C’est une arnaque pour le moins dangereuse dont fait état l’association de consommateurs UFC-Que Choisir. Des escrocs ont en effet réussi à soutirer 1134 euros à Anne P., une utilisatrice du site Leboncoin via une arnaque redoutable au QR Code.
Concrètement, l’internaute souhaitait acheter un tour de poterie sur le site de petites annonces. Elle propose 650 euros au vendeur qui a pour nom Tigratop42. Il accepte et lui envoie un QR code à flasher. L’utilisatrice passe à l’action, et arrive sur une page de paiement sécurisé du site. Sauf qu’il s’agissait d’une imitation très ressemblante.
Elle saisit ses informations de paiement et réalise l’authentification forte via son application bancaire. Comme rien ne s’en suit, elle contacte le vendeur qui lui explique faussement qu’un autre acheteur a payé au même moment et que cela a annulé la transaction. Il lui demande de recommencer, et elle accepte de payer une deuxième et une troisième fois.
Des escroqueries en explosion
Par bonheur, sa banque a bloqué la troisième tentative de paiement, car elle a suspecté une fraude. Quant à Tigratop42, ce vendeur était particulièrement courtois et s’exprimait dans un très bon Français, selon les messages qu’a pu consulter l’UFC-Que Choisir.
Malheureusement, l’histoire se finit mal pour cette internaute qui explique : “À mon courrier les informant de l’arnaque dont je venais d’être victime, ils ont répondu que la transaction ayant eu lieu en dehors du site, ils étaient hors de cause. Leur conseil, me retourner vers ma banque pour un remboursement. Ce que j’ai fait, mais ma banque est restée tout aussi sourde à ma demande, car le processus de sécurité avait été validé“.
Aidée par l’association de consommateurs, elle a toutefois décidé de porter plainte afin d’obtenir gain de cause. Cette mésaventure d’Anne P. n’est clairement pas un fait isolé. Il y a quelques semaines, nous vous parlions en effet de la montée en puissance du quishing.
Cette variante du phishing repose toujours sur l’idée de se faire passer pour un interlocuteur authentique dans le but de vous soutirer vos données personnelles ou directement de l’argent. Mais, au lieu de vous contacter par SMS ou par e-mail, l’acteur malveillant s’appuie sur un QR Code que l’on peut trouver partout.
La menace est d’autant plus pernicieuse que “ces adresses auraient semblé légitimes à quelqu’un qui aurait inspecté le lien avant de se rendre à la destination. Dernièrement, on a constaté une augmentation du nombre de ce type de courriels d’hameçonnage. Ils visent à amener les victimes sur des sites infestés de logiciels malveillants ou sur des sites d’hameçonnage pour obtenir des informations d’identification”, rapportait Malwayrebytes dans un rapport récent.
Il faut donc redoubler de vigilance lorsque l’on utilise un QR Code, et notamment regarder avec attention les URL affichées qui contiennent souvent de subtiles différences avec les URL officielles.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
