Menaces à la sécurité
Avec l’avènement des appareils mobiles et la facilité d’accès au réseau Internet, les consommateurs effectuent de plus en plus d’opérations bancaires de manière virtuelle. Les paiements de factures, la gestion des comptes, les transferts financiers et la vérification des investissements s’effectuent désormais derrière un écran.
Une multiplication des opérations en ligne équivaut également à une augmentation des risques d’être exposé à une tentative de cyberattaque; les cybercriminels y voient un bon moyen d’obtenir l’accès aux comptes personnels des usagers. À titre d’exemple, ils n’hésiteront pas à leur envoyer des courriels avec des logiciels espions comme pièce jointe, à les rediriger vers de faux sites Web ou à communiquer avec eux au nom d’une institution bancaire de confiance.
Le meilleur moyen de se protéger est de rester vigilant et de savoir reconnaître de telles tentatives de fraude. L’information suivante permettra de mieux se prémunir pour contrer les principales menaces.
- L’hameçonnage
Qu’est-ce que l’hameçonnage?
L’hameçonnage consiste à faire parvenir un courriel non sollicité à un grand nombre de destinataires, afin que certains commettent un acte qui compromet la sécurité de leurs informations.
Les techniques d’hameçonnage sont variées et en constante évolution. Les exemples les plus communs sont les suivants:
- le courriel contient un lien vers un site qui infecte l’ordinateur;
- le courriel amène l’utilisateur sur un faux site sécurisé qui ressemble à un site légitime, avec les mêmes logos ou la même présentation du contenu, mais qui enregistre les informations entrées par l’utilisateur afin de les voler;
- le courriel contient une pièce jointe avec un virus ou un autre type de logiciel malveillant qui infecte l’ordinateur et vole les informations;
- le courriel incite le destinataire à entrer en contact avec des fraudeurs qui se présentent sous une fausse identité.
Les courriels malveillants peuvent parfois causer des torts simplement s’ils sont ouverts, mais la majorité nécessite que le destinataire accomplisse une action. Les utilisateurs avertis savent reconnaître ces courriels malintentionnés et évitent ainsi de tomber dans le piège.
Comment reconnaître les stratagèmes d’hameçonnage?
Comme son nom le dit, par analogie avec la pêche, l’hameçonnage s’effectue avec un hameçon et un appât. Il s’agit donc de reconnaître le stratagème d’appât pour éviter de mordre à l’hameçon.
Pour accrocher leurs victimes à l’hameçon et leur faire commettre l’acte qui compromet la sécurité de leurs informations, les courriels frauduleux utilisent des méthodes éprouvées dont:
- déclencher une réaction impulsive du destinataire face à une situation d’urgence;
- présenter un problème qui doit être résolu par des actions que le destinataire ne ferait pas en temps normal;
- générer un sentiment d’insécurité chez le destinataire qui l’entraine à agir pour se protéger;
- faire appel à la curiosité du destinataire en fournissant peu d’informations et en misant sur les gestes d’une personne qui cherche à en savoir plus.
En plus de savoir reconnaître la technique utilisée pour inciter la victime à mordre à l’hameçon, il est possible de déceler des indices dans la présentation des courriels frauduleux :
- le courriel est adressé de manière générale plutôt qu’en nommant le destinataire;
- la syntaxe des phrases est douteuse et l’énoncé comprend des fautes d’orthographe;
- les logos ressemblent aux originaux, mais peuvent être légèrement différents ou disposés de manière étrange dans le courriel;
- les noms des sites et des adresses du courriel ne sont pas ceux du site d’où il prétend être envoyé. Par exemple, il peut être écrit « BanquueLaurentionne.ca » au lieu de « Banquelaurentienne.ca ».
Quoi faire si l'on croit avoir reçu un courriel frauduleux?
- Résister
- Ne pas répondre au courriel.
- Ne pas cliquer sur un lien.
- Ne pas ouvrir une pièce jointe du courriel.
- Ne jamais communiquer ses renseignements personnels.
La banque peut communiquer avec les clients par message texte, par courriel ou par téléphone, mais elle ne leur demande jamais de lui donner des renseignements personnels, comme le numéro de leur carte de crédit, leur numéro d’identification personnel (NIP) ou le mot de passe de leur compte en ligne. En cas de doute, les clients doivent communiquer avec la banque à une adresse électronique ou à un numéro de téléphone qu’ils savent légitimes.
