L’utilisation des codes QR a augmenté pendant la pandémie et les pirates ont profité de l’occasion pour voler des données financières.
Les codes QR avec leur code-barres carré ont retrouvé leur popularité au début de la pandémie car les consommateurs les trouvaient faciles à utiliser et les entreprises n’avaient pas à se soucier de la contamination par contact.
De nombreuses entreprises, en particulier les restaurants, ont commencé à utiliser des codes QR ou Quick Response et les ont remplacés par des menus, car les clients pouvaient les scanner depuis leur smartphone en quelques secondes. D’autres industries ont adopté des codes QR pour les coupons, les factures ou pour en savoir plus sur un sujet ou une personne. Coinbase ( (PIÈCE DE MONNAIE) ), la plate-forme d’échange de crypto-monnaie, a même déboursé près de 14 millions de dollars pour une publicité du Super Bowl de 30 secondes en janvier qui ne comportait qu’un code QR.
Alors que la demande de codes QR augmentait, les cybercriminels ont également remarqué la possibilité de voler des données personnelles ou financières d’un consommateur et de gagner rapidement un salaire.
“Tout ce que les consommateurs utiliseront et auxquels ils feront confiance sera éventuellement utilisé par les pirates”, a déclaré John Bambenek, principal chasseur de menaces chez Netenrich, une société d’opérations informatiques et de sécurité numérique basée à San Jose, en Californie, à TheStreet. “Les criminels utiliseront tout ce qu’ils peuvent pour voler de l’argent.”
Les pirates falsifient les codes QR parce que leur utilisation s’est généralisée et que leur falsification est simple, a déclaré à TheStreet Hank Schless, directeur principal des solutions de sécurité chez Lookout, un fournisseur de services de sécurité basé à San Francisco. Certains contiennent des liens malveillants intégrés à des logiciels malveillants afin que les cybercriminels puissent facilement obtenir vos données telles que les informations de carte de crédit ou le numéro de sécurité sociale.
Les codes QR ont fait une résurgence depuis la pandémie, y compris l’enregistrement des événements. Ils ne sont qu'”une autre tactique que les pirates utilisent pour contourner les services de sécurité traditionnels, un peu comme le smishing où des messages texte frauduleux sont envoyés par ce qui semble être une véritable entreprise ou le phishing dans Microsoft Teams et Zoom”, Patrick Harr, PDG de SlashNext, un Pleasanton, société anti-phishing basée en Californie, a déclaré à TheStreet.
Comment scanner les codes QR en toute sécurité
Les consommateurs pensent que la lecture des codes QR est inoffensive, mais ils sont en fait « intrinsèquement indignes de confiance », a déclaré Casey Ellis, directeur technique de Bugcrowd, une société de cybersécurité basée à San Francisco, à TheStreet.
“COVID les a amenés dans des cas d’utilisation où ils sont hautement fiables”, a-t-il déclaré. “Une fois que vous vous êtes habitué à scanner un QR sans y penser du point de vue de la sécurité, cela devient un véhicule de livraison de charge utile assez attrayant pour les attaquants.”
Les fraudeurs ont souvent une longueur d’avance et sont sournois dans leurs stratégies pour inciter les personnes sans méfiance à scanner ou à cliquer sur un lien. Les codes QR sont utilisés pour se connecter à des comptes, échanger des informations de contact et effectuer des transferts d’argent ou fournir des options de paiement sans contact.
Les attaques de phishing QR sont en augmentation car elles nécessitent si peu d’efforts pour réussir. D’une part, les codes sont des affichages physiques, ce qui signifie qu’un code inoffensif peut facilement être recouvert d’un code néfaste qui amène les utilisateurs vers un site Web malveillant. Cela permet aux cybercriminels d’« afficher » facilement le site légitime qui vole les identifiants de connexion ou installe des logiciels malveillants.
Le phishing est un type de menace courant où les pirates prétendent envoyer des e-mails à des entreprises légitimes et demandent des données personnelles.
“Les acteurs de la menace ont découvert que les codes QR sont l’un des moyens les plus efficaces de fournir des liens malveillants. Vous devez donc comprendre que si les codes QR rendent les interactions sans contact transparentes, ils permettent également aux attaquants de vous envoyer facilement des liens malveillants”, a déclaré Schless. “Une fois qu’un identifiant est volé, il est facile pour les attaquants de voler des données personnelles et d’entreprise.”
