Les colis mystérieux avec codes QR déclenchent une nouvelle vague d'escroqueries, 73 % des Américains scannent les codes QR sans vérifier leur sourceLe FBI a publié une alerte concernant les colis qui arrivent sans aucune information sur l'expéditeur, mais qui comportent des codes QR utilisés pour faciliter les "activités de fraude financière". L'agence affirme que ces codes peuvent inciter un utilisateur à fournir ses informations personnelles ou financières. Dans d'autres cas, ils peuvent duper la victime et l'amener à télécharger "un logiciel malveillant qui vole les données de son téléphone."
En 2023, FTC a lancé une alerte que des acteurs malveillants utilisent des codes QR anciens et discrets pour escroquer les gens en toute connaissance de cause. Le principe est le suivant : vous pouvez recevoir un message contenant un code QR ou essayer d'en scanner un que vous trouvez sur une page particulière, ce qui a pour effet de transférer immédiatement de l'argent aux personnes à l'origine de l'escroquerie.
Il n'y a pas que l'argent qui est en jeu, puisque des acteurs malveillants utilisent également les codes QR pour obtenir divers types de données sensibles. Il est donc essentiel de faire preuve de bon sens pour se protéger en ligne, d'autant plus que ces attaques se sont multipliées au cours de l'année écoulée et que les codes QR sont devenus de plus en plus courants dans la vie quotidienne.
Un code QR, abréviation de « quick-response code » (code à réponse rapide), est un type de code-barres matriciel bidimensionnel pour l'étiquetage des pièces automobiles. Il se compose de carrés noirs sur fond blanc avec des repères de position, lisibles par des appareils d'imagerie tels que des appareils photo, et traités à l'aide de la correction d'erreurs Reed-Solomon jusqu'à ce que l'image puisse être interprétée correctement. Les données requises sont ensuite extraites des motifs présents dans les composantes horizontales et verticales de l'image QR.
Récemment, le FBI a publié une alerte concernant les colis qui arrivent sans aucune information sur l'expéditeur, mais qui comportent des codes QR utilisés pour faciliter les "activités de fraude financière". L'agence affirme que ces codes peuvent inciter un utilisateur à fournir ses informations personnelles ou financières. Dans d'autres cas, ils peuvent duper la victime et l'amener à télécharger "un logiciel malveillant qui vole les données de son téléphone."
"Pour inciter la victime à scanner le code QR, les criminels expédient souvent les colis sans informations sur l'expéditeur afin d'inciter la victime à scanner le code QR. Bien que cette arnaque ne soit pas aussi répandue que d'autres types de fraude, le public doit être conscient de cette activité criminelle", déclare le FBI.
Un code QR est essentiellement un code-barres qui stocke une URL que le navigateur de votre téléphone peut facilement ouvrir. Contrairement à une idée reçue, le fait de scanner un code QR n'infectera pas automatiquement votre appareil et n'exposera pas vos données personnelles. Au contraire, les codes QR malveillants redirigent les utilisateurs vers des sites web dangereux, souvent déguisés en marques légitimes, où une interaction supplémentaire de l'utilisateur est généralement nécessaire pour déclencher une arnaque ou le téléchargement d'un logiciel malveillant.
Par conséquent, il n'est jamais judicieux de scanner un code QR au hasard, car vous obligez votre téléphone à visiter un site web dont vous ne savez rien. L'année dernière, les autorités cybernétiques suisses ont mis en garde contre un stratagème similaire impliquant des lettres prétendant provenir d'un office fédéral de météorologie. Ces lettres contenaient un code QR permettant de télécharger une application météo, mais il s'agissait en réalité d'un stratagème visant à propager des logiciels malveillants.
Depuis lors, la FTC et le Service d'inspection postale des États-Unis ont également mis en garde contre les escrocs qui utilisent des codes QR sur des colis non sollicités. "Le destinataire est invité à scanner le code QR sous prétexte d'enregistrer le cadeau et d'obtenir plus d'informations sur l'expéditeur. Si vous scannez le code, vous êtes redirigé vers un site web frauduleux où l'on vous demande des informations personnelles ou financières", a déclaré l'agence en février.
Cette arnaque s'inspire également d'une autre pratique frauduleuse connue sous le nom de « brushing », qui consiste pour des vendeurs peu scrupuleux à rédiger de faux avis sur leurs produits. Pour ce faire, un vendeur découvre l'adresse postale d'un consommateur et passe une commande en son nom, ce qui donne lieu à un colis inattendu.
"L'intention est de donner l'impression que le destinataire est un acheteur vérifié qui a rédigé des avis positifs en ligne sur la marchandise, ce qui signifie qu'ils rédigent un faux avis en votre nom", a ajouté l'USPIS. "Ces faux avis contribuent à augmenter ou à gonfler frauduleusement les notes et les chiffres de vente des produits, dans l'espoir d'augmenter les ventes réelles à long terme. Comme les marchandises sont généralement bon marché et peu coûteuses à expédier, les escrocs considèrent cela comme un investissement rentable."
