Les cybercriminels et escrocs utilisent désormais les QR codes pour piéger de nombreuses victimes dans des campagnes de phishing. Le procédé, simple, consiste à recouvrir un vrai code par un autre frauduleux, avec le risque pour les victimes de se voir dérober leurs coordonnées bancaires en quelques clics.

Leur utilisation a considérablement augmenté avec la pandémie de Covid-19. Le QR code est devenu un élément omniprésent du quotidien, permettant d'accéder à un réseau Wi-Fi, de lire un menu et même de régler son addition au restaurant. Le procédé attire désormais les escrocs, qui disséminent des QR codes frauduleux un peu partout, rapporte Le Parisien.

Le QR code (pour « Quick Response Code ») renvoie, grâce à un scan rapide avec son smartphone, vers un site Web ou vers le téléchargement d'une application. « Il a fallu des années pour sensibiliser les gens à ne pas cliquer sur un lien douteux envoyé par e-mail, il faut tout recommencer avec ces QR codes », peste Len Noe, chercheur en cybersécurité chez CyberArk.

Un simple autocollant

Les cybercriminels ont élaboré une escroquerie simple à réaliser. Ils remplacent tout simplement un QR code existant par le leur avec un nouvel autocollant. Quand la victime le scanne, elle est alors renvoyée vers un site imitant celui sur lequel elle pensait arriver. Parfois, le lien frauduleux invite à télécharger une application pirate.

Néobanques : les offres les moins chères pour maîtriser votre budget

« Ces stratagèmes sont particulièrement redoutables car la cyberattaque passe par l'appareil photo et contourne ainsi les antivirus et les filtres de sécurité », souligne Len Noe. Mais le plus souvent, les escrocs visent des QR codes de paiement, comme ceux permettant de régler l'addition au restaurant.

Epargne : alerte, les arnaques aux faux livrets sont de retour

Sans le savoir, la victime donne alors ses coordonnées bancaires à des personnes mal intentionnées, comme dans une campagne de phishing classique par e-mail. Des premiers cas d'arnaque de ce genre ont été répertoriés en Asie, en Allemagne et aux États-Unis. Cybermalveillance.gouv n'a pour le moment comptabilisé aucune victime en France.