Menaces à la sécurité
Avec l’avènement des appareils mobiles et la facilité d’accès au réseau Internet, les consommateurs effectuent de plus en plus d’opérations bancaires de manière virtuelle. Les paiements de factures, la gestion des comptes, les transferts financiers et la vérification des investissements s’effectuent désormais derrière un écran.
Une multiplication des opérations en ligne équivaut également à une augmentation des risques d’être exposé à une tentative de cyberattaque; les cybercriminels y voient un bon moyen d’obtenir l’accès aux comptes personnels des usagers. À titre d’exemple, ils n’hésiteront pas à leur envoyer des courriels avec des logiciels espions comme pièce jointe, à les rediriger vers de faux sites Web ou à communiquer avec eux au nom d’une institution bancaire de confiance.
Le meilleur moyen de se protéger est de rester vigilant et de savoir reconnaître de telles tentatives de fraude. L’information suivante permettra de mieux se prémunir pour contrer les principales menaces.
- L’hameçonnage
Qu’est-ce que l’hameçonnage ?
L’hameçonnage consiste à faire parvenir un courriel non sollicité à un grand nombre de destinataires, afin que certains commettent un acte qui compromet la sécurité de leurs informations.
Les techniques d’hameçonnage sont variées et en constante évolution. Les exemples les plus communs sont les suivants:
- le courriel contient un lien vers un site qui infecte l’ordinateur;
- le courriel amène l’utilisateur sur un faux site sécurisé qui ressemble à un site légitime, avec les mêmes logos ou la même présentation du contenu, mais qui enregistre les informations entrées par l’utilisateur afin de les voler;
- le courriel contient une pièce jointe avec un virus ou un autre type de logiciel malveillant qui infecte l’ordinateur et vole les informations;
- le courriel incite le destinataire à entrer en contact avec des fraudeurs qui se présentent sous une fausse identité.
Les courriels malveillants peuvent parfois causer des torts simplement s’ils sont ouverts, mais la majorité nécessite que le destinataire accomplisse une action. Les utilisateurs avertis savent reconnaître ces courriels malintentionnés et évitent ainsi de tomber dans le piège.
Comment reconnaître les stratagèmes d’hameçonnage ?
Comme son nom le dit, par analogie avec la pêche, l’hameçonnage s’effectue avec un hameçon et un appât. Il s’agit donc de reconnaître le stratagème d’appât pour éviter de mordre à l’hameçon.
Pour accrocher leurs victimes à l’hameçon et leur faire commettre l’acte qui compromet la sécurité de leurs informations, les courriels frauduleux utilisent des méthodes éprouvées dont:
- déclencher une réaction impulsive du destinataire face à une situation d’urgence;
- présenter un problème qui doit être résolu par des actions que le destinataire ne ferait pas en temps normal;
- générer un sentiment d’insécurité chez le destinataire qui l’entraine à agir pour se protéger;
- faire appel à la curiosité du destinataire en fournissant peu d’informations et en misant sur les gestes d’une personne qui cherche à en savoir plus.
En plus de savoir reconnaître la technique utilisée pour inciter la victime à mordre à l’hameçon, il est possible de déceler des indices dans la présentation des courriels frauduleux :
- le courriel est adressé de manière générale plutôt qu’en nommant le destinataire;
- la syntaxe des phrases est douteuse et l’énoncé comprend des fautes d’orthographe;
- les logos ressemblent aux originaux, mais peuvent être légèrement différents ou disposés de manière étrange dans le courriel;
- les noms des sites et des adresses du courriel ne sont pas ceux du site d’où il prétend être envoyé. Par exemple, il peut être écrit « BanquueLaurentionne.ca » au lieu de « Banquelaurentienne.ca ».
Quoi faire si l'on croit avoir reçu un courriel frauduleux ?
- Résister
- Ne pas répondre au courriel.
- Ne pas cliquer sur un lien.
- Ne pas ouvrir une pièce jointe du courriel.
- Ne jamais communiquer ses renseignements personnels.
La banque peut communiquer avec les clients par message texte, par courriel ou par téléphone, mais elle ne leur demande jamais de lui donner des renseignements personnels, comme le numéro de leur carte de crédit, leur numéro d’identification personnel (NIP) ou le mot de passe de leur compte en ligne. En cas de doute, les clients doivent communiquer avec la banque à une adresse électronique ou à un numéro de téléphone qu’ils savent légitimes.
