Après le livreur qui estimait que votre boîte aux lettres était trop petite, les cybercriminels ont trouvé une nouvelle façon de transformer vos colis en pièges à arnaque.
Cette fois, le colis arrive bel et bien à votre domicile, tout semble normal… à un détail près. Vous n’avez absolument rien commandé et ce paquet ressemble davantage à un cadeau tombé du ciel qu’à un achat que vous auriez réellement effectué.
Une fois l’effet de surprise passé, vous remarquez un QR code sur l’emballage. Vous le scannez, espérant en savoir plus sur l’expéditeur ou sur le contenu du colis et c’est justement que le piège se referme.
Dans un communiqué publié sur son site, le FBI alerte sur cette nouvelle vague de fraudes qui touche les États-Unis : celle des colis non sollicités, ornés de QR codes frauduleux. L’objectif est toujours le même que pour beaucoup d’arnaques en ligne : vous attirer vers un site frauduleux pour dérober vos informations personnelles et bancaires ou vous faire télécharger un malware. Pour y parvenir, les cybercriminels combinent ici deux techniques d’arnaque déjà bien connues.
Qu’est-ce que le « brushing scam » ?
Au risque de faire retomber l’euphorie ressentie à la réception du colis, la plupart des produits expédiés sont de très faible valeur. Qu’il s’agisse d’une parure en toc, d’un tote bag ou d’une barrette, le but pour les escrocs est d’obtenir un statut « vérifié » sur les plateformes de vente en ligne.
En effet, la plupart des marketplaces, comme Amazon, ne permettent de publier un « avis vérifié » que si une commande réelle a été passée et livrée à une adresse existante. Pour contourner ce système de vérification, les vendeurs peu scrupuleux créent donc un faux compte à votre nom (grâce à vos données personnelles compromises lors d’une fuite), commandent leur propre produit grâce à ce compte et l’expédient à votre domicile.
Une fois le produit arrivé, ils peuvent laisser un avis très positif, faisant croire à la plateforme et aux futurs acheteurs qu’il s’agit d’un retour authentique d’un vrai consommateur.
Qu’est-ce que le « quishing » ?
Dans de nombreuses campagnes de « brushing scam », le colis arrive sans aucun indice sur l’expéditeur, ce qui alimente la confusion et la curiosité du destinataire.
La dernière vague d’arnaques repérée par le FBI joue justement sur ce trouble : cette fois, un QR code est collé directement sur l’emballage, suggérant qu’il pourrait permettre d’en savoir plus sur l’origine du colis.
Mais en réalité, en scannant ce QR code, la victime est aussitôt redirigée vers un site frauduleux qui l’invite à fournir ses informations personnelles ou bancaires. Ainsi, d’après le FBI, ce procédé vise à « faciliter les fraudes financières » en piégeant directement les personnes intriguées par la réception du mystérieux paquet.
Ce n’est pas la première fois que le phishing via QR code, ou « quishing », fait parler de lui dans le monde des cyber arnaques. Mais la combinaison de cette technique avec celle du « brushing scam » permet désormais aux escrocs d’opérer à distance, sans prendre le risque d’être repérés lors de la pose physique de QR codes, comme c’était le cas lors d’anciennes fraudes similaires.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour de l’actu en petit comité, rejoignez la communauté Numerama sur WhatsApp !