Hameçonnage

L'hameçonnage ou phishing est une forme d'escroquerie sur internet. Le fraudeur se fait passer pour un organisme que vous connaissez (banque, service des impôts, Carte de crédit, etc.), en utilisant le logo et le nom de cet entreprise.

Hameçonnage, « phishing » ou usurpation de marque

Qu’entend-t-on par hameçonnage? Qu’on l’appelle « hameçonnage », « phishing » ou « usurpation de marque », ce crime consiste en l’envoi d’un courriel à un usager en prétendant faussement représenter une entreprise légitime. Le but de ce courriel est de tromper le lecteur afin de lui soutirer des renseignements personnels. Les identités d’agences gouvernementales, d’institutions financières, d’encans virtuels et de leurs services de paiement sont souvent utilisées lors des tentatives d’hameçonnage.

Méthodes utilisées : formulaire HTML de capture de données encastré dans un courriel ou simple courriel contenant un lien vers une réplique trompeuse du site Web de l’institution.

Caractéristiques : Le courriel est conçu pour déclencher une réaction impulsive de votre part. Ce courriel vous annonce une nouvelle bouleversante ou excitante et vous demande une réponse immédiate sous un faux prétexte. En général, ces communications ne s’adressent pas à vous personnellement.

Les renseignements prisés : Numéro d’assurance social, nom complet, date de naissance, adresse complète, nom de fille de votre mère, code d’usager et mot de passe de services virtuels, numéro de permis de conduire, numéro d’identification personnel (NIP), information sur vos cartes de crédit (numéros, dates d’expiration et les trois derniers chiffres inscrits à l’endos de vos cartes) et les numéros de vos comptes bancaires.

L’utilisation potentielle ces renseignements : Contrôle de vos comptes bancaires, ouverture de nouveaux comptes, transferts de fonds, obtention de prêts, obtention de cartes de crédit et autres biens/services, achats de biens de luxe, camouflage d’activités criminelles, obtention de services gouvernementaux ou obtention d’un passeport.

Protégez-vous : Évitez l’utilisation de liens incorporés dans un courriel, même s’ils prétendent vous amener à un site sûr. Il est possible que certains sites frauduleux modifient le panneau d’adresse de votre fureteur pour masquer votre destination réelle et même y fassent figurer l’adresse légitime de l’institution, incluant le préfixe « https:// ».

À quoi pourrait ressembler une tentative de phishing :

E-mail:
- Expéditeur : l’adresse e-mail peut ressembler à celle d’une entreprise légitime, mais présenter de légères variations, des fautes d’orthographe ou utiliser un domaine générique (comme un service de messagerie gratuit) au lieu du domaine officiel de l’entreprise.
- Objet : Crée souvent un sentiment d’urgence ou d’alarme (par exemple, « Action urgente requise ! », « Votre compte a été suspendu »).
- Contenu:
  - Peut se faire passer pour une entreprise connue (banque, médias sociaux, détaillant en ligne, agence gouvernementale).
  - Demande des informations personnelles telles que des mots de passe, des informations de carte de crédit, des numéros de sécurité sociale, etc.
  - Contient des erreurs grammaticales ou une formulation inhabituelle.
  - Inclut un lien qui semble légitime mais qui vous dirige vers un faux site Web.
  - Peut contenir une pièce jointe contenant un logiciel malveillant.
Site web:
- Apparence : Conçu pour ressembler beaucoup au site Web légitime qu’il tente d’imiter (logos, image de marque, mise en page).
- URL : l’adresse du site Web (URL) sera probablement légèrement différente de la vraie, souvent avec des fautes d’orthographe, des mots supplémentaires ou une extension de domaine différente.
- Formulaires : contient des formulaires qui demandent vos informations de connexion ou d’autres informations sensibles.
Message texte (SMS Phishing ou Smishing) :
- Similaires aux e-mails, ils créent un sentiment d’urgence et vous demandent de cliquer sur un lien ou de fournir des informations.
- Peut prétendre provenir de votre banque, d’un service de livraison ou d’une autre entité de confiance.

Où trouver des exemples (soyez prudent !) :

Matériel de formation à la sensibilisation à la sécurité : De nombreuses entreprises et organisations utilisent des exemples d’e-mails et de sites Web d’hameçonnage dans leur formation pour aider les employés à les identifier.
Blogs et sites Web de cybersécurité réputés : les chercheurs en sécurité publient souvent des exemples de campagnes de phishing récentes qu’ils ont découvertes pour avertir le public.
Articles de presse sur les escroqueries : lorsque des attaques de phishing à grande échelle se produisent, les médias peuvent inclure des captures d’écran ou des descriptions des e-mails ou des sites Web frauduleux.
Organisations anti-hameçonnage : les groupes dédiés à la lutte contre l’hameçonnage disposent souvent de galeries ou d’exemples de tentatives d’hameçonnage.

Rappels importants :

Ne cliquez jamais sur des liens suspects et n’ouvrez jamais de pièces jointes provenant d’expéditeurs inconnus.
Méfiez-vous des courriels ou des messages qui créent un sentiment d’urgence.
Vérifiez toujours la légitimité d’un site Web en vérifiant soigneusement l’URL.
Si vous n’êtes pas sûr d’une communication, contactez directement l’entreprise ou l’organisation via une méthode connue et fiable (par exemple, leur site Web officiel ou leur numéro de téléphone).
Ne fournissez pas d’informations personnelles à moins d’être absolument sûr que le site Web ou la demande est légitime.

En comprenant les caractéristiques des tentatives d’hameçonnage, vous pouvez être mieux préparé à les reconnaître et à les éviter.

En cas de doute :

Communiquez avec l’entreprise à l’aide d’un numéro de téléphone ou d’une adresse Web obtenus d’une source sûre
Ne transmettez jamais de renseignements personnels ou financiers par courriel
Ne négligez pas l’utilisation de logiciels anti-espionnage, pare-feu et antiviraux
N’oubliez pas d’effectuer la mise à niveau de ces logiciels de façon régulière

�

Vous êtes une victime : Si vous avez fourni des renseignements personnels :

Signalez-le Si vous recevez l’un de ces courriels suspects :

Signalez-le au Centre antifraude du Canada ou en communiquant avec l’institution financière de laquelle il semble provenir.

Si vous avez reçu l’un de ces courriels suspects et que vous avez fournis sans le savoir des renseignements personnels ou financiers, faites ce qui suit :

Étape 1. Communiquez avec votre banque ou votre institution bancaire ou la compagnie émettrice de votre carte de crédit.

Étape 2. Communiquez avec les agences d’évaluation du crédit et demandez à ce que des alertes à la fraude soient inscrites à vos rapports de solvabilité.

Equifax Canada Numéro sans frais : 1-800-465-7166
TransUnion Canada Numéro sans frais : 1-877-525-3823

�

Étape 3. Communiquez avec votre service de police local.

Étape 4. Signalez toujours l’hameçonnage. Si vous avez répondu à un courriel suspect, signalez-le au Centre antifraude du Canada

Visitez la page: http://www.rcmp-grc.gc.ca/scams-fraudes/phishing-fra.htm