Ne mordez pas à l’hameçon !

Écrit par Matthew Braga

Le jeudi 11 mars 2021

Des emplois inexistants, de faux commerces en ligne, de la fraude Bitcoin et plus encore. Voici comment vous protéger contre les arnaques d’aujourd’hui.

Glennys Egan parlait avec ses parents sur Zoom lorsqu’elle a reçu un message texte d’un numéro qu’elle ne reconnaissait pas.

« Je l’ai ouvert et ça me disait : "Vous avez des droits de douane à payer pour le colis qui vous sera livré" », se souvient Egan, 31 ans.

Avant la pandémie, cela lui aurait peut‑être mis la puce à l’oreille. Elle se serait peut‑être méfiée davantage. Mais comme bon nombre de personnes qui n’ont nulle part où aller et pas grand‑chose à faire chez elles, Egan achetait beaucoup plus de choses en ligne. Il était donc probable qu’un colis était en route, s’est‑elle dit. L’un de ses cadeaux de Noël avait pris du retard et elle avait déjà dû payer des droits de douane sur quelques articles. Rien d’étonnant alors à ce qu’elle doive en payer encore une fois.

Elle a donc cliqué sur le lien et s’est mise à remplir un formulaire. « Ce n’était pas trop différent des courriels officiels que je recevais de DHL », raconte Egan. Elle a saisi ses données de carte de crédit, cliqué sur « Envoyer » et puis… rien. Bizarre. Elle s’est essayée à nouveau, et peut‑être même une troisième fois, avant de se rendre compte que quelque chose clochait avec le site. Et c’est alors que la banque d’Egan l’a appelée pour lui dire qu’il y avait eu une activité inhabituelle sur sa carte. Le déclic s’est produit; Egan avait été victime d’hameçonnage. « Honnêtement, sans ce coup de fil, ça ne me serait pas venu à l’esprit », confie‑t‑elle.

N’importe qui peut se faire avoir par des fraudeurs

La banque d’Egan a annulé sa carte et lui a remboursé son argent, et en fin de compte, la situation n’a pas été très grave. Mais le fait même qu’elle ait été trompée était un peu gênant, admet‑elle.

Egan se considère comme assez futée côté technologie : elle utilise un gestionnaire de mots de passe, l’authentification multifacteurs pour ses comptes et est en général prudente avec ses renseignements financiers. Mais elle travaille aussi de la maison au beau milieu d’une pandémie, est entourée d’écrans, passe beaucoup de temps en ligne, est inondée de messages et est un peu plus distraite que d’habitude — précisément le genre de circonstances inhabituelles que les criminels ont compris qu’ils pouvaient exploiter.

Les malfaiteurs d’Egan savaient que beaucoup de gens étaient dans le même bateau qu’elle : incapables de se rendre au magasin, en attente de la livraison de ce qu’ils avaient commandé en ligne, réceptifs à un message pertinent envoyé juste au bon moment.

La pandémie mondiale : un leurre très efficace

Les arnaques et les fraudes ne changent pas beaucoup d’une année à l’autre. Ce qui change, ce sont les leurres utilisés par les malfaiteurs pour embobiner leurs victimes : appels, messages, applis et sites Web spécialement conçus par des criminels avertis pour exploiter les peurs, les angoisses et les désirs du moment.

Rien d’étonnant à ce que les circonstances créées par une pandémie mondiale se soient révélées être un leurre très efficace. Depuis le début de la pandémie, le Centre antifraude du Canada estime que près de 10 000 Canadiens ont été victimes de fraudes liées à la COVID‑19, causant plus de 7 millions de dollars en pertes (pour mettre cela en contexte, le New York Times a rapporté l’automne dernier que les Américains avaient été fraudés pour plus de 145 millions de dollars [en anglais]). Au cours de la même période, le Centre canadien pour la cybersécurité a révélé à CBC News (en anglais) que plus de 4 000 faux sites Web, courriels et applis du « gouvernement canadien » avaient été mis hors ligne.

Ryan Singh, gestionnaire principal de l’équipe des fraudes chez Tangerine, explique que les faux appels de l’Agence du revenu du Canada (ARC) ont augmenté ces derniers mois — ceux qui proposent une aide financière ou qui exigent le règlement d’une dette. Vous avez probablement reçu au moins quelques‑uns de ces appels ces dernières années, mais la pandémie n’a fait que les rendre plus convaincants, « notamment en s’attaquant aux craintes des gens concernant la PCU et le fait de devoir la rembourser », explique Singh.

