Aller au contenu principal

Un courriel de votre banque vous demandant de modifier votre mot de passe. Un courriel d’un magasin en ligne vous demandant de mettre à jour vos renseignements de facturation. Un texte, provenant apparemment de l'Agence du revenu du Canada, vous demandant de vérifier votre NAS.

Vous avez probablement déjà vu de tels messages – des communications en ligne qui émanent de nulle part et qui semblent un peu bizarres. Il s’agit d'hameçonnage.

Qu’est-ce que l'hameçonnage?

L'hameçonnage survient lorsqu’un criminel essaie d’obtenir de vous de l'information, des données de connexion ou de l’argent en se faisant passer pour une vraie personne ou entreprise dans des textos, lors d’appels téléphoniques, dans un courriel ou sur les médias sociaux.

Qu’advient-il si je suis victime d'une arnaque par hameçonnage?

Les courriels d'hameçonnage vous entraînent parfois vers de faux sites Web pour vous amener à donner vos données de connexion ou télécharger des virus. On parle alors de mystification de site Web, parce que le site Web malicieux ressemble à un vrai.

Lors d’une attaque associée au magasinage en ligne, par exemple, le cybercriminel peut accéder à votre nom d'utilisateur et votre mot de passe et vous empêcher d’accéder à votre compte pendant qu’il remplit le panier.

Si vous réutilisez les mêmes mots de passe sur plusieurs comptes, vous pourriez également être incapable d’accéder à ces comptes. Si certains de vos comptes renferment votre NAS, vos renseignements bancaires ou vos données personnelles, le pirate pourrait utiliser ces renseignements afin de commettre un vol d'identité.

Un fraudeur pourrait également vous amener à ouvrir un maliciel, qui pourrait endommager votre ordinateur avec un virus ou installer un rançongiciel, bloquant ainsi tous vos fichiers et exiger une somme exorbitante pour vous y redonner l’accès.

Ingénierie sociale : Qu’est-ce qui permet à l'hameçonnage de fonctionner?

Vous croyez peut-être que vous ne tomberez jamais dans le piège de l'hameçonnage, mais en réalité, ça fonctionne. Un sondage réalisé par Statistique Canada nous apprend qu’un tiers des Canadiens ont été victimes d’une attaque par hameçonnage entre mars et septembre 2020. Un autre sondage nous a permis de constater qu’un Canadien sur 10 a répondu sans le savoir à des messages d'hameçonnage.

L’hameçonnage fait appel à l’ingénierie sociale, qui repose sur la tendance naturelle des gens à faire confiance aux autres. Le cybercriminel utilise une chose que vous connaissez bien, comme votre compte Neftlix ou même le compte de courriel piraté de votre oncle Fred, et exploite ensuite votre confiance. Toutes les arnaques d'hameçonnage fonctionnent suivant ce même principe, mais les arnaqueurs utilisent différentes méthodes.

Types d’arnaques par hameçonnage

  • Hameçonnage : Les arnaques par hameçonnage sont souvent des messages de masse génériques qui semblent légitimes, comme s’ils provenaient de votre banque ou de l’émetteur de votre carte de crédit.
  • Harponnage : Une attaque par harponnage vous cible de manière précise. Le message peut comporter des renseignements personnels, comme des activités ou des achats récents en ligne.
  • Chasse à la baleine : Une attaque personnalisée qui cible un PDG ou un membre de la haute direction d’une entreprise est une chasse à la baleine. On l’appelle ainsi, parce qu’elle vise un plus gros « poisson ». Vous comprenez? Un cybercriminel s’attaque à ce genre d’individu pour tenter d’accéder à des renseignements plus profitables ou plus délicats.
  • Hameçonnage par SMS : L'hameçonnage par SMS survient lorsqu’un arnaqueur utilise des SMS (textos) pour se faire passer pour une personne que vous connaissez ou un service que vous utilisez pour vous demander de l'information ou un paiement ou pour vous amener à cliquer sur un lien.
  • Hameçonnage vocal : Lors d’une attaque par hameçonnage qui fait appel au système de voix sur IP (VoIP), un cybercriminel utilise le numéro de téléphone d’une organisation pour se donner un air légitime.

