D'après le FBI, des cybercriminels utilisent actuellement des QR Codes malveillants pour récupérer les données financières et personnelles des victimes. En effet, ces QR Codes redirigent les utilisateurs vers de faux sites sur lesquels ils sont invités à renseigner leurs coordonnées bancaires.

Depuis plusieurs années maintenant, scanner un QR Code est devenu une habitude pour de nombreux utilisateurs. Que ce soit pour télécharger rapidement une application, accéder à un site web, consulter le menu d'un restaurant, on retrouve des QR Codes un peu partout. Bien entendu, escrocs et cybercriminels ont rapidement détourné cette technologie pour mettre au point des arnaques diverses et variées.

Les exemples ne manquent pas, comme ces voleurs qui ont placé de faux QR Codes sur des parcmètres aux États-Unis pour récupérer l'argent du stationnement. Ou encore cette campagne de phishing élaborée avec de faux QR Codes qui a touché les clients de deux grandes banques allemandes.

En ce lundi 24 janvier 2021, le FBI alerte les utilisateurs concernant une nouvelle campagne de phishing qui exploite justement des QR Codes malveillants. Cette avertissement a été publié sous la forme d'une PSA (Public Service Announcement ou Message d'intérêt public) sur le site internet du Crime Complaint Center du FBI.

À lire également : QR Codes – attention, les hackers s’en servent pour pirater les smartphones

Un QR Code pour rediriger vers un faux site web

“Les cybercriminels trafiquent les QR Codes pour rediriger les victimes vers des sites malveillants qui volent leurs identifiants et leurs informations financières”, précise l'agence fédérale américaine. D'après “le Bureau”, les escrocs modifient les QR Codes légitimes utilisés par les entreprises à des fins de paiement pour rediriger les victimes potentielles vers des sites web malveillants conçus sur leurs appareils ou détourner leurs paiements vers des comptes sous leur contrôle.

Le mode opératoire est simple : la victime scanne le QR Code, se retrouve sur un faux site de paiement (relatif à un service, une entreprise, une institution en rapport avec l'utilisateur) sur lequel il est invité à saisir ses informations financières et personnelles, et le piège se referme. Les pirates n'ont plus qu'à récupérer ses données pour s'en servir pour accéder au compte en banque de la cible par exemple.

“Bien que les QR Codes ne soient pas malveillants par nature, il est important de faire de preuve de prudence lorsqu'on saisit des informations financières ou que l'on effectue un paiement sur un site auquel on accède par un QR Code. Les forces de l'ordre ne peuvent pas garantir la récupération des fonds perdus après le transfert”, rappelle le FBI. L'institution conseille d'éviter d'installer des applis via des QR Codes ou d'installer des scanners de QR Codes tiers et d'utiliser plutôt celui qui est installé nativement sur votre smartphone.

Source : Bleeding Computer