Nouvelles

Nov 13, 2023

Codes QR utilisés dans de faux tickets de stationnement, enquêtes pour voler votre argent

Alors que les codes QR continuent d'être largement utilisés par des organisations légitimes, de Super

Alors que les codes QR continuent d'être largement utilisés par des organisations légitimes, des publicités du Super Bowl à l'application des frais de stationnement et des amendes, les escrocs se sont glissés pour abuser de la technologie même à leurs fins néfastes.

Une femme à Singapour aurait perdu 20 000 $ après avoir utilisé un code QR pour remplir un "sondage" dans un magasin de thé à bulles, alors que des cas de fausses citations de parking avec des codes QR ciblant les conducteurs ont été observés aux États-Unis et au Royaume-Uni.

Une femme basée à Singapour a perdu 20 000 $ à cause d'une arnaque furtive après avoir visité un magasin de thé à bulles.

La femme de 60 ans qui n'a pas été nommée a vu un autocollant sur la porte vitrée du magasin de thé à bulles encourageant les visiteurs à scanner un code QR et à remplir un sondage pour une "tasse de thé au lait gratuite".

Pour une personne moyenne et même assez avertie sur le plan technique, cela seul ne peut pas soulever des drapeaux rouges étant donné que les programmes de fidélité et de récompenses vantent souvent de telles offres et utilisent des codes QR pour le faire.

"Séduite par ce qui semblait être une bonne affaire, la femme de 60 ans a scanné le code QR sur l'autocollant et téléchargé une application tierce sur son téléphone Android pour répondre à l'"enquête"", rapporte Straits Times.

Alors qu'elle se couchait le soir, son téléphone s'est soudainement allumé. La fausse application "d'enquête" qu'elle avait téléchargée a détourné 20 000 $ de son compte bancaire.

M. Beaver Chua, responsable de la lutte contre la fraude au sein du département de conformité de la criminalité financière du groupe OCBC Bank, qui a relayé la nouvelle de la victime aux médias locaux, qualifie l'arnaque de particulièrement "insidieuse".

"Cette escroquerie est si insidieuse parce que les escrocs prennent le contrôle du téléphone de la victime. Et parce que les victimes perdent le contrôle de leur compte bancaire sur Internet, elles ne sauront même pas quand leurs économies auront été complètement anéanties", explique M. Chua.

Il convient de noter que l'application malveillante téléchargée par la victime demande à l'utilisateur d'autoriser l'accès au microphone et à la caméra du téléphone, en plus du service d'accessibilité Android, une fonctionnalité Android pour aider les utilisateurs ayant des besoins particuliers, qui permet également à une application de contrôler l'écran du téléphone.

L'escroc surveille alors passivement l'utilisation de l'application bancaire mobile de la victime et note tous les identifiants de connexion saisis par l'utilisateur au cours de la journée.

Toutes les autorisations susmentionnées, une fois acquises, permettent aux pirates d'espionner leur victime et d'attendre le bon moment, par exemple à l'heure du coucher, lorsqu'ils peuvent mener leurs activités malveillantes tout en passant inaperçus.

"Bien que les escroqueries par logiciels malveillants ne soient pas particulièrement nouvelles, les escrocs deviennent de plus en plus innovants", déclare M. Chua.

"Outre les bannières contextuelles de sites Web, qui sont les plus courantes, coller de faux codes QR à l'extérieur des établissements de restauration est un autre moyen astucieux d'attirer les victimes, car les consommateurs peuvent ne pas être en mesure de faire la différence entre les codes QR légitimes et malveillants."

L'année dernière, la police de Singapour a averti les citoyens que des escrocs utilisaient à mauvais escient le système d'identité numérique Singpass qui utilise des codes QR. Les fraudeurs demanderaient aux victimes de remplir de fausses enquêtes, puis de scanner un code QR Singpass via l'application officielle Singpass, dans le cadre du "processus de vérification" avant que les victimes ne puissent échanger des récompenses monétaires.

"Cependant, le code QR Singpass fourni par les escrocs était une capture d'écran prise à partir d'un site Web légitime, et en scannant le code QR et en autorisant la transaction sans autre vérification, les victimes ont involontairement donné aux auteurs l'accès à certains services en ligne", déclare l'avertissement de la police.

