Escroqueries
Toujours attentifs aux nouvelles opportunités de gagner de l’argent, les fraudeurs mélangent menaces physiques et numériques pour voler les informations de paiement des conducteurs.
15 octobre 2024
•
,
5 minutes. lire
De nombreux pays et régions du monde ont adopté rapidement les voitures électriques ces dernières années. Environ 14 millions de voitures neuves ont été immatriculées rien qu’en 2023, soit une augmentation annuelle de 35 % qui porte le total mondial à plus de 40 millions. Mais les nouvelles technologies entraînent de nouvelles menaces. Toujours attentifs aux nouvelles opportunités de gagner de l’argent, les groupes criminels mélangent menaces physiques et virtuelles pour voler les informations de paiement des conducteurs.
L’une de leurs dernières astuces, repérée dans plusieurs pays d’Europe, consiste à utiliser des techniques de phishing par code QR connues sous le nom de « quishing » pour écouter ou voler les informations de paiement. En fait, ce n’est pas du tout différent des astuces qui exploitent de faux codes QR sur les parcomètres, et les conducteurs de véhicules électriques doivent faire attention à ce type de menace dans les bornes de recharge.
Qu’est-ce que le quishing et comment ça marche ?
Le phishing est l’une des techniques les plus populaires et les plus efficaces permettant aux cybercriminels d’atteindre leurs objectifs. C’est souvent un précurseur de toutes sortes de cybermenaces, liées au vol de vos informations personnelles et de vos connexions, ou à l’installation secrète de logiciels malveillants. Pourquoi ça marche si bien ? Parce qu’elle repose sur notre propension à croire ce que nous disent des personnes ou des organisations en position d’autorité.
Il existe tellement de variantes du phishing qu’il peut être difficile pour la police, les équipes de sécurité des entreprises et les agences gouvernementales de maintenir à jour leurs efforts de sensibilisation du public. Le quishing en est un bon exemple. Même si les codes QR existent depuis les années 90, c’est pendant la pandémie que la menace de l’écrasement a véritablement commencé à apparaître. En effet, les codes QR sont devenus monnaie courante dans les rues commerçantes, comme moyen plus hygiénique d’accéder à tout, des menus aux formulaires médicaux.
Les fraudeurs sont passés à l’action en collant de faux codes QR sur les vrais. Une fois analysés, ils emmènent les victimes vers un site de phishing pour récupérer leurs informations d’identification/informations ou télécharger des logiciels malveillants. Il s’agit d’une tactique particulièrement efficace car elle n’éveille pas le même niveau de suspicion parmi les utilisateurs que, par exemple, les URL de phishing. Les appareils mobiles sont également généralement moins bien protégés que les ordinateurs portables et de bureau, ce qui leur donne plus de chances de succès. Un rapport de la fin de l’année dernière a noté une augmentation de 51 % des incidents de quishing en septembre par rapport à janvier-août 2023.
Pourquoi les véhicules électriques sont-ils en danger ?
Des acteurs criminels toujours ingénieux ont désormais trouvé un moyen d’adapter leur arnaque au nouvel engouement pour les véhicules électriques qui déferle sur l’Europe. Selon des rapports provenant du Royaume-Uni, de la France et de l’Allemagne, les fraudeurs collent des codes QR malveillants en plus des codes légitimes sur les bornes de recharge publiques. Le code est destiné à diriger les utilisateurs vers un site Web où ils peuvent payer l’opérateur de la station (par exemple, Ubitricity) pour leur électricité.
Cependant, s’ils scannent le faux code, ils seront redirigés vers un site de phishing similaire qui les invitera à saisir leurs informations de paiement, qui seront ensuite récupérées par les acteurs malveillants. On prétend que le bon site se chargera à la deuxième tentative, pour garantir que les victimes puissent éventuellement payer leur charge. Certains rapports affirment également que des acteurs malveillants pourraient même utiliser une technologie de brouillage de signal pour empêcher les victimes d’utiliser leurs applications de chargement et les forcer à scanner le code QR malveillant.
