Le quishing, ça vous dit quelque chose ? Eh bien c’est la dernière trouvaille des cybercriminels : le phishing via QR code, une technique de plus en plus prisée par les malfrats du numérique, qui leur permet de dérober des données personnelles ou de siphonner des comptes en banque. Pour contrer cette menace, l’Unité nationale Cyber (UNCyber), via son bureau de la prévention et de la protection, déploie une vaste campagne de sensibilisation pour mettre en garde les citoyens contre ce type d’arnaque en vogue. Décryptage !
QR codes, des petits carrés devenus grands
Inventés au Japon dans les années 1990, les QR codes, ces petits carrés bardés de pixels, n’étaient au départ que des codes-barres évolués permettant d’accéder instantanément à une page web via un smartphone ou une tablette. Leur adoption a été progressive, mais c’est véritablement avec la crise sanitaire et les confinements successifs qu’ils se sont imposés comme un outil quotidien. En effet, nous avons pris l’habitude de « flasher » ces images pour une multitude d’usages : lire le menu d’un restaurant, accéder à des informations lors d’une exposition, ou encore régler nos achats en ligne.
Des centaines de procédures pénales en cours face à la recrudescence des arnaques par QR code
Sans surprise, avec la démocratisation des usages cyber, les arnaques suivent la tendance. D’autant plus que la méthode est aussi simple qu’efficace : les escrocs apposent un faux QR code sur un véritable, et multiplient ainsi les victimes tant que la supercherie n’est pas découverte. Ce qui inquiète le plus, c’est que ces QR codes frauduleux se retrouvent un peu partout, que ce soit sur des flyers réimprimés, dans des vidéos différées à la télévision, ou encore sur des bornes de recharge pour voitures électriques, comme ce fut le cas récemment dans le Loiret. Les utilisateurs, croyant payer pour une recharge, se faisaient en réalité dérober leurs données bancaires.
Le lieutenant Eddy Rouf de l’Unité nationale Cyber (UNCyber) révèle : « On dénombre actuellement plus de 800 procédures pénales en cours concernant des QR codes, la plupart étant qualifiées d’escroqueries. Il y a une hausse significative de ces faits ces derniers mois, car c’est très facile de faire un QR code, ça ne demande pas de compétences techniques, tout le monde peut en faire. Les délinquants vont utiliser ce biais pour récupérer des données personnelles, des mots de passe, introduire un agent malveillant (malware) dans le téléphone, ou détourner de l’argent ».
Nous vous le disions, pour contrer cette vague de quishing, les cyber gendarmes ont intensifié leur campagne de prévention, notamment en distribuant des fiches d’information à travers le réseau Cybergend aux conseillers et référents cyber, afin de sensibiliser le plus grand nombre. Pour leur part, les experts en sécurité informatique conseillent d’être très vigilants et de vérifier, en premier lieu, que le QR code n’est pas un autocollant placé sur un autre. S’il y a un autre QR code en dessous, c’est plutôt mauvais signe. Ensuite, il faut s’assurer que l’URL de la page Web correspond bien à l’URL du site sur lequel on est supposé arriver.
En bref, la vigilance est plus que jamais de mise, à l’heure où les progrès de l’intelligence artificielle effacent de plus en plus les indices qui permettent de reconnaître les arnaques, notamment les fautes d’orthographe.
Gare aux bornes de recharge, une arnaque qui pourrait vous coûter cher
Le quishing, EnergyVision ne connaît que trop bien… En effet, le fournisseur de bornes de recharge s’est retrouvé au cœur de cette arnaque plutôt sournoise, avec un QR code frauduleux collé sur le vrai pour subtiliser l’argent des clients. Habituellement, ces bornes utilisent un QR code pour régler la transaction – une méthode imposée par la loi pour simplifier le paiement, même si les opérateurs de ces bornes sont moyennement convaincus, surtout que le paiement par carte bancaire direct reste peu développé.
Le PDG d’EnergyVision, Maarten Michielssens, détaille le stratagème : « Quiconque tentait de recharger via un tel code tombait sur une page Web de paiement. Si vous tentiez de payer, un message d’erreur apparaissait ». Mais le pire reste à venir : « Dans le même temps, 300 euros étaient prélevés sur votre compte ». Et pour couronner le tout : « Après l’erreur, vous étiez redirigé vers la bonne page et vous pouviez payer normalement. Cela signifie que vous pouviez finalement recharger votre véhicule, sans réaliser immédiatement que vous aviez été floué ».
Paiement par QR code : utile, mais gare aux pièges !
EnergyVision n’a pas tardé à réagir pour traquer les fraudeurs avec l’aide des autorités. « Nous avons transmis les adresses des bornes de recharge à la police et avons également contacté le SPF Economie. Nous espérons que la police pourra voir sur les caméras qui a collé ces autocollants ». Bien que peu de leurs clients utilisent les QR codes pour les transactions, les conséquences sont loin d’être négligeables : « Heureusement, seuls 5 % de nos clients paient via ces codes. La plupart utilisent des cartes de recharge. Mais il s’agit d’une centaine de victimes qui ont perdu chacune 300 euros ».
Les QR codes, ça peut être un vrai casse-tête sécuritaire, comme le souligne Jo Vandebergh, PDG de la société de cybersécurité Phished. « Scanner un QR code, c’est comme jouer à la roulette russe numérique. Vous ne pouvez mesurer les dégâts qu’après avoir scanné. Les QR codes inspirent confiance mais ce sont essentiellement des liens normaux ». Nous vous le disions, ces petites grilles peuvent vous mener droit dans un piège, dissimulées dans des lieux du quotidien comme les parcmètres, prévient encore Vandebergh. « Et avant de vous en rendre compte, vous appuyez sur la gâchette ». Moralité de l’histoire ? Mieux vaut rester sur ses gardes avec ces codes, aussi banals qu’ils paraissent !