Le mois dernier, le FBI a réitéré les dangers du “juice jacking”, une pratique alléguée où de mauvaises personnes volent des données ou installent des logiciels malveillants sur votre smartphone via des chargeurs publics. Le problème est que il n’existe aucun cas documenté de juice jacking dans la nature, ce qui pourrait amener certains à considérer les avertissements de sécurité numérique, par exemple sur les arnaques liées aux QR codes, comme une autre panique morale technologique.
Cependant, les arnaques aux QR codes existent, et vous devez être vigilant. Mais ne vous laissez pas submerger par la peur à leur sujet.
Les arnaques aux QR codes dans l’actualité
Récemment, les arnaques aux QR codes ont fait les gros titres. Comme rapporté par Bleeping Computer, des arnaqueurs ont volé 20 000 $ à une femme à Singapour après qu’elle a scanné un QR code prétendant être un sondage pour sa boutique de thé aux perles locale. L’annonce promettait un verre de lait gratuit pour avoir complété le sondage, alors elle a scanné, puis a téléchargé une application lorsqu’on lui a demandé afin de participer au sondage. Comme vous l’avez deviné, cette application n’avait rien à voir avec la boutique de thé. Elle était en fait conçue pour installer un logiciel malveillant sur son téléphone, et a volé 20 000 $ directement du compte bancaire de la victime.
Un utilisateur de Reddit, hamsupchoi, a posté sur r/sanfrancisco la semaine dernière pour avertir d’autres résidents de la ville à propos d’une arnaque de faux procès-verbal de stationnement qu’ils avaient interceptée. Leur “procès-verbal de stationnement” avait l’air légitime à première vue, mais affichait un sceau de la ville, ce qu’un véritable procès-verbal de stationnement ne ferait pas. Le QR code pour “payer en ligne” donnait en fait accès aux comptes bancaires des victimes.
Et le Bureau Mieux-Avis a mis en évidence une arnaque FAFSA dans laquelle des malfaiteurs vous trompent en vous faisant croire qu’ils peuvent vous aider à rembourser vos prêts étudiants. Un QR code vous dirige “gentiment” vers le site officiel “studentaid.gov”, mais, bien sûr, rien de tout cela n’est réel, et tout l’argent que vous versez sur le site va aux escrocs, pas à vos prêts.
Comment fonctionnent les arnaques aux QR codes
Dans la majorité des cas, il y a très peu de risque à simplement scanner un QR code. Le danger réside dans ce que vous faites après avoir scanné le code. Les escrocs peuvent concevoir leur QR code pour installer un programme malveillant sur votre appareil, dans le but de voler des données ou d’exécuter des publicités en arrière-plan. Mais ils peuvent aussi élaborer un site Web qui ressemble à un site officiel, mais qui vole en réalité des informations comme vos identifiants de connexion.
Pensez à l’un des exemples ci-dessus : La victime a scanné le QR code au tea shop, ce qui l’a conduite à un prompt pour télécharger une application tierce sur son téléphone. C’est le premier signe d’alerte : Ne téléchargez pas d’application d’un QR code à moins d’être sûr à 100 % que l’organisation derrière le code est légitime. C’est le premier point d’entrée pour les malfaiteurs dans votre téléphone.
Cependant, l’application seule n’aurait pas pu voler les 20 000 $ de la victime. Une fois qu’elle a ouvert l’application, il lui a été demandé la permission d’utiliser le microphone et la caméra de son téléphone, ainsi que le service d’accessibilité Android. Cette dernière autorisation permet à une application de prendre le contrôle de l’écran à des fins d’accessibilité, mais pour les malfaiteurs, c’est un moyen d’entrer dans la vie de la victime. De là, ils ont pu recueillir les identifiants de connexion de la victime lorsqu’elle a utilisé son application bancaire, leur permettant d’accéder à ses finances sans que la victime ne le sache. Ouf.
Dans un autre scénario, un QR code pourrait vous mener à un site que vous croyez légitime, où l’on vous demanderait de saisir votre nom d’utilisateur et votre mot de passe — mais lorsque vous essayez de vous connecter, rien ne se passe. C’est parce que le “site” est en réalité faux, existant uniquement dans le but de découvrir vos identifiants de connexion. Si un QR code prétend vous diriger vers un site où vous avez un compte existant, comme Amazon ou votre banque, naviguez-y vous-même à la place — ou au moins, confirmez que l’URL ne semble pas suspecte.
Comment scanner les QR codes en toute sécurité
Alors, les QR codes sont-ils trop dangereux à scanner ? Pas du tout. Même alors que le monde revient à la normale post-COVID et que vous pouvez à nouveau tenir un véritable menu dans un restaurant, les QR codes sont partout, et beaucoup d’entre eux sont légitimes. Ils ont leur utilité, et il existe des moyens de rester en sécurité en les scannant.
Nous avons abordé quelques bonnes astuces pour rester en sécurité lors du scan de QR codes dans cet article. Par exemple, il est bon de se méfier de tout QR code que vous croisez. Les QR codes sont faciles à créer, donc les malfaiteurs pourraient les placer dans des endroits où ils espèrent que les gens les scanneront sans réfléchir à deux fois.
De plus, si vous savez où le QR code essaie de vous mener, comme un menu de restaurant ou le site Web d’une entreprise, essayez d’y aller vous-même sans le QR code. Dans certains cas, cela ne fonctionnera pas, mais il est assez facile de googler le nom d’un restaurant et de trouver leur menu. Assurez-vous simplement de ne pas tomber sur une fausse annonce Google déguisée en lien légitime. (Les escrocs sont partout, les gens.)
Mais avec la montée des arnaques aux QR codes dans les nouvelles, il me semble qu’il y a place pour un autre conseil pour vous protéger lors du scan. Ne donnez pas de permissions pour quoi que ce soit après avoir scanné un QR code, et ne téléchargez pas d’applications ou de fichiers lorsqu’on vous le demande. 99 % du temps, quoi que ce soit de l’autre côté de ce QR code n’a pas besoin d’accéder à la caméra, au microphone, à la localisation de votre téléphone, ou, pire encore, aux fonctions d’accessibilité. Le menu de votre restaurant préféré fonctionnera très bien sans aucun de ces éléments, et les malfaiteurs ne pourront pas exécuter leurs arnaques si vous ne leur donnez pas l’occasion de le faire. Lisez tous les pop-ups avec attention, et n’acceptez rien que vous ne comprenez pas ou dont vous n’êtes pas à l’aise.
Avec cette approche, scanner des QR codes devient instantanément tellement plus sûr. Si vous scannez quelque chose qui vous demande de donner accès aux paramètres d’accessibilité ou de télécharger une application tierce pour continuer, reculez, poursuivez votre journée, et soyez fier de savoir que vous venez de ruiner l’après-midi d’un hacker en herbe.
