Les codes QR sont en vogue et sont utilisés à de nombreuses fins différentes, et pas toujours légitimes, comme dans le cas de PostFinance qui a été rendu public cette semaine.
Nous avons appris cette semaine que des escrocs avaient utilisé le nom de PostFinance pour envoyer des lettres de phishing par courrier postal. Ces lettres à l’apparence officielle contenaient un code QR renvoyant à un site de phishing. Comme toujours l’objectif était de subtiliser les identifiants utilisés par les clients pour accéder à leurs services d’e-banking.
Nous connaissions déjà les techniques de diffusion par email, SMS ou autres messages courts comme sur WhatsApp par exemple. Mais pour la première fois ici, des escrocs ont investi dans du papier à lettres de qualité et payé des frais de port. Du jamais vu !
Quoi qu'il en soit, la prudence est toujours de mise lorsqu'il s’agit de scanner un code QR. Pour vous protéger, il convient de suivre les conseils suivants :
- Utilisez exclusivement des lecteurs de codes QR (applis) qui vous montrent d’abord le contenu du code et ne le traitent pas immédiatement.
- Une fois le code QR scanné, vérifiez toujours la destination du lien (nom de domaine) avant d'ouvrir la page cible.
- Ne communiquez jamais vos identifiants sur un site auquel vous êtes parvenu via un code QR.
- N’utilisez les codes QR que dans les situations où leur utilisation vous semble normale ou sans risque.
- Pour régler vos factures QR, utilisez en exclusivité l’application de votre institut financier.
- Si vous craignez avoir été victime d’une arnaque, alertez immédiatement votre institut financier.
Retrouvez ici la communication de PostFinance.