorsque j’ai écrit sur un schéma de phishing en décembre, qui a tenté de voler des informations de connexion pour les comptes Microsoft. La numérisation du code QR a conduit à une page Web de phishing.
Ce qui est le plus dangereux à propos des codes QR, c’est qu’ils peuvent apparaître dans un certain nombre d’environnements, dont certains que vous pourriez ne pas associer à un comportement louche. Cela ne se limite pas non plus au monde en ligne, vous êtes tout aussi susceptible de rencontrer un mauvais code QR tout en faisant des courses. Par exemple:
- Publicités physiques: Pensez aux dépliants et aux factures publiés en public. Ils prétendent concerner un service, un organisme de bienfaisance, une entreprise, etc., mais vous envoient plutôt sur un site bidon ou forcent votre appareil à télécharger des logiciels malveillants.
- Communication de texte: Si vos amis, votre famille ou vos associés sont piratés, vous pourriez recevoir un code QR de phishing pour vous échapper des informations personnelles.
- E-mail: De même, vous pouvez recevoir des e-mails usurpés de personnes que vous connaissez ou stocke à vous, vous demandant de confirmer des informations personnelles. Les raisons peuvent varier considérablement.
- Mail physique: Votre courrier pourrait inclure de fausses annonces et avis avec des codes QR malveillants. Les forfaits ne sont pas exemptés non plus – une nouvelle arnaque consiste à envoyer des articles non sollicités aux personnes, puis à inclure un code QR de phishing avec eux pour accrocher vos coordonnées (peut-être même vos informations financières).
Une apparence particulièrement sournoise de codes QR Bad est les ajouts à des dépliants physiques légitimes et publiés en public, ou sur des choses comme les parcmètres. Un escroc potentiel coller ou collera un code QR de remplacement sur le code-barres approprié, qui envoie ensuite des gens sans méfiance à un site bidon. Vous pourriez perdre non seulement vos informations personnelles, mais aussi votre carte de crédit ou d’autres détails financiers.
Les applications de numérisation de code QR peuvent également être des problèmes. De nos jours, vous n’avez pas besoin d’une application tierce – l’application de la caméra sur les téléphones Android et iOS gérera parfaitement les codes QR. Mais ces options de tiers existent toujours, et quelqu’un pourrait en télécharger un sans réaliser le risque de saisir des logiciels malveillants qui espionnera votre activité et voler des données.
Pour vous protéger des escroqueries du code QR, soyez discerné sur les codes que vous numérisez. Vérifiez également que le lien est approprié pour la situation, et si vous cliquez dessus, s’il demande des informations qui seraient pertinentes. Utilisez des méthodes alternatives pour accéder aux informations ou effectuer un paiement si quelque chose se sent.
Vous pouvez également activer d’autres mesures défensives dans vos comptes comme Passkeys – cette forme de connexion est résistante au phishing. Si PassKeys n’est pas disponible, l’authentification à deux facteurs ajoute au moins un deuxième point de contrôle qu’un pirate doit passer pour accéder. Cependant, 2FA peut être contrecarré par des pirates, donc Passkeys est le mouvement le plus fort. (Besoin de garder vos mots de passe, vos jetons 2FA et vos clés de passe? Un gestionnaire de mots de passe peut les stocker en toute sécurité pour vous.)
Une autre couche de protection peut être des suites antivirus (y compris Microsoft Defender, qui est incluse avec les abonnements Microsoft 365). Ils offrent généralement une protection mobile qui comprend des mesures anti-phishing. Ce n’est pas résistant à l’échec, c’est pourquoi une approche en couches de la sécurité est toujours la meilleure voie à suivre.
Fondamentalement, comme les codes QR peuvent être trouvés presque partout, il en va de même pour les escroqueries qui essaient de tromper les sans méfiance. Mais si vous avez déjà mis en place des mesures de sécurité, le contourner les maux de tête prend un peu de prévoyance.