- Signaler
Considérer ce type de courriel comme un pourriel et le signaler à son service de messagerie électronique. Par contre, en cas de doute ou de soupçon de tentative de fraude dirigée contre son compte, contacter le service de prévention de la fraude.
- Supprimer
Supprimer le courriel de sa boite de réception et de ses éléments supprimés.
Pour plus d'informations sur l'hameçonnage
https://cba.ca/email-fraud-phishing?l=fr
http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/vds/phshng-fra.aspx
+ Le harponnage
Qu’est-ce que le harponnage?
À la différence de l’hameçonnage, le harponnage vise un individu en particulier au lieu d’un grand groupe de personnes. Ainsi, la victime potentielle reçoit un courriel personnalisé, généralement d’une compagnie connue du grand public, adressé à son nom et lui demandant de suivre un lien ou de confirmer des informations personnelles.
Il arrive fréquemment que les cybercriminels ciblent une personne clé dans une organisation (un employé du service des finances ou du département de la comptabilité par exemple) et lui envoient un message en prenant l’identité d’un haut dirigeant de cette organisation. Ce dirigeant demandera alors à l’employé d’effectuer une opération douteuse ou de lui transmettre des informations sensibles.
Une forme fréquente de harponnage est l'arnaque de paiement en trop. Avec la popularité grandissante des sites d’achat en ligne entre particuliers (Kijiji, ebay, etc.), les criminels y ont vu une opportunité de profiter des gens les moins vigilants.
L’arnaque de paiement consiste à faire payer un montant en trop à la personne qui vend son bien; en effet, l’acheteur (l’arnaqueur) fait une offre d’achat par courriel au vendeur en payant un montant trop élevé. Il prétendra généralement que cette différence est attribuée aux frais en tout genre (douanes, livraison, etc.) ou qu’elle a été payée simplement par erreur. L’acheteur demandera donc au vendeur de lui restituer cette somme ou de la verser à un tiers pour la récupérer.
Une fois la somme payée, le vendeur apprendra généralement que le chèque de l’acheteur est sans provision, et qu’il a, de ce fait, donné à l’acheteur une partie de son argent personnel.
Comment reconnaître les signes de harponnage?
Comme l’hameçonnage, certains signes peuvent apparaître dans la présentation du courriel :
- courriel adressé de manière douteuse (ex. : un « M. » au lieu de « Mme. »);
- directive qui indique d’aller sur un lien sans que cela soit nécessaire à l’opération;
- ton du courriel qui ne correspond pas à l’institution ou à la personne;
- présence d’un fichier de style « .zip ».
Il est possible de se protéger d’une arnaque de paiement en posant les gestes suivants lors d’une transaction en ligne :
- ne jamais accepter de recevoir un montant supérieur à celui de la vente;
- demander systématiquement les informations complètes de l’acheteur (nom, adresse, numéro de téléphone);
- exiger un chèque certifié;
- ne jamais effectuer un virement de fonds directement à l’acheteur.
Quoi faire si l’on croit avoir reçu un courriel de harponnage?
Lorsque l’on soupçonne la réception d’un courriel frauduleux personnalisé, les mêmes techniques de prévention sont préconisées : résister, signaler, supprimer. Se référer à la section Hameçonnage.
Pour plus d’informations sur le harponnage
https://www.cba.ca/three-telltale-signs-the-email-you-just-received-is-a-scam?l=fr
+ Les programmes malveillants
Qu’est-ce qu’un programme malveillant?
Les programmes malveillants, ou « malgiciels, malware » peuvent aujourd’hui prendre plusieurs formes. Ils incluent les virus, les rançongiciels, les chevaux de Troie, les espions de clavier, etc. Dans tous les cas, ces programmes sont installés à l’insu de l’usager et cherchent à compromettre la sécurité de ses données. Ils proviennent habituellement de :
- sites Web malveillants visités par mégarde ou en cliquant sur un lien;
- pièces jointes à des courriels non sollicités, des pourriels;
- logiciels téléchargés en ligne et qui n’ont pas été produits par une firme reconnue.
Comment reconnaître un programme malveillant?
La plupart des programmes malveillants provoquent des symptômes qu’il est possible de reconnaître et donc de savoir si son ordinateur ou son appareil mobile est infecté, notamment :
- ralentissement du fonctionnement habituel de l’ordinateur;
- réponse tardive aux commandes;
- redirection du fureteur vers des pages Web non choisies et apparition de nombreuses fenêtres publicitaires difficiles à fermer;
- changement de l’image de fond d’écran ou affichage de messages de notification demandant de fournir des informations personnelles et, souvent, de faire un paiement pour retrouver l’usage normal de l’ordinateur.