Vérifiez toujours l’URL sur la notification avant de cliquer pour être redirigé, recommande-t-il.
“Si l’URL ne ressemble pas à une source fiable ou diffère de l’URL de l’entreprise connue, quittez la notification”, a déclaré Schless. “Je vous recommande fortement de penser aux codes QR de la même manière que vous pensez aux autres tactiques de phishing comme l’escroquerie par e-mail et l’ingénierie sociale.”
Les attaquants et les farceurs ont imprimé des autocollants de code QR contrefaits et les ont placés au-dessus des codes QR existants, a déclaré Ellis.
“Avoir un coup d’œil rapide pour voir si le code QR semble déplacé, semble être un autocollant alors qu’il ne devrait pas l’être, pourrait aider les gens à éviter les risques”, a-t-il déclaré.
Évitez ces tâches à partir d’un code QR
Les codes QR sont souvent utilisés pour présenter des informations et aider les consommateurs à éviter de saisir légitimement de longues chaînes de données telles que des numéros de compte. Les gens devraient “faire preuve de prudence supplémentaire lorsqu’on leur demande des informations sensibles telles que les détails de la carte de crédit, les mots de passe et les informations personnelles identifiables”, a déclaré Ellis.
Le FBI a averti les consommateurs en janvier que les criminels utilisaient des codes QR pour voler des données, intégrer des logiciels malveillants pour accéder à l’appareil de la victime et rediriger le paiement à des fins cybercriminelles. La récupération de l’argent après son transfert ne peut être garantie, a déclaré le FBI.
“Une victime scanne ce qu’elle pense être un code légitime, mais le code falsifié dirige les victimes vers un site malveillant, qui les invite à entrer des informations de connexion et financières”, a déclaré le FBI. “L’accès à ces informations sur les victimes donne au cybercriminel la possibilité de voler des fonds via les comptes des victimes.”
Les consommateurs devraient éviter de télécharger une application à partir d’un code QR et utiliser plutôt l’App Store pour un téléchargement plus sûr, a déclaré le FBI. Une autre arnaque consiste à recevoir un e-mail indiquant qu’un paiement a échoué d’une entreprise où un achat récent a été effectué. Si l’entreprise déclare “vous ne pouvez effectuer le paiement que via un code QR, appelez l’entreprise pour vérifier”, a déclaré le FBI.
Évitez de télécharger des lecteurs QR à partir d’un code QR car il s’agit souvent d’une astuce utilisée par les escrocs “tout comme inciter les gens à télécharger de faux antivirus sur leurs ordinateurs portables où l’application de téléchargement est en fait un logiciel malveillant”, Brian Contos, directeur de la sécurité de Phosphorus Cybersecurity, un Nashville société de sécurité IoT basée sur ., a déclaré à TheStreet.
“C’est une bonne pratique de ne rien télécharger à partir d’un scan de code QR”, a-t-il déclaré. « Soyez sceptique et ne partagez pas d’informations sensibles à moins d’être sûr qu’elles sont légitimes. Un autocollant ou un dépliant sur un lampadaire devrait déclencher une alarme dans votre tête. Si quelqu’un demande un paiement, sur une contravention de stationnement par exemple, vous pouvez être sûr qu’il y aura plusieurs méthodes de paiement pour quelqu’un.
Une méthode qui gagne en popularité consiste à utiliser des codes QR pour les parcomètres. Les codes à barres dirigent les utilisateurs vers un site Web où ils peuvent saisir leurs informations de paiement ou télécharger une application pour payer, a déclaré Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, une société de piratage éthique et de réponse aux incidents informatiques basée à Strongsville, dans l’Ohio, à TheStreet.
“Un escroc peut créer un code QR qui dirige vers son site Web frauduleux qui semble authentique, imprimer des autocollants avec ce code QR et placer les autocollants sur le code QR légitime pour envoyer les utilisateurs vers leur site frauduleux et collecter leurs informations bancaires et de carte de crédit ou autres données personnelles.”
