Qui n’a jamais reçu ou entendu parler de ce fameux courriel provenant d’un Prince nigérien qui requiert notre assistance immédiate en échange d’une somme d’argent hautement alléchante?
Ce courriel est l’une des plus anciennes escroqueries sur Internet.
Aujourd’hui, ce courriel peut nous sembler bien risible, mais les pirates informatiques ne se sont pas limités à des scénarios aussi farfelus.
Les pratiques d’hameçonnage sont de plus en plus difficiles à identifier et peuvent tromper les plus vigilant.es d’entre nous.
Dans tous les cas, on tente d’extirper des données sensibles de la victime sous un prétexte frauduleux. Les méthodes et les moyens sont variés. Mais les connaître, c’est déjà commencer à s’en protéger !
Voici quelques-unes des techniques utilisées :
Le clonage : gare aux sosies!
Cette technique fait référence aux courriels qui, à première vue, semblent identiques à ceux que vous recevez déjà provenant de vos institutions de confiance ou de vos collègues.
Dans ce cas-ci, l’internaute reçoit un courriel somme tout banal, dans lequel on a peut-être remplacé la pièce jointe par un logiciel malveillant, inséré un lien frauduleux, ou un lien qui vous redirige vers un site web qui ressemble de toute pièce à celui de votre institution bancaire…
Berné par un sosie, l’internaute vient de télécharger un logiciel malveillant, ou même de partager ses renseignements personnels à des escrocs!
L’hameçonnage téléphonique (ou phishing)
Cette technique consiste à appeler ou à envoyer un texto en se faisant passer pour une institution bancaire, parfois la police ou les impôts.
Les escrocs misent souvent sur l’urgence et la gravité de la situation et prétendent que vous faites face à un gros problème et que vous devez immédiatement les contacter.
Parfois, au contraire, on vous annonce une bonne nouvelle, comme un remboursement d’impôt ou que vous avez gagné un concours.
Pendant la pandémie, les escrocs se sont même fait passer pour les programmes d’aide tels que la PCU.
Puis, sous prétexte de vous amener à réclamer votre argent ou votre prix, vous devez cliquer sur un lien malveillant ou vous connecter à votre banque… et voilà vos données capturées!
De plus en plus couramment, les pirates informatiques se servent de compagnies très populaires pour lesquelles vous avez fort probablement un compte tels que Netflix ou Amazon.
Un texto vous avise, par exemple, que votre compte a été piraté et on vous demande de confirmer vos informations personnelles.
Ces subterfuges sont trop souvent très persuasifs!
Le harponnage : étudier pour mieux tromper
Le harponnage cible un individu en particulier.
On tente de leurrer une personne clé, tel que quelqu’un de haut placé dans une entreprise ou au gouvernement.
Dans ce cas-ci, les escrocs prennent le temps d’étudier leur victime en collectant les informations disponibles sur internet et les réseaux sociaux (intérêts, poste dans l’organisation, réseau de contacts…).
Puis, un courriel qui selon toute apparence est légitime est envoyé à la victime. L’expéditeur.ice se fait passer pour une personne ou une organisation que la victime connait et lui demandant de faire quelque chose d’inhabituel : produire une facture, partager les identifiants de connexion, cliquer sur un lien pour valider ses informations…
Les escrocs peuvent même échanger plusieurs courriels avec la victime dans le but de gagner sa confiance.
Une fois la brèche ouverte, les pirates ont le loisir d’accéder aux données sensibles de toute l’entreprise !
Ceci peut entraîner des répercussions catastrophiques. En 2020, les Canadiens y ont laissé 14,4 millions de dollars.
Avez-vous déjà été victime d’une de ces cyber escroqueries? Rassurez-vous, vous n’êtes pas seul.es.
Malheureusement, nous sommes beaucoup à nous faire berner.
41% des Canadien.es estiment improbable que leurs renseignements personnels soient à risque lorsqu’ils sont en ligne. Et pourtant, lors d’un test, 19.8% des participant.es ont cliqué sur le lien d’hameçonnage envoyé par courriel, et 14.4% ont téléchargé le document inclus dans la page Web de la simulation d’hameçonnage.
Alors, comment faire pour déceler le vrai du faux? Comment faire preuve de cybervigilance?
Les organisations sont prévisibles et calmes
Souvenez-vous des méthodes de communication habituellement utilisées par les institutions avec lesquelles vous faites affaire, toute communication différente de d’habitude est fort probablement malveillante.
Supprimez le message et bloquez le numéro.
Si vous n’êtes pas convaincus qu’il s’agisse d’une escroquerie, communiquez avec l’institution en question par un autre moyen et posez la question directement à un.e responsable.
Méfiez-vous des pièces jointes!
N’ouvrez jamais les pièces jointes attachées à des courriels non sollicités et ne cliquez jamais sur des liens provenant de sources douteuses ou non vérifiables.
En cas de doute, vérifiez!
Si vous croyez qu’il s’agit peut-être d’une demande légitime et que vous souhaitez consulter le site web qu’on vous envoie, retranscrivez manuellement l’adresse internet dans votre navigateur pour éviter de cliquer sur le lien.
Mais méfiez-vous des clones de site web!
N’inscrivez jamais d’information sensible dans un site Web qui n’est pas sécurisé. Pour le savoir, vérifiez que l’adresse URL commence par https et non http.
Ne rappelez jamais au numéro indiqué et ne répondez pas aux textos qui vous semblent louches.
Si une occasion semble trop belle pour être vrai, comme une croisière dans les Caraïbes alors que vous ne vous êtes inscrit à aucun concours, c’est très certainement faux!
Vous pensez avoir été victime de fraude en ligne?
Communiquez avec le Centre antifraude du Canada ou en téléphonant au 1 888 495-8501.
Pour aller plus loin
Canada (2021), Pensezcybersecurite.gc.ca, «Hameçonnage par message texte : Une introduction», consulté en septembre 2022, https://www.pensezcybersecurite.gc.ca/fr/blogues/hameconnage-par-message-texte-une-introduction
Canada (2021), Pensezcybersecurite.gc.ca, «Les 7 signaux d’alarme de l’hameçonnage», consulté en septembre 2022, https://www.pensezcybersecurite.gc.ca/fr/ressources/les-7-signaux-dalarme-de-lhameconnage
Canada (2021), Pensezcybersecurite.gc.ca, «Harponnage : ce que c’est et comment s’en protéger?», consulté en septembre 2022, https://www.pensezcybersecurite.gc.ca/fr/blogues/harponnage-ce-que-cest-et-comment-sen-proteger
Alwarebytes, “Hameçonnage”, consulté en septembre 2022, https://fr.malwarebytes.com/phishing/
Avant de cliquer, «Comment se protéger de l’hameçonnage?», consulté en octobre 2022, https://avantdecliquer.com/comment-proteger-hameconnage-phishing/
Banque Nationale (2019), «Comment se protéger contre le hameçonnage? Être plus malin que les cybercriminels», consulté en octobre 2022, https://www.bnc.ca/particuliers/conseils/securite/se-proteger-hameconnage.html
Canada (2022), Pensezcybersecurite.gc.ca, «À l’école de l’hameçonnage, Gouvernement du Canada», consulté en septembre 2022, https://www.pensezcybersecurite.gc.ca/fr/blogues/lecole-de-lhameconnage