Quoi faire si l’on doute que son ordinateur soit infecté par un logiciel malveillant?
- Résister
Si le logiciel malveillant demande des informations, invite à cliquer sur un lien ou exige un paiement, il ne faut pas donner suite à ces propositions. Agir en fonction des demandes du malgiciel pourrait aggraver la situation.
- Nettoyer
L’ordinateur infecté par un ou plusieurs programmes malveillants doit être nettoyé afin d’en retrouver l’utilisation sécuritaire. Pour ce faire, vous pouvez :
- utiliser des logiciels reconnus contre les virus et les malgiciels;
- utiliser des outils de nettoyage contre des malgiciels particuliers;
- faire nettoyer son ordinateur par un technicien informatique.
Pour prévenir les infections par des logiciels malveillants, veuillez consulter la section Comment vous protéger.
Pour plus d’informations sur les programmes malveillants
https://cba.ca/ransomware?l=fr
https://www.pensezcybersecurite.gc.ca/cnt/rsrcs/cmpgns/cmpgn-07/tps-fr.aspx
+ Les réseaux sociaux
Quels risques les réseaux sociaux présentent-ils?
L’utilisation quotidienne de plusieurs plateformes de réseaux sociaux par les usagers en fait des cibles de choix pour les cybercriminels. En effet, les gens y communiquent parfois des informations personnelles, en croyant les partager simplement avec leurs amis ou leurs relations. Les usagers imprudents s’exposent donc à des tentatives de cyberattaque.
Comment éviter de se rendre vulnérable sur les réseaux sociaux
- Être discret
Il est essentiel de toujours faire attention à ce que l’on expose sur son profil, puisqu’un criminel pourrait utiliser ces renseignements pour procéder à un vol d’identité :
- Ne jamais afficher de numéros de téléphone, adresse, date de naissance avec année ou autres renseignements personnels;
- Ne jamais partager ses renseignements bancaires, pas même le nom de sa banque.
- Accepter seulement ses connaissances
Utiliser son jugement avant d’ajouter des « amis » à son réseau fait également partie des bonnes pratiques, car on ne sait jamais qui se cache derrière un compte en ligne. Un nouvel « ami » pourrait être un criminel qui cherche à soutirer des renseignements personnels ou financiers.
- Vérifier qui peut consulter son profil
La vérification des paramètres de sécurité et de protection des renseignements personnels du site de réseautage social devrait être faite de façon régulière. Il ne faut pas simplement accepter les paramètres par défaut, qui autorisent en général un plus large accès que ce que l’on souhaite.
- Se renseigner sur les politiques de confidentialité
Consulter avec soin la politique du site en matière de protection des renseignements personnels peut s’avérer utile. Il faut s’assurer qu’aucune clause n’autorise le réseau social à utiliser l’information affichée sur le site, car il pourrait alors, par exemple, vendre des adresses de courriel ou d’autres renseignements.
Pour plus d’informations sur les risques associés aux réseaux sociaux
https://www.cba.ca/staying-safe-online?l=fr
https://www.pensezcybersecurite.gc.ca/cnt/rsks/nln-ctvts/scl-ntwrkng-fr.aspx
+ Le vol d’identité
Qu’est-ce que le vol d’identité?
Le vol d’identité a lieu lorsqu’une personne obtient et utilise, à l’insu et sans le consentement de la personne concernée, ses renseignements personnels à des fins criminelles.
Comment le reconnaître ?
- On ne reçoit plus son courrier ou on est surpris d’apprendre qu’un changement d’adresse a été effectué à son compte.
- On reçoit des relevés de comptes qu’on ne reconnaît pas.
- On constate des transactions non autorisées sur ses relevés de cartes de crédit ou ses comptes bancaires.
- On reçoit des appels de recouvrement pour des dettes non reconnues.
Que faire si l’on est victime d’un vol d’identité?
L'on doit contacter le service de prévention de la fraude
Pour plus d’informations sur le vol d'identité
https://cba.ca/identity-theft-can-happen-to-anybody-learn-how-to-protect-yourself?l=fr
http://www.pensezcybersecurite.gc.ca/cnt/prtct-yrslf/prtctn-dntty/index-fr.aspx
+ Les virements InteracMD
Dans quelle mesure le service Virement Interac est-il sécuritaire?
