Face aux diverses sécurités qui sont mises en place, les pirates informatiques redoublent d’ingéniosité. Parmi les outils à leur disposition qui leur permettent de passer les filtres anti-spam, il y a le QR code. Si vous en recevez un par mail, sachez que c’est probablement une arnaque. La pratique n’est pas nouvelle mais, depuis l’épidémie de COVID, celle-ci s’est démocratisée. Les pirates informatiques profitent du fait que les QR codes ne sont pas reconnus au sein d’une image par les filtres anti-spams pour en user. D’après Cisco Talo, plus de 60% des emails qui contiennent un tel code sont des arnaques. D’après les données récemment recueillies, il y a une tentative de phishing par cette méthode tous les 500 mails. Les arnaqueurs profitent de cette image carrée pour attiser la curiosité de leurs victimes. Ces dernières voient le QR code, dégainent leur application de scan sur leur smartphone et le piège se referme. Ils ouvrent un site qui visent à récupérer leurs données sensibles. Cela va des coordonnées aux mots de passe, en passant par les données bancaires. Pour rendre la détection des QR codes malicieux plus difficile encore, certains pirates les construisent en utilisant des caractères Unicode. Exemple d’un QR code construit avec des caractères Unicode visant à faire cliquer la victime avec un faux problème de livraison // Crédits – Talos Malheureusement, ils utilisent plusieurs stratégies pour vous pousser à le scanner. Cela peut être une alerte par rapport à un de vos comptes, une offre inratable d’un revendeur, pour avertir d’un (faux) problème de livraison, etc. Ils s’invitent même dans nos rues, principalement sur des parcmètres. Ils sont collés dessus pour tromper les usagers qui pensent scanner le lien pour télécharger l’application pour payer leur stationnement. Face à cette menace, comme bien souvent lorsqu’il s’agit d’arnaques, la vigilance est la meilleure arme. Si l’expéditeur du mail ne fait pas partie de vos contacts ou si son adresse semble étrange, surtout ne cliquez pas. Si le code doit vous renvoyer vers le site d’une entité reconnue, mieux vaut vous y connecter en passant par le site officiel, à trouver via un moteur de recherche. Dans l’idéal, limitez le scan de ces éléments et, si vous le faites, vérifiez bien l’URL sur laquelle il cherche à vous amener. Si cette dernière vous demande des données sensibles, méfiez-vous.