- Signaler
Considérer ce type de courriel comme un pourriel et le signaler à son service de messagerie électronique. Par contre, en cas de doute ou de soupçon de tentative de fraude dirigée contre son compte, contacter le service de prévention de la fraude.
- Supprimer
Supprimer le courriel de sa boite de réception et de ses éléments supprimés.
Pour plus d'informations sur l'hameçonnage
https://cba.ca/email-fraud-phishing?l=fr
http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/vds/phshng-fra.aspx
+ Le harponnage
Qu’est-ce que le harponnage ?
À la différence de l’hameçonnage, le harponnage vise un individu en particulier au lieu d’un grand groupe de personnes. Ainsi, la victime potentielle reçoit un courriel personnalisé, généralement d’une compagnie connue du grand public, adressé à son nom et lui demandant de suivre un lien ou de confirmer des informations personnelles.
Il arrive fréquemment que les cybercriminels ciblent une personne clé dans une organisation (un employé du service des finances ou du département de la comptabilité par exemple) et lui envoient un message en prenant l’identité d’un haut dirigeant de cette organisation. Ce dirigeant demandera alors à l’employé d’effectuer une opération douteuse ou de lui transmettre des informations sensibles.
Une forme fréquente de harponnage est l'arnaque de paiement en trop. Avec la popularité grandissante des sites d’achat en ligne entre particuliers (Kijiji, ebay, etc.), les criminels y ont vu une opportunité de profiter des gens les moins vigilants.
L’arnaque de paiement consiste à faire payer un montant en trop à la personne qui vend son bien; en effet, l’acheteur (l’arnaqueur) fait une offre d’achat par courriel au vendeur en payant un montant trop élevé. Il prétendra généralement que cette différence est attribuée aux frais en tout genre (douanes, livraison, etc.) ou qu’elle a été payée simplement par erreur. L’acheteur demandera donc au vendeur de lui restituer cette somme ou de la verser à un tiers pour la récupérer.
Une fois la somme payée, le vendeur apprendra généralement que le chèque de l’acheteur est sans provision, et qu’il a, de ce fait, donné à l’acheteur une partie de son argent personnel.
Comment reconnaître les signes de harponnage ?
Comme l’hameçonnage, certains signes peuvent apparaître dans la présentation du courriel :
- courriel adressé de manière douteuse (ex. : un « M. » au lieu de « Mme. »);
- directive qui indique d’aller sur un lien sans que cela soit nécessaire à l’opération;
- ton du courriel qui ne correspond pas à l’institution ou à la personne;
- présence d’un fichier de style « .zip ».
Il est possible de se protéger d’une arnaque de paiement en posant les gestes suivants lors d’une transaction en ligne :
- ne jamais accepter de recevoir un montant supérieur à celui de la vente;
- demander systématiquement les informations complètes de l’acheteur (nom, adresse, numéro de téléphone);
- exiger un chèque certifié;
- ne jamais effectuer un virement de fonds directement à l’acheteur.
Quoi faire si l’on croit avoir reçu un courriel de harponnage ?
Lorsque l’on soupçonne la réception d’un courriel frauduleux personnalisé, les mêmes techniques de prévention sont préconisées : résister, signaler, supprimer. Se référer à la section Hameçonnage.
Pour plus d’informations sur le harponnage
https://www.cba.ca/three-telltale-signs-the-email-you-just-received-is-a-scam?l=fr
+ Les programmes malveillants
Qu’est-ce qu’un programme malveillant ?
Les programmes malveillants, ou « malgiciels, malware » peuvent aujourd’hui prendre plusieurs formes. Ils incluent les virus, les rançongiciels, les chevaux de Troie, les espions de clavier, etc. Dans tous les cas, ces programmes sont installés à l’insu de l’usager et cherchent à compromettre la sécurité de ses données. Ils proviennent habituellement de :
- sites Web malveillants visités par mégarde ou en cliquant sur un lien;
- pièces jointes à des courriels non sollicités, des pourriels;
- logiciels téléchargés en ligne et qui n’ont pas été produits par une firme reconnue.
Comment reconnaître un programme malveillant ?
La plupart des programmes malveillants provoquent des symptômes qu’il est possible de reconnaître et donc de savoir si son ordinateur ou son appareil mobile est infecté, notamment :
- ralentissement du fonctionnement habituel de l’ordinateur;
- réponse tardive aux commandes;
- redirection du fureteur vers des pages Web non choisies et apparition de nombreuses fenêtres publicitaires difficiles à fermer;
- changement de l’image de fond d’écran ou affichage de messages de notification demandant de fournir des informations personnelles et, souvent, de faire un paiement pour retrouver l’usage normal de l’ordinateur.
