Cliquer sur un QR code peut sembler anodin, mais cela présente plusieurs dangers potentiels, surtout si l'origine du QR code est inconnue ou non fiable. Voici quelques-uns des risques les plus courants.

1. Phishing et ingénierie sociale : Un QR code peut rediriger vers un site web frauduleux conçu pour ressembler à un site légitime. L’utilisateur peut être incité à entrer des informations sensibles comme des identifiants, des mots de passe ou des informations bancaires, tombant ainsi dans un piège de phishing. Le Service veille ZATAZ peut les retrouver dans le Dark web.

   
   

2. Téléchargement de logiciels malveillants : Certains QR codes peuvent mener à des téléchargements automatiques d’applications ou de fichiers infectés par des malwares, virus ou chevaux de Troie, compromettant ainsi la sécurité de l'appareil. Notre Service de Veille ne passe pas une journée sans retrouver les fuites de données orchestrées par ces logiciels malveillants.

   
   

3. Redirection vers un site non sécurisé : Les QR codes peuvent diriger les utilisateurs vers des sites non sécurisés (sans protocole HTTPS), augmentant le risque d'exposition aux attaques Man-in-the-Middle, où des cybercriminels peuvent intercepter des informations transmises entre l'utilisateur et le site. Le SVZ croise de très nombreuses espaces de stockage pouvant cacher des millions de données piratées et copiées.

1. Attaque via la géolocalisation : Un QR code peut déclencher des actions sur un smartphone, comme l'activation de la géolocalisation. Cela permet à des personnes malveillantes de suivre les mouvements de l'utilisateur à son insu. Il n'est pas rare que le la veille de ZATAZ croise d'autres informations que celles demandées par nos clients, comme les géolocalisations, les photos, les urls exploités, Etc.

1. Exploitation des permissions du téléphone : Lors du scan d'un QR code, il peut être demandé d'autoriser certaines actions sur le smartphone, comme l'accès à l'appareil photo, au microphone, ou aux contacts. Si ces autorisations sont accordées sans discernement, elles peuvent être exploitées par des hackers malveillants.

1. Fraude financière : Un QR code peut rediriger vers des systèmes de paiement falsifiés ou usurper l'identité de marchands légitimes pour détourner des fonds, notamment via des applications de paiement en ligne. En 2023, nous avons trouvé et pu mettre la main sur plus de 150 sites de phishing (hameçonnage) se faisant passer pour des banques, des FAI, des boutiques, et surtout nous avons alerter les personnes dont les données étaient sauvegardées par les pirates dans les sites d'hameçonnages en question.

Pour éviter ces risques

• Ne scanner que les QR codes provenant de sources fiables.

• Utiliser une application de sécurité pour scanner les liens avant d'y accéder.

• Vérifier l'URL après le scan avant de cliquer dessus.

• Activer un antivirus ou un logiciel de sécurité sur votre appareil.

  
  

Dans le contexte professionnel, ces attaques basées sur les QR codes sont une variante moderne de méthodes de Social Engineering.