Alors que les QR Codes se sont popularisés lors de la période COVID, ils sont considérés actuellement comme des problèmes de sécurité. Comme le rapporte l’agence Trellix, les hackers passent régulièrement par ces codes imagés pour perpétrer des attaques de phishing. Le processus est d’ailleurs bien élaboré que les programmes de sécurité sont incapables de les détecter.

Pas de lien, pas de problème !

La plupart des antivirus intègrent une fonctionnalité pour lutter contre l’hameçonnage ou le phishing. Ces applications envoient généralement des alertes dès qu’un lien suspect est détecté via une messagerie ou par mail. Mais ce type de protection montre de sérieuses faiblesses face aux attaques effectuées via QR code.

Pour ce faire, les hackers envoient des mails dans lesquels aucun lien de phishing n’est inclus. À la place, une image intégrant un QR code est envoyée directement à la victime et des fois, le QR code est attaché en pièce jointe. Rappelez-vous, pas de lien, donc les antivirus ne peuvent détecter aucune activité suspecte.

Lire aussi :Après Pegasus, voici Sherlock, le puissant logiciel espion qui infecte via des publicités

Les messages envoyés simulent également des situations d’urgence, donc cette partie du processus ressemble aux attaques d’hameçonnage classiques. En effet, il est souvent demandé aux victimes de scanner le QR code afin d’accéder à un portail web pour confirmer une identité par exemple.

Après le scan, les victimes sont redirigées vers des plateformes malveillantes où des stratagèmes sont également mis en place pour déjouer la sécurité. Il est à noter que ces plateformes sont généralement développées à l’image des sites-web officiels, mais il ne s’agit en réalité que d’un leurre.

Quel est le but de ces attaques et comment les éviter ?

Le but de l’hameçonnage est de subtiliser les accès (mots de passe et identifiants) des utilisateurs ciblés. Ces données sont ensuite utilisées par les hackers qui s’adonnent souvent à des opérations d’usurpation d’identité et à différentes fraudes d’ordre pécuniaire.

Les programmes de sécurité étant inefficaces contre le nouveau mode d’attaque, seule la vigilance permettra aux utilisateurs de limiter ces cas d’hameçonnage. On en revient donc aux vieilles recommandations qui suggèrent de ne pas cliquer sur les liens suspects et principalement ceux venant d’inconnus (ne pas scanner de QR code dans ce cas précis).

Mais lorsque les QR codes sont affichés dans un établissement ou dans l’espace public, il est conseillé de prêter attention à l’url intégrée. Vous avez effectivement la possibilité d’effectuer des recherches rapides sur l’établissement afin de s’assurer que l’adresse web derrière le QR code est la vraie.

Lire aussi : 6 étapes pour repérer et éliminer les logiciels malveillants de vos appareils