L’ARC précise qu’elle n’enverra pas de messages au sujet de demandes, de paiements ou de remboursements par message texte ou par courriel.

Les mises à pied et les préoccupations relatives à l’insécurité financière ont également entraîné une augmentation des arnaques d’emplois fictifs (en anglais), où des fraudeurs exploitant des entreprises fictives embauchent des personnes pour des emplois qui n’existent pas, dans le but de voler de l’argent et des renseignements personnels. Singh explique que dans l’un de ces cas, des personnes ont reçu des offres d’emploi et on leur a demandé d’envoyer un chèque pour du matériel informatique. « Elles le faisaient et ne recevaient jamais le matériel informatique », précise‑t‑il.

Arnaques liées au travail à domicile

Les malfaiteurs ont tenté d’exploiter le fait que de nombreux Canadiens passent la plupart de leur temps à la maison, se servant d’informations liées aux consignes de rester à la maison, aux politiques de travail à domicile, à l’expiration des abonnements à Netflix ou aux fausses notifications de livraison comme leurres. « Si certains nouveaux produits sont particulièrement difficiles à obtenir en période de pandémie, les arnaqueurs peuvent profiter de notre désir de les obtenir », explique Yuan Stevens, responsable des politiques en matière de technologie, de cybersécurité et de démocratie au laboratoire de leadership de l’Université Ryerson (Ryerson Leadership Lab), évoquant l’afflux d’arnaques promettant de nouvelles consoles Xbox et PlayStation (en anglais), actuellement très convoitées. Au plus fort de l’activité en avril dernier, Google rapportait (en anglais) 18 millions de courriels malveillants et d’hameçonnage par jour liés à la COVID‑19.

Et cela semble fonctionner. Selon une étude (en anglais) de Sift, une société spécialisée dans la prévention des fraudes, les prises de contrôle de comptes ont augmenté de 282 % par rapport à l’année précédente lors de la première vague de la pandémie. Les prises de contrôle de comptes se produisent lorsqu’une personne parvient à accéder à un compte sans autorisation en utilisant des renseignements d’identification volés lors d’une attaque d’hameçonnage ou d’une violation de données.

Les dangers de la cryptomonnaie

Florian Kerschbaum, professeur associé à l’Université de Waterloo et chef de son Institut de la cybersécurité et de la vie privée, explique qu’un autre signal d’alarme est un paiement demandé en Bitcoin — surtout si vous n’avez jamais eu recours à Bitcoin auparavant. Même s’il existe des utilisations légitimes de la cryptomonnaie, Florian affirme que Bitcoin est « très attrayant comme méthode de paiement pour les personnes qui commettent des fraudes financières », car il ne connaît pas de frontières, est instantané et relativement anonyme. La montée en flèche du prix du Bitcoin au cours de l’année dernière a été accompagnée d’une augmentation parallèle des possibilités de fraudes (en anglais).

L’hameçonnage continue d’être une fraude populaire

Il va sans dire que l’hameçonnage demeure une préoccupation constante. Les fraudeurs créent des sites Web, des messages ou même des applis malveillantes qui semblent légitimes, mais qui sont en réalité conçus pour voler des mots de passe et des renseignements personnels — exactement comme ce qui est arrivé à Egan. Au cours des douze derniers mois, les fraudeurs ont eu recours aux pénuries de désinfectants et de masques, aux essais de vaccins, aux difficultés liées aux tests et à une quête générale d’information fiable pour leurrer les gens, parfois en se faisant passer pour des représentants du gouvernement ou de la santé, ou en créant de faux sites Web. Florian ajoute qu’il y a même eu de fausses applis d’alerte de COVID‑19 qui ne sont absolument pas liées au gouvernement. « Plusieurs d’entre elles étaient des tentatives de fraude qui ne faisaient que collecter vos renseignements personnels », explique‑t‑il.

Anticiper la fraude

Chez Tangerine, Singh affirme que ces menaces émergentes ne tombent pas des nues. L’équipe des fraudes a des réunions à intervalle régulier pour discuter des arnaques émergentes, alimentées en partie par ce que les clients leur disent. L’équipe peut recueillir des témoignages à propos des arnaques émergentes et examiner les données pour en trouver d’autres preuves, comme des cas où des fonds sont transférés à une banque particulière ou des cas qui semblent cibler certains facteurs démographiques, comme l’âge ou la localité. L’équipe peut ensuite faire en sorte que ses systèmes signalent toute nouvelle activité potentiellement suspecte dont les caractéristiques sont similaires.