Pendant ce temps, des cas d'escrocs laissant de faux tickets de stationnement sur le pare-brise des conducteurs ont été observés aux États-Unis et au Royaume-Uni.

La semaine dernière, un utilisateur de Reddit a repéré un faux ticket de parking prétendant avoir été émis par le gouvernement de la ville de San Francisco.

"Je sais que tout le monde déteste recevoir des contraventions à San Francisco. Les escrocs deviennent de plus en plus AUDACIEUX !! Émettre de fausses contraventions de stationnement !! Pour votre information : le stationnement à SF est réglementé par la SFMTA, il n'y aura jamais de logo de ville sur une contravention ! Faites attention, si vous en avez reçu une comme celle-ci, jetez-la car le code QR est lié à votre compte bancaire", prévient l'utilisateur, qui a partagé la photo de la fausse contravention :

Fait intéressant, le billet vu le 4 mai ou avant était daté du futur (5 mai), ce qui déclencherait des drapeaux rouges.

Le code QR dans l'image ci-dessus mène à un lien de raccourcissement d'URL désormais désactivé : hxxps://qr.link/g43phs

Le lien redirige prétendument le visiteur vers hxxps://sfmta-project.vercel.app, un site Web illicite qui copie l'apparence du site Web officiel de la SFMTA (San Francisco Municipal Transportation Agency) pour paraître plus convaincant.

KRON4, une chaîne de télévision basée à San Francisco qui a confirmé avec SFMTA que la citation était fausse, a expliqué [1, 2] comment la configuration du site Web imitateur par les acteurs de la menace (à gauche) est presque identique au site Web réel (à droite).

Les internautes ont également rapidement observé que le faux site Web utilisait le formulaire de paiement Web de Square pour traiter les transactions frauduleuses. Les domaines illicites en question et le compte Square ont depuis été désactivés.

"La deuxième fois que nous avons vu cela. La dernière fois, il s'agissait de codes QR malveillants sur les parcmètres au Texas", a écrit le journaliste Kim Zetter, faisant référence à l'arnaque en question.

"Cette fois, les voleurs de San Fran laissent de faux tickets de stationnement sur des voitures avec des codes QR malveillants qui, une fois scannés, amènent les téléphones portables sur un faux site Web pour payer une amende."

En cas de doute, les clients doivent vérifier une citation de stationnement ou une correspondance juridique sur les sites Web officiels des organismes gouvernementaux. Par exemple, la SFMTA a une page Web dédiée sur le site Web de sa ville pour rechercher les citations et les amendes émises par l'agence.

Ironiquement, la véritable page Web de la SFMTA conduit finalement l'utilisateur à son portail de citations de stationnement hébergé sur un domaine tiers : wmq.etimspayments.com, ce qui ne la distingue pas nécessairement davantage d'un site Web illicite créé par un acteur malveillant.

Les gouvernements locaux britanniques, y compris le conseil de l'île de Wight, ont également averti les résidents de se méfier des codes QR qu'ils trouvent et qui peuvent être déguisés en option de parcomètre "à paiement rapide". "Les gens scannent le code et saisissent les informations de leur carte de crédit en pensant qu'ils paient pour l'espace, mais à la place, cela les dirige vers un faux site Web où les escrocs capturent leurs détails de paiement", explique l'avis.

"Un automobiliste s'est récemment fait retirer de l'argent de son compte bancaire après avoir tenté de payer pour se garer à Sandown en utilisant un faux code QR collé sur la machine. Il a ensuite été mis au courant de la fraude par sa société de carte de crédit."

Le conseil a depuis pris des mesures pour vérifier les parcmètres pour tout QR frauduleux placé autour d'eux et déclare que ses machines n'offrent pas actuellement de paiements via des codes QR.

Le service de crypto-phishing Inferno Drainer escroque des milliers de victimes

Le compte Twitter de KuCoin piraté pour promouvoir une arnaque cryptographique

Les Australiens ont perdu un record de 3,1 milliards de dollars à cause d'escroqueries l'année dernière