Clé à emporter
- Les codes QR sont aussi dangereux que les liens malveillants dans les e-mails.
- Ces codes contiennent des liens permettant d'ouvrir des applications, de lancer des appels téléphoniques, de partager votre position, etc.
- Protégez-vous en évitant les codes QR et en utilisant un lien à la place.
Au lieu de prendre un menu de restaurant sale à mains nues, nous nous sommes habitués à l'hygiène des codes QR. Mais ceux-ci peuvent être un peu plus sales et beaucoup plus dangereux que vous ne le pensez.
En 2015, un amateur de ketchup allemand a scanné le code QR sur sa bouteille de Heinz et a été envoyé directement sur un site porno. Cela pourrait être embarrassant, mais il y a de pires conséquences à scanner aveuglément les codes QR. Selon le service de gestion de mots de passe 1Password, les codes QR peuvent déclencher des appels téléphoniques, trahir votre emplacement, démarrer un appel téléphonique qui révèle votre identifiant d'appelant, et plus encore. Alors, que pouvons-nous faire à ce sujet ?
"Nous sommes tous devenus conditionnés à scanner un code QR pour parcourir un menu ou même payer nos factures, et les cybercriminels en profitent désormais grâce à l'utilisation de codes QR malveillants", Craig Lurey, expert en cybersécurité et co -fondateur de Keeper Security, a déclaré à Lifewire par e-mail. "Donc, ce qui peut ressembler à un code pour payer un parcomètre, et le site aura l'air incroyablement légitime, vous entrez en fait les détails de votre carte de crédit directement dans la base de données d'un voleur."
Mauvais liens
Un code QR n'est qu'un raccourci vers un lien qui peut être lu par l'appareil photo de votre téléphone, puis décodé. Nous avons tous été formés pour ne jamais cliquer sur un lien dans un e-mail, même s'il semble légitime. Mais les liens de code QR sont tout aussi dangereux et présentent le problème supplémentaire que vous ne pouvez pas voir où ils mènent tant que vous ne les avez pas scannés.
Lorsque nous pensons aux liens, nous pensons aux URL qui nous dirigent vers des sites Web. Et dans le cas du piratage porno Heinz ketchup, c'était le problème - Heinz a laissé le nom de domaine expirer, et quelqu'un d'autre l'a acheté, puis l'a chargé avec des images sales. Les URL sont dangereuses, comme l'illustre l'escroquerie par hameçonnage des parcomètres de Lurey, mais les liens peuvent faire beaucoup plus.
"L'un des plus gros problèmes est que, contrairement aux sites Web, les liens QR vers des URL raccourcies identifient rarement le nom de l'entreprise", a déclaré Monti Knode, ancien commandant du 67e groupe d'opérations cyberspatiales de l'USAF, à Lifewire par e-mail. "Une personne clique dessus et présume qu'il fournira un menu de restaurant, l'ordre du jour d'une conférence ou même un lien caritatif, et il pourrait très bien s'agir d'un site usurpé ou d'un lien malveillant qui télécharge du code sur votre ordinateur ou votre appareil mobile."
Sur nos téléphones, les liens peuvent déclencher des applications. Un lien Google Maps s'ouvre dans l'application de carte, par exemple. Les liens peuvent également déclencher des appels téléphoniques, ajouter des contacts à votre carnet d'adresses (et donc donner l'impression que les futurs appels et e-mails sont légitimes), ils peuvent partager votre position, et plus encore.
Une escroquerie ingénieuse consiste à modifier un code QR légitime existant et à l'utiliser pour rediriger les victimes. L'annonceur Robert Barrows a partagé une histoire à propos de sa pierre tombale améliorée par vidéo.
"J'ai réalisé qu'il pouvait y avoir plusieurs problèmes avec les codes QR sur les pierres tombales", a déclaré Barrows à Lifewire par e-mail. "Que se passe-t-il si l'encre du code QR se désintègre avec le temps ? Allez-vous finir par créer un lien vers un site Web totalement différent ? Que se passe-t-il si quelqu'un modifie le code QR avec un marqueur ?"
La même chose pourrait arriver avec des affiches publicitaires, des menus ou n'importe quel code QR.
Se protéger
La première étape pour vous protéger est d'être conscient. Ne scannez jamais un code QR à moins d'être certain qu'il est sûr. Ce qui signifie vraiment, ne scannez jamais un code QR.
Mais si vous devez scanner pour vous enregistrer dans un restaurant ou un bar ou afficher un menu, assurez-vous d'abord que le code n'a pas été falsifié ou recouvert d'un autocollant d'un autre code QR. Une astuce consiste à désactiver la numérisation automatique du code QR dans les paramètres de votre téléphone, si possible. Mais vraiment, la meilleure protection est d'être prudent.
« Lorsque cela est possible, tout comme pour les liens de phishing potentiels, les recommandations sont d'aller directement sur le site Web du fournisseur pour récupérer les informations que vous recherchez », a déclaré Dave Cundiff, CISO de la société de cybersécurité Cyvatar, à Lifewire par e-mail. "Dans la plupart des cas, les informations sont hébergées sur le Web et accessibles directement sur le site Web du fournisseur quelque part."
Si le lien n'est pas disponible, ne le scannez pas. C'est beaucoup moins pratique mais pas aussi gênant que de parler des jours ou des semaines face aux retombées d'un lien malveillant.