Cet alerte rappelle l'avertissement des grandes banques en octobre 2024. Ils avaient mis en garde le public contre une augmentation des escroqueries par code QR, connues sous le nom de "quishing". Ces attaques profitent du fait que les codes QR, par nature, sont difficiles à interpréter visuellement, de sorte que les victimes ne savent souvent pas vers quoi elles sont dirigées avant qu'il ne soit trop tard. Mais si le problème persiste, l'industrie devrait évoluer dans ce sens, mais cela ralentira l'envoi des courriels et rendra les choses plus coûteuses.
En 2023, ReliaQuest avait déjà alerte sur les escroqueries à l'aide de code QR. Son rapport révélait 4 méthodes d'escroquerie. Les méthodes de quishing recoupent souvent le protocole de phishing standard. Les cibles reçoivent un courriel d'un expéditeur prétendument légitime, qui les encourage à scanner l'image du code QR intégré. L'attaquant tente généralement de créer un sentiment d'urgence, en annonçant par exemple des conséquences désastreuses si le destinataire n'obtempère pas.
Voici l'alerte du FBI :
Colis non sollicités contenant des codes QR utilisés pour mettre en place des stratagèmes frauduleux
Le FBI met en garde le public contre une variante d'arnaque dans laquelle des criminels envoient des colis non sollicités contenant un code QR1 qui incite le destinataire à fournir des informations personnelles et financières ou à télécharger à son insu un logiciel malveillant qui vole les données de son téléphone. Pour encourager la victime à scanner le code QR, les criminels expédient souvent les colis sans informations sur l'expéditeur afin d'inciter la victime à scanner le code QR. Bien que cette arnaque ne soit pas aussi répandue que d'autres types de fraude, le public doit être conscient de cette activité criminelle.
Il s'agit d'une variante de l'arnaque dite « brushing scam », utilisée par les vendeurs en ligne pour améliorer les évaluations de leurs produits. Dans une arnaque brushing scam traditionnelle, les vendeurs en ligne envoient des marchandises à un destinataire non sollicité, puis utilisent les informations de ce dernier pour publier un avis positif sur le produit. Dans cette variante, les auteurs de l'arnaque ont intégré l'utilisation de codes QR sur les colis afin de faciliter leurs activités de fraude financière.
Conseils pour vous protéger
Les criminels continuent de faire évoluer leurs tactiques pour cibler des victimes peu méfiantes. Il convient de prendre des précautions avant de scanner tout code QR reçu par le biais de communications ou de colis non sollicités.
Le FBI met en garde le public contre une variante d'arnaque dans laquelle des criminels envoient des colis non sollicités contenant un code QR1 qui incite le destinataire à fournir des informations personnelles et financières ou à télécharger à son insu un logiciel malveillant qui vole les données de son téléphone. Pour encourager la victime à scanner le code QR, les criminels expédient souvent les colis sans informations sur l'expéditeur afin d'inciter la victime à scanner le code QR. Bien que cette arnaque ne soit pas aussi répandue que d'autres types de fraude, le public doit être conscient de cette activité criminelle.
Il s'agit d'une variante de l'arnaque dite « brushing scam », utilisée par les vendeurs en ligne pour améliorer les évaluations de leurs produits. Dans une arnaque brushing scam traditionnelle, les vendeurs en ligne envoient des marchandises à un destinataire non sollicité, puis utilisent les informations de ce dernier pour publier un avis positif sur le produit. Dans cette variante, les auteurs de l'arnaque ont intégré l'utilisation de codes QR sur les colis afin de faciliter leurs activités de fraude financière.
Conseils pour vous protéger
Les criminels continuent de faire évoluer leurs tactiques pour cibler des victimes peu méfiantes. Il convient de prendre des précautions avant de scanner tout code QR reçu par le biais de communications ou de colis non sollicités.
- Méfiez-vous des colis non sollicités contenant des marchandises que vous n'avez pas commandées.
- Méfiez-vous des colis qui ne comportent pas d'informations sur l'expéditeur.
- Prenez des précautions avant d'autoriser les permissions téléphoniques et l'accès aux sites web et aux applications.
- Ne scannez pas les codes QR d'origine inconnue.
- Si vous pensez être la cible d'une arnaque de type « brushing », sécurisez votre présence en ligne en modifiant les profils de vos comptes et demandez un rapport de solvabilité gratuit à l'une ou à toutes les agences nationales d'évaluation du crédit (Equifax, Experian et TransUnion) afin d'identifier d'éventuelles activités frauduleuses.
Et vous ?
Pensez-vous que cet alerte est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Les codes QR sont utilisés pour escroquer les gens : Les escrocs cachent des liens nuisibles dans les codes QR pour voler vos informations, selon la mise en garde de la FTC Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023. Découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés 58 % des employés sont victimes d'arnaques par phishing mobile et d'usurpation d'identité de dirigeants, les responsables de la sécurité ayant une confiance excessive dans leurs capacités et dans les employés
Vous avez lu gratuitement 1 494 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.