Arnaques au code QR : la menace invisible que vous scannez chaque jour

Les codes QR sont essentiellement des liens encodés dans un format visuel — et comme tout lien, ils peuvent pointer vers des destinations malveillantes. La différence critique est que les codes QR ne peuvent pas être inspectés visuellement avant d'être scannés. Lorsque vous survolez un lien sur une page web, vous pouvez voir où il mène.

Lorsque vous scannez un code QR, vous n'avez aucune idée de l'URL encodée tant que votre appareil ne l'a pas traitée. Les criminels exploitent cela en plaçant des codes QR frauduleux par-dessus les codes légitimes dans les espaces publics, en distribuant de faux prospectus et affiches avec des codes malveillants, en envoyant des matériaux imprimés par la poste avec des codes QR menant à des pages de phishing, et même en projetant des codes QR dans des espaces publics. La technique est parfois appelée quishing — phishing par code QR.

Les parcmètres et les distributeurs de tickets de transport en commun sont des cibles fréquentes — les criminels placent des autocollants avec leurs propres codes QR par-dessus les codes de paiement légitimes, redirigeant les paiements vers leurs comptes. Les menus QR de restaurants ont été remplacés par des codes menant à de fausses pages de commande qui récoltent les détails de cartes de paiement. Les faux avis de livraison de colis laissés aux portes contiennent des codes QR menant à des pages de récolte d'identifiants.

Les billets d'événements, les matériaux de conférence et les prospectus promotionnels sont utilisés pour distribuer des codes malveillants. Certains escrocs placent même des autocollants sur des produits en magasin, espérant que les clients les scanneront en s'attendant à des informations sur le produit pour finalement atterrir sur des pages de phishing.

Utilisez toujours le scanner QR intégré de votre téléphone ou l'application caméra plutôt que des scanners tiers, car les applications natives prévisualisent généralement l'URL avant de l'ouvrir. Vérifiez attentivement l'URL prévisualisée avant de continuer — recherchez les domaines suspects, les fautes d'orthographe ou les destinations inattendues. Soyez particulièrement prudent avec les codes QR dans les espaces publics, surtout ceux qui semblent avoir été placés par-dessus des codes existants.

Si un code QR mène à une page de paiement, vérifiez que l'URL correspond au prestataire de paiement légitime. Évitez de scanner les codes QR provenant de matériaux imprimés non sollicités reçus par la poste. Si possible, naviguez directement vers les sites web plutôt que via des codes QR.

Même si vous scannez un code QR malveillant, Sorinify fournit une protection au moment où votre navigateur ouvre l'URL de destination. Notre analyse côté serveur évalue la page avant qu'elle ne se charge, détectant les pages de phishing, les faux formulaires de paiement et les sites de récolte d'identifiants, peu importe comment vous y êtes arrivé. Cette protection automatique est particulièrement précieuse pour les arnaques au code QR car l'URL malveillante est cachée jusqu'après le scan du code.