Quoi faire si l’on doute que son ordinateur soit infecté par un logiciel malveillant ?
- Résister
Si le logiciel malveillant demande des informations, invite à cliquer sur un lien ou exige un paiement, il ne faut pas donner suite à ces propositions. Agir en fonction des demandes du malgiciel pourrait aggraver la situation.
- Nettoyer
L’ordinateur infecté par un ou plusieurs programmes malveillants doit être nettoyé afin d’en retrouver l’utilisation sécuritaire. Pour ce faire, vous pouvez :
- utiliser des logiciels reconnus contre les virus et les malgiciels;
- utiliser des outils de nettoyage contre des malgiciels particuliers;
- faire nettoyer son ordinateur par un technicien informatique.
Pour prévenir les infections par des logiciels malveillants, veuillez consulter la section Comment vous protéger.
Pour plus d’informations sur les programmes malveillants
https://cba.ca/ransomware?l=fr
https://www.pensezcybersecurite.gc.ca/cnt/rsrcs/cmpgns/cmpgn-07/tps-fr.aspx
+ Les réseaux sociaux
Quels risques les réseaux sociaux présentent-ils ?
L’utilisation quotidienne de plusieurs plateformes de réseaux sociaux par les usagers en fait des cibles de choix pour les cybercriminels. En effet, les gens y communiquent parfois des informations personnelles, en croyant les partager simplement avec leurs amis ou leurs relations. Les usagers imprudents s’exposent donc à des tentatives de cyberattaque.
Comment éviter de se rendre vulnérable sur les réseaux sociaux
- Être discret
Il est essentiel de toujours faire attention à ce que l’on expose sur son profil, puisqu’un criminel pourrait utiliser ces renseignements pour procéder à un vol d’identité :
- Ne jamais afficher de numéros de téléphone, adresse, date de naissance avec année ou autres renseignements personnels;
- Ne jamais partager ses renseignements bancaires, pas même le nom de sa banque.
- Accepter seulement ses connaissances
Utiliser son jugement avant d’ajouter des « amis » à son réseau fait également partie des bonnes pratiques, car on ne sait jamais qui se cache derrière un compte en ligne. Un nouvel « ami » pourrait être un criminel qui cherche à soutirer des renseignements personnels ou financiers.
- Vérifier qui peut consulter son profil
La vérification des paramètres de sécurité et de protection des renseignements personnels du site de réseautage social devrait être faite de façon régulière. Il ne faut pas simplement accepter les paramètres par défaut, qui autorisent en général un plus large accès que ce que l’on souhaite.
- Se renseigner sur les politiques de confidentialité
Consulter avec soin la politique du site en matière de protection des renseignements personnels peut s’avérer utile. Il faut s’assurer qu’aucune clause n’autorise le réseau social à utiliser l’information affichée sur le site, car il pourrait alors, par exemple, vendre des adresses de courriel ou d’autres renseignements.
Pour plus d’informations sur les risques associés aux réseaux sociaux
https://www.cba.ca/staying-safe-online?l=fr
https://www.pensezcybersecurite.gc.ca/cnt/rsks/nln-ctvts/scl-ntwrkng-fr.aspx
+ Le vol d’identité
Qu’est-ce que le vol d’identité?
Le vol d’identité a lieu lorsqu’une personne obtient et utilise, à l’insu et sans le consentement de la personne concernée, ses renseignements personnels à des fins criminelles.
Comment le reconnaître ?
- On ne reçoit plus son courrier ou on est surpris d’apprendre qu’un changement d’adresse a été effectué à son compte.
- On reçoit des relevés de comptes qu’on ne reconnaît pas.
- On constate des transactions non autorisées sur ses relevés de cartes de crédit ou ses comptes bancaires.
- On reçoit des appels de recouvrement pour des dettes non reconnues.
Que faire si l’on est victime d’un vol d’identité ?
L'on doit contacter le service de prévention de la fraude
Pour plus d’informations sur le vol d'identité
https://cba.ca/identity-theft-can-happen-to-anybody-learn-how-to-protect-yourself?l=fr
http://www.pensezcybersecurite.gc.ca/cnt/prtct-yrslf/prtctn-dntty/index-fr.aspx
Pour vous aider à mieux vous protéger, consultez la section « Comment vous protéger ».