Au restaurant, sur les réseaux sociaux, dans les banques et les institutions, l’utilisation des QR Code se développe. Un usage croissant qui a aiguisé l’appétit d’escrocs qui rivalisent d’imagination pour dérober informations personnelles et coordonnées bancaires à leurs victimes. Après le phishing, ce qu’on appelle désormais le quishing se développe, et les autorités et établissements bancaires craignent que les Jeux olympiques offrent un terrain de jeux de choix à ce type de cybercriminalité.
Le phénomène n’est pas nouveau, et dès juillet 2022, France-Soir alertait sur des arnaques au QR code qui risquaient de gâcher les vacances des touristes.
Une escroquerie qui risque de proliférer durant les JO.
De quoi s’agit-il ? Des escrocs génèrent de faux QR Code qu’ils vont envoyer par mail à leurs victimes, en se faisant passer pour une institution ou un établissement ayant pignon sur rue, ou coller sur de vrais QR codes sur les tables de restaurant ou ailleurs.
Ce faux QR code renverra sur un site créé par les arnaqueurs et les usagers seront alors invités à fournir des données personnelles et/ou bancaires ou encore à effectuer des paiements pour régler un service qu’ils n’obtiendront pas ou une soi-disant amende.
Les QR codes frauduleux peuvent aussi être utilisés par les escrocs pour installer des logiciels malveillants sur vos équipements.
D’après nos confrères d’Ouest-France, plus de 800 procédures pénales sont en cours concernant des arnaques au QR code et ce type d’escroquerie risque de proliférer durant les jeux olympiques où les petits carrés seront nécessaires pour accéder à de nombreux sites et services.
Que faire pour éviter de se faire arnaquer ?
La vigilance sera donc de mise, alors que faire pour éviter de se faire avoir ?
Première précaution, lorsque vous recevez un message ou un email vous invitant à flasher un QR code, vérifiez l’expéditeur. Certains escrocs copient très habilement les logos pour donner une impression de réalisme. Il faut donc vérifier attentivement l’adresse email de l’expéditeur. Et il faut savoir qu’en France, seuls les noms de domaine se terminant par « .fr » font l’objet d’une vérification. En tout état de cause, toutes les adresses email interminables et ne voulant rien dire, comportant des noms exotiques ou ayant un petit air officiel mais avec un «.fr » suivi d’une autre extension doivent susciter votre méfiance. Idem pour les contenus comportant des fautes d’orthographe.
Et on ne le dira jamais assez, une banque ne vous demandera jamais de lui donner votre numéro de carte bancaire et son code.
Enfin plus généralement, ne donnez pas d’informations sensibles après avoir scanné un QR Code.
Si vous êtes amené à scanner un QR Code à l’extérieur, vérifiez qu’il n’en recouvre pas un autre. Si c’est le cas, ne scannez pas.
Vérifiez l’URL avant de cliquer. Si elle vous semble n’avoir rien à voir avec le service souhaité, là encore abstenez-vous de cliquer.
Vérifiez ensuite le contenu vers lequel le QR code vous dirige une fois que vous l’avez scanné. Si le site atteint n’est pas celui que vous espériez, fermez vite la page et effacez votre historique.
Si vous payez quelque chose via un QR code, vérifiez que le montant et le destinataire correspondent bien à l’achat que vous voulez régler.
Évitez d’utiliser les QR codes distribués sur des flyers lors de grands évènements publics ou proposés sur des affiches.
Et favorisez d’autres moyens de paiements ou de consultations de vos informations bancaires à chaque fois que c’est possible.
Si vous pensez avoir été victime d’une fraude
Votre vigilance a été déjouée et vous avez le sentiment d’avoir ouvert un QR code malveillant ?
Faites opposition à votre carte bancaire le plus rapidement possible et en attendant, désactivez toutes possibilités de paiement à distance ou de retrait via votre espace internet.
Contactez votre conseiller bancaire.
Changez tous vos codes d’accès dès que possible.
Recherchez les logiciels malveillants avec l’aide d’un antivirus.
Mais le plus prudent reste encore de s’abstenir d’utiliser un QR code au moindre doute.