Avec plus de 600 000 points de recharge pour véhicules électriques à travers l’Europe, les escrocs ont de nombreuses opportunités de surprendre les conducteurs avec de telles escroqueries. Ils profitent du fait que de nombreux propriétaires de véhicules électriques sont nouveaux dans l’expérience et sont plus enclins à scanner le code plutôt que d’essayer de télécharger l’application officielle de recharge/paiement ou d’appeler la ligne d’assistance. Avec différents fournisseurs fournissant ces stations, les escrocs peuvent également chercher à capitaliser sur la lassitude des utilisateurs. Un code QR est souvent une option plus rapide et plus attrayante que de prendre le temps de télécharger plusieurs applications de recharge.
De nombreux rapports font état d’escrocs ciblant les automobilistes via des codes QR malveillants collés sur les parcomètres. Dans ce cas, l’automobiliste involontaire risque non seulement de perdre les détails de sa carte, mais il peut également se voir infliger une amende de stationnement de la part de la municipalité.
Comment se protéger du phishing QR
Bien que les escroqueries actuelles semblent se limiter à la collecte d’informations de paiement via des pages de phishing, il n’y a aucune raison pour que les acteurs malveillants ne puissent pas modifier la menace en installant des logiciels malveillants qui détournent l’appareil de la victime et/ou lui volent d’autres identifiants et informations sensibles. Heureusement, il existe quelques mesures simples que vous pouvez prendre pour atténuer le risque d’écrasement lorsque vous êtes en déplacement :
- Regardez attentivement le code QR. Est-ce qu’il semble collé au-dessus de quelque chose d’autre, ou fait-il partie du panneau original ? S’agit-il d’une couleur ou d’une police différente du reste du panneau, ou cela semble-t-il déplacé d’une autre manière ? Cela pourrait être des signaux d’alarme.
- Ne scannez jamais un code QR à moins qu’il ne soit affiché sur le terminal de recharge/parcomètre lui-même.
- Pensez à payer uniquement via un appel téléphonique ou via l’application de recharge officielle de l’opérateur concerné.
- Pensez à désactiver l’option permettant d’effectuer des actions automatiques lors de la numérisation d’un code QR, comme visiter un site Web ou télécharger un fichier. Après l’analyse, examinez l’URL pour vérifier qu’il s’agit d’un domaine légitime associé au service, plutôt que d’une URL suspecte.
- Le site Web sur lequel le code QR vous amène présente-t-il des fautes de grammaire ou d’orthographe ou y a-t-il autre chose qui ne va pas ? Si tel est le cas, il peut s’agir d’un site de phishing.
- Si quelque chose ne semble pas correct, appelez directement l’opérateur de recharge.
- De nombreux parcomètres, par exemple, proposent plusieurs moyens de paiement, comme par carte de crédit, paiements NFC ou pièces de monnaie. Si vous n’êtes pas à l’aise avec la numérisation d’un code QR, envisagez d’utiliser l’une de ces alternatives pour éviter le risque d’interagir avec un code frauduleux.
- Si vous pensez avoir été victime d’une arnaque, gelez votre carte de paiement et signalez toute fraude potentielle à votre banque/fournisseur de carte.
- Vérifiez votre relevé bancaire pour toute transaction suspecte, si vous craignez d’avoir été victime d’un quishing.
- Utilisez l’authentification à deux facteurs (2FA) sur tous les comptes offrant une couche de sécurité supplémentaire. Cela permet de protéger votre compte même si un escroc parvient à vous rediriger vers un site Web frauduleux et à voler vos informations d’identification.
- Assurez-vous que votre appareil mobile dispose d’un logiciel de sécurité installé auprès d’un fournisseur réputé.
La nouvelle de la dernière campagne de quishing QR ne fera qu’augmenter les appels à l’interdiction des codes dans les lieux publics. Mais en attendant, il faut être prudent.