Cet article a été initialement publié dans le magazine Le Monde Juridique. Il a été reproduit avec l’autorisation des auteures.
Tous les secteurs d’activité sont confrontés à des risques liés à la cybersécurité toujours plus grands, posés par des malfaiteurs qui cherchent à mettre la main sur des informations financières ou des renseignements personnels. L’hameçonnage est l’un des moyens les plus utilisés par les fraudeurs pour déjouer tant les organisations que les particuliers. Il s’agit en fait du deuxième type de fraude le plus signalé, selon le plus récent rapport annuel du Centre antifraude du Canada (CAFC).
Le CAFC définit l’hameçonnage comme suit : une tentative malveillante d’acquérir des renseignements sensibles en ligne, comme des noms d’utilisateur, des mots de passe, des renseignements personnels, des détails sur des cartes de crédit ou des comptes bancaires, en se faisant passer pour une entité légitime ou digne de confiance, ou pour une victime.
Les organisations changent et les technologies évoluent, et il en va de même pour les fraudeurs qui élaborent constamment de nouveaux stratagèmes pour tromper votre vigilance. Nous vous présentons aujourd’hui les types de fraude par hameçonnage à connaître pour assurer votre protection et celle de votre organisation et de vos clients.
Types de fraude par hameçonnage les plus courants
Fraudeurs se faisant passer pour des représentants de l’Agence du revenu du Canada (ARC)
- Un particulier ou une entreprise reçoit un courriel l’avisant que sa déclaration de revenus ou un document connexe fait l’objet d’un examen. Si l’utilisateur clique sur le lien fourni qui renvoie à un faux document, il ouvre la porte à la communication de renseignements sensibles ou confidentiels directement aux fraudeurs.
- Un particulier ou une entreprise peut être ciblé pendant une période difficile, et recevoir un courriel (ou toute autre forme de communication) lui faisant miroiter l’accès à des prestations d’urgence et l’invitant à cliquer sur un lien. On lui demande ensuite d’entrer des renseignements sensibles ou confidentiels afin de recevoir lesdites prestations.
- À l’approche de la saison des impôts, des particuliers ou des entreprises peuvent recevoir des communications provenant prétendument de l’ARC les avisant qu’ils ont droit à un remboursement. Après avoir cliqué sur le lien fourni pour l’obtenir, l’utilisateur est invité à entrer ses renseignements bancaires ou personnels (comme son numéro d’assurance sociale) afin de recevoir les fonds.
- Il est important de souligner que l’on peut recevoir de tels messages de l’« ARC » à tout moment de l’année et que les systèmes de courriel (p. ex., Outlook) vont souvent vous signaler qu’ils sont frauduleux.
Extorsion
- Selon le CAFC, il y a eu récemment plusieurs signalements d’entreprises et de particuliers qui ont reçu des lettres d’extorsion par courriel.
- Ces lettres peuvent contenir le nom complet et d’autres renseignements personnels du destinataire, et insinuer qu’il a visité des sites Web explicites. Elles peuvent comporter également des menaces de diffuser l’identité de l’entreprise ou du particulier destinataire, à moins qu’on leur envoie une rançon en cryptomonnaies. Le courriel peut même inclure un lien ou un code QR à utiliser pour faire le paiement.
Demandes urgentes de paiement ou de renseignements
- Un fraudeur peut cibler les membres du personnel d’une entreprise. Ce moyen est surtout utilisé s’il sait que le président ou un autre membre de la haute direction n’est pas dans la même ville que les personnes visées. Il peut envoyer un courriel urgent demandant que l’on paie un fournisseur ou une tierce partie. Or, ce sont les informations bancaires du fraudeur qui seront fournies, afin qu’il puisse toucher l’argent.
- Souvent, la demande provient d’une adresse courriel très semblable à l’adresse légitime. Les membres du personnel n’auront pas tendance à mettre en doute une demande provenant de la haute direction ou du président et transféreront les fonds.
- Un fraudeur peut également communiquer par courriel avec le service de la paie en se faisant passer pour un employé. Il demandera qu’on modifie les renseignements bancaires de cette personne dans le but d’y substituer les siennes.
- De même, une entreprise peut recevoir ce qu’elle estime être un courriel légitime d’un fournisseur qui demande la mise à jour des renseignements bancaires au dossier. Ici aussi, le courriel provient d’un fraudeur qui tente de recevoir tous les paiements futurs destinés à ce fournisseur.
Pourquoi faut-il se préoccuper de l’hameçonnage?
Vous croyez peut-être que vous, votre organisation, vos clients et leur entreprise êtes bien au fait des fraudes par hameçonnage, puisque certaines existent depuis des années. Cependant, dans les faits, personne n’est à l’abri de ces stratagèmes. Il suffit d’un seul clic pour transmettre des renseignements confidentiels cruciaux pour la réputation ou le succès d’une organisation, par exemple, des dossiers confidentiels de clients, des secrets commerciaux ou d’autres renseignements de nature exclusive. De plus, la divulgation de renseignements personnels peut exposer une organisation à un risque d’usurpation d’identité ou à des problèmes financiers.
Selon le rapport State of the Phish 2024 de la société Proofpoint, 68 % des travailleurs canadiens d’âge adulte qui ont répondu au sondage ont admis avoir déjà posé des gestes risqués en ligne, par exemple, réutiliser ou communiquer un mot de passe, cliquer sur un lien provenant d’un expéditeur inconnu ou transmettre leurs identifiants de connexion à une source peu fiable. En tout, 99 % d’entre eux l’ont fait en connaissant les risques inhérents à leurs actions, ce qui signifie que 67 % des travailleurs ont compromis la sécurité de leur organisation en toute connaissance de cause.
Les raisons qui les ont poussés à agir ainsi sont variées, mais les principales sont la commodité (53 %), la volonté de gagner du temps (34 %) et un sentiment d’urgence (20 %). Autrement dit, il y a clairement du travail à faire pour sensibiliser, tous paliers confondus, le personnel des organisations canadiennes à ce sujet.
Que faire pour vous protéger contre l’hameçonnage?
- Songez aux types de données que vous stockez et à l’endroit où vous les conservez.
- Songez aux mesures de protection des données déjà en place et à celles susceptibles d’être facilement compromises.
- Songez aux personnes qui ont accès à l’information et veillez à la partager seulement avec les personnes qui en ont vraiment besoin.
- Songez à mettre en place des formations antifraude.
- Réfléchissez avant de cliquer.
Si vous soupçonnez que votre entreprise ou vos clients sont la cible d’un hameçonnage ou si vous voulez atténuer le risque d’une telle attaque, vous devez :
- établir un plan d’intervention, le tenir à jour et vous exercer à l’appliquer;
- agir sans tarder;
- prévenir les autres membres de votre organisation pour éviter qu’ils ne tombent dans le même piège;
- offrir des formations antifraude sur une base régulière et récurrente à tous les membres de votre organisation, quel que soit leur échelon;
- faire appel à un conseiller externe pour de l’aide concernant les enjeux liés à la cybersécurité, des plans de prévention de la fraude financière, des évaluations du risque de fraude, et d’autres services connexes.