L’hameçonnage par courriel ou "phishing" en anglais, est une technique utilisée par les criminels pour voler des renseignements personnels et financiers. Les fraudeurs envoient un faux courriel aux victimes en se faisant passer pour une organisation légitime afin de leur soutirer des informations personnelles telles que : nom, date de naissance, identifiants et mots de passe, numéro de carte de crédit, NAS, etc. Ils peuvent ensuite revendre ces informations sur des marchés illégaux, voler l’identité et l’argent de la victime ou commettre des fraudes.
L’hameçonnage peut également prendre la forme d’un appel téléphonique ou d’un SMS.
Quels sont les stratagèmes mis en place ?
Le fraudeur envoie un courriel qui semble venir d’une entité connue comme une organisation gouvernementale, une banque, un fournisseur de service téléphonique, une entreprise en ligne ou une personne de confiance. Pour paraître plus crédible, il peut utiliser une adresse d’expéditeur similaire à l’originale, écrire de façon professionnelle et se servir des logos officiels de l’organisation.
Dans le courriel, l’escroc informe la victime d’une situation qui nécessite une action rapide, par exemple, qu’un problème est survenu sur son compte bancaire et qu’elle doit mettre à jour ses renseignements personnels ou transmettre ses coordonnées bancaires. Pour la convaincre, le fraudeur utilise des techniques de manipulation. Il joue sur le sentiment d’urgence en laissant un délai très court pour agir et peu de temps pour réfléchir. De même, il peut essayer de faire peur en menaçant de bloquer le compte, ou alors, d'attirer la victime avec des offres et des promotions. D’autres émotions peuvent également être exploitées telles que la curiosité, la bienveillance ou bien encore la confiance.
L’objectif du fraudeur est d’inciter la victime à cliquer sur un lien qui la redirige vers un faux site web, ou de télécharger un fichier joint malveillant dans le but de récupérer ses informations personnelles.
Trucs et astuces pour mieux reconnaître l’hameçonnage par courriel
Les fraudeurs ne cessent d’améliorer leurs techniques, mais il est possible de repérer quelques indices pour éviter de tomber dans leur piège.
Méfiez-vous lorsqu’on vous demande de fournir vos renseignements personnels et financiers par courriel, car aucun organisme ne demande de telles informations par courriel.
Méfiez-vous si l’expéditeur s’adresse à vous de façon impersonnelle avec la mention “Monsieur ou Madame” plutôt qu’en utilisant votre nom.
Faites attention si vous ressentez un sentiment d’urgence ou de peur.
Vérifiez l’adresse courriel de l’expéditeur. N’hésitez pas à aller sur le site officiel de l’organisme pour voir si elles correspondent.
Vérifiez les fautes de grammaire ou d’orthographe. Un organisme légitime n’utiliserait pas un langage inapproprié.
Vérifiez le logo contenu dans le courriel, le graphisme peut différer de l’original ou être pixélisé.
Vérifiez le nom de domaine des liens hypertextes contenu dans le courriel. Vous pouvez glisser la souris sur le lien sans cliquer dessus pour faire apparaître le nom du site vers lequel il redirige. Si vous ne reconnaissez pas le nom du site, ne cliquez pas dessus.
Au cas où vous auriez cliqué sur un lien qui vous redirige vers une page web, vérifiez si le site est sécurisé (cadenas verrouillé, “https” dans la barre de navigation) avant de rentrer vos informations confidentielles. Vérifier si le site est dangereux avec Virustotal.
Comment s’en protéger ?
Il est important de rester vigilant quand vous recevez un message qui vous demande vos renseignements personnels. Prenez le temps de lire et de réfléchir.
Demandez-vous toujours si ce courriel est attendu.
Ne communiquez jamais vos informations personnelles ou financières par courriel.
Ne répondez pas à un courriel qui vous semble suspect.
Ne téléchargez aucun fichier joint, vous risquez de télécharger un logiciel malveillant à votre insu.
Ne cliquez sur aucun lien ou bouton pour ouvrir des pages Web. Même si vous ne donnez pas vos renseignements personnels, le fraudeur peut savoir que vous avez cliqué et vous considérer comme une victime potentielle. Ils chercheront à vous victimiser de nouveau.
N’entrez aucun renseignement sur le site web qui s’est ouvert.
Si vous n’êtes pas sûr, contactez l’organisme par son numéro officiel pour vérifier si le message est légitime.
Bloquez l’expéditeur.
Ignorez et supprimez le message.
Que faire en premier ?
Si vous n'avez pas fourni d'information personnelle ou confidentielle, signalez le message d'hameçonnage (suivre les étapes 1 à 3). Assurez-vous que votre appareil n'est pas infecté par un maliciel, modifiez tous vos mots de passe et surveillez vos activités bancaires.
Si vous avez fourni vos informations personnelles ou confidentielles à un fraudeur, communiquez avec :
Le service d’aide et de signalement de l’organisme officiel concerné par le courriel
Le Centre antifraude du Canada (1 888 495-8501)
Votre institution financière. Elle pourrait vous offrir de plus amples informations par rapport au soutien et aux outils offerts en cas de fraude.
Les agences d’évaluation de crédit pour qu’une alerte à la fraude soit inscrite à votre dossier :
Equifax Canada au numéro sans frais : 1-800-465-7166
TransUnion Canada au numéro sans frais : 1-877-525-3823
Votre service de police local
Si vous désirez signaler une fraude ou toute autre activité criminelle de manière anonyme et confidentielle:
Pour la région de Montréal, communiquez avec Info-Crime, au 514 393-1133, ou visitez le www.infocrimemontreal.ca
À l’extérieur de Montréal, communiquez avec Échec au crime, au 1 800 711-1800, ou visitez le www.echecaucrime.com