Les fonctionnalités du service Virement Interac, telles que Envoyer de l'argent, Demander de l'argent ainsi que Dépôt automatique, sont sécurisées. Le service Virement Interac est l'un des services de virement numérique de fonds les plus sûrs au monde. Pour en savoir plus, consultez le site Web sur la sécurité du service Virement Interac.
Comment reconnaître les tentatives de fraude qui ont recours à des fonctionnalités du service Virement Interac :
Même si les transferts de fonds au moyen du service Virement Interac sont sûrs et sécurisés, les fraudeurs peuvent tout de même utiliser certaines fonctionnalités du service Virement Interac à des fins d'hameçonnage ou malveillantes.
Fraudes liées à l'envoi d'argent, à la demande d'argent et au dépôt automatique.
- Fraude par demande d'argent : Lorsque vous vendez des articles en ligne, soyez prudent si vous prévoyez conclure la transaction au moyen du service Virement Interac. Au lieu d'envoyer un virement, un fraudeur ou un « acheteur potentiel » pourrait plutôt vous envoyer une demande d'argent. Lisez attentivement le courriel, car si vous sélectionnez « Accepter », vous finirez par envoyer de l'argent au lieu d'en recevoir.
- Fraude du faux représentant : les fraudeurs envoient un courriel ou un message texte qui ressemble à une notification authentique. Le message vous demandera de confirmer votre virement en fournissant des informations telles que la réponse à votre question de sécurité en lien avec le service Virement Interac ou en vous invitant à sélectionner un lien pour réclamer des fonds. Ce faisant, le fraudeur aura accès à votre réponse à la question de sécurité. Ne sélectionnez jamais un lien et ne donnez jamais la réponse à votre question de sécurité si vous ou une personne que vous connaissez n'avez pas initié la demande.
- Fraude liée aux plateformes de vente en ligne : Acheter quelque chose à un vendeur indépendant en ligne peut être risqué. Le vendeur peut demander à l'avance un paiement au moyen du service Virement Interac ou plutôt vous envoyer une demande d'argent. Une fois l'argent envoyé, il se peut que vous n'entendiez plus jamais parler du vendeur.
- Fraude liée à la location d'un appartement : De faux propriétaires affichent des biens à louer et prétendent être à l'étranger. Ils vous demandent d'envoyer un dépôt de garantie au moyen du service Virement Interac. Une fois qu'ils ont reçu votre argent, ils rompent tout contact et disparaissent.
Méfiez-vous des tentatives d'hameçonnage par lesquelles vous recevez un virement que vous n'attendiez pas. Si vous acceptez une telle demande de Virement Interac et fournissez vos renseignements personnels pour récupérer l'argent, vous risquez de le remettre directement à un fraudeur.
Comment puis-je assurer ma protection lorsque j'utilise les fonctionnalités du service Virement Interac, telles que Envoyer de l'argent, Demander de l'argent ainsi que Dépôt automatique?
Ne répondez qu'aux notifications de virement provenant d'expéditeurs que vous connaissez. Les notifications légitimes indiquent le nom légal des particuliers et le nom complet des entreprises dans le cas des notifications de demande d'argent. Si vous connaissez l'expéditeur, contactez-le pour confirmer que la demande est légitime.
Si vous recevez un courriel de notification qui vous semble suspect, assurez-vous qu'il est valide avant de sélectionner un lien. En cas de doute, transférez immédiatement la notification à l’adresse courriel suivante : phishing@interac.ca.
Il est important de lire attentivement la notification de virement pour déterminer si le demandeur veut vous envoyer de l'argent ou vous en demander. Une notification de demande d'argent indique clairement « Demande d'argent » et une notification de Virement Interac indique « vous a envoyé des fonds ».
Nous vous recommandons vivement de vous inscrire au service de dépôt automatique pour que toutes les demandes de Virement Interac soient automatiquement déposées sur le compte bancaire de votre choix. Vous réduirez ainsi le risque d'être victime d'un hameçonnage ou d'autres tentatives de fraude en cliquant sur des notifications de Virement Interac et des demandes d'argent frauduleuses que vous pourriez accepter.
Que puis-je faire si je suis victime d'une fraude ou d'une arnaque au moyen du service Virement Interac?
Si vous constatez des transactions inhabituelles sur votre compte ou si vous pensez avoir été victime d'une fraude ou d'une arnaque, contactez-nous ou transmettez votre signalement au Service de prévention de la fraude.
Pour vous aider à mieux vous protéger, consultez la section « Comment vous protéger ».