« L’analyse des fraudes constatées par la banque améliore en permanence l’efficacité de notre surveillance des fraudes, ce qui nous permet de protéger davantage de fonds et de clients », poursuit Singh.

Comment vous protéger ?

Si vous pensez avoir été victime d’une fraude ou d’une arnaque, restez calme. Et ne vous en voulez pas. Même les experts peuvent être trompés par un message ou un appel astucieusement conçu qui tombe à pic.

Si vous croyez avoir révélé des renseignements financiers, vous devriez tout d’abord appeler votre banque ou votre fournisseur de carte de crédit dès que possible. « Certaines personnes hésitent un peu à se manifester », affirme Singh. « Personne ne s’imagine être victime d’une fraude tant que cela ne lui arrive pas. » Mais plus tôt vous signalez une fraude potentielle, plus il sera facile d’obtenir de l’aide. Votre institution financière peut identifier votre compte comme étant compromis, vous envoyer une nouvelle carte, vous aider à changer votre mot de passe et annuler tous frais frauduleux. Dans certains cas, votre fournisseur pourrait même détecter la fraude avant vous.

Vous devez également informer les deux agences d’évaluation de crédit du Canada, Equifax et TransUnion, qui peuvent vous aider à surveiller les vérifications de crédit inattendues ou les tentatives non autorisées d’ouverture de nouveaux comptes. Vous pouvez également éviter que d’autres personnes ne soient victimes de ce genre d’arnaques en signalant le cas à votre service de police local et au Centre antifraude du gouvernement canadien.

« Si quelque chose semble trop beau pour être vrai, c’est souvent le cas », explique Singh, qui recommande de faire vos recherches, de ne répondre qu’aux messages provenant de sources connues et fiables, et d’ignorer tout ce qui semble suspect. Si une entreprise ou un organisme gouvernemental vous contacte, vous pouvez toujours les contacter vous‑même en utilisant le numéro de téléphone ou l’adresse courriel figurant sur leur site Web officiel. Méfiez‑vous aussi des demandes qui vous semblent anormalement urgentes ou qui tentent de profiter de vos craintes. « Si un courriel vous demande une action immédiate, vous devriez plutôt prendre votre temps et y réfléchir », affirme Kerschbaum, qui a lui aussi reçu sa part d’appels de l’ARC frauduleux.

Des mesures que vous pouvez prendre dès maintenant pour compliquer la tâche des fraudeurs à l’avenir :

Servez‑vous d’un gestionnaire de mots de passe. Les applis comme 1Password peuvent créer et enregistrer de longs mots de passe uniques pour chacun de vos comptes en ligne — car vous ne devriez jamais réutiliser des mots de passe — et même vous alerter lorsqu’un service que vous utilisez a été violé.

Activez l’authentification multifacteurs. Il s’agit d’une fonction de sécurité offerte par un nombre croissant de services en ligne, dont Facebook et Google, qui rend l’accès à votre compte plus difficile pour une personne qui, par le biais de l’hameçonnage, par exemple, découvre votre mot de passe.

Sachez repérer les tentatives d’hameçonnage. Soyez attentif aux fautes d’orthographe dans les liens, les noms d’utilisateur et les adresses de sites Web. Si un site ou un message semble officiel, mais que vous hésitez encore, évitez de cliquer sur les liens et essayez plutôt de vous rendre directement sur le site ou le service en question. Et réfléchissez attentivement aux renseignements que l’on vous demande. Netflix ne devrait jamais avoir besoin de votre numéro d’assurance sociale, par exemple. Vous pouvez également signaler les sites ou les messages frauduleux au Centre canadien pour la cybersécurité.

Gardez vos appareils à jour. Les applis malveillantes profitent souvent des failles de sécurité de logiciels désuets pour infecter les appareils et voler des données. Si vous activez les mises à jour automatiques des logiciels, vous disposerez toujours des toutes dernières protections de sécurité contre les applis malveillantes.

Selon les experts comme Kerschbaum, Singh et Stevens, vous pouvez prévenir la grande majorité des attaques si vous prenez ces mesures. « Plus notre vie se déroule en ligne, plus il faut se protéger », estime Stevens. Heureusement, même lorsque les criminels changent de leurres, les mesures que vous pouvez prendre pour vous protéger restent en grande partie les mêmes. Quant à Glennys Egan — qui attend toujours le colis manquant de décembre — « Je vais certainement faire plus attention avant de fournir mes données de carte de crédit où que ce soit », déclare‑t‑elle.

Partager