Signes de courriel ou de site Web d'hameçonnage

Surveillez ces alertes qui sont en lien avec l'hameçonnage :

  • Nom de domaine suspect. Le nom de domaine comporte des erreurs de frappe ou des caractères en trop, même s’il ressemble à un nom véritable (par exemple, Facebok.com). Le nom de l’expéditeur peut sembler légitime, mais si vous cliquez, vous constaterez que l’adresse ne correspond pas au nom ou qu’elle présente simplement une série de caractères aléatoires.
  • Erreurs d’orthographe et fautes de frappe. De telles erreurs sont fréquentes dans les courriels d'hameçonnage.
  • Un cybercriminel essaie toujours de vous faire peur en vous menaçant que vous allez perdre votre compte ou qu’on vous arrêtera si vous n’agissez pas immédiatement.
  • Méconnaissance. Message d’un individu dont vous ne reconnaissez pas le nom et dont l'adresse de courriel ou le numéro de téléphone est suspect, en particulier s’il vous demande des renseignements personnels.
  • C’est trop beau pour être vrai. Gagner à la loterie, alors que vous n’avez jamais acheté de billet ou recevoir de l’argent d’un parent dont nous n’avez jamais entendu parler, ce sont là des signes d’une arnaque. Rappelez-vous que si vous avez remporté un prix, vous ne devriez pas avoir à payer pour l’obtenir.

Ressource : Pensez cybersécurité a préparé un document infographique imagé pour vous enseigner Les 7 signaux d'alarme de l’hameçonnage.

Conseils pour éviter les arnaques par hameçonnage : Prenez ces habitudes!

  • Ne téléchargez jamais des fichiers inconnus ou que vous n’attendez pas.
  • Ne cliquez pas sur les liens dans les courriels, en particulier si on vous demande d’ouvrir une session sur un compte. Recherchez le site Web dans Google, consultez un signet ou tapez plutôt le nom de domaine directement dans votre navigateur.
  • Restez calme si on vous demande d’agir rapidement dans un courriel. Commencez par vérifier si le courriel est véritable.
  • Utilisez le filtre à pourriels de votre compte de courriel et utilisez les mises à jour du logiciel.
  • Utilisez un logiciel à l'épreuve de l'hameçonnage. Le Bouclier canadien de l’ACEI offre gratuitement aux Canadiens une protection de qualité entreprise pour vos renseignements personnels et pour assurer votre cybersécurité.
  • Si on vous demande de l’argent dans un courriel, appelez l'individu en question ou rencontrez-le en personne. Si une entreprise ou un service vous demande des renseignements personnels ou d’ordre financier, appelez son siège social pour vérifier.
  • Utilisez des mots de passe forts et uniques pour tous vos comptes. Stockez-les dans un gestionnaire de mots de passe et ayez recours à la sécurité accrue d’une authentification à facteurs multiples. Vous protégerez ainsi vos autres comptes si l’un d’eux venait à être compromis.

Quoi faire si vous cliquez sur un lien d'hameçonnage

Même si vous prenez des précautions, les arnaqueurs sont rusés et vous pourriez être victime d’une arnaque de type hameçonnage. Dans un tel cas, ne paniquez pas. Suivez plutôt ces étapes :

  1. Débranchez votre appareil de l'Internet afin de réduire le risque que le maliciel ne se répande aux autres appareils sur le réseau.
  2. Sauvegardez vos fichiers au cas où on tenterait de les effacer.
  3. Modifiez votre nom d'utilisateur et votre mot de passe correspondant au compte qui est victime de l’attaque.
  4. Analysez votre système pour vérifier s’il présente un maliciel.
  5. Signalez l’arnaque à l'entreprise qui est associée à l’attaque, à la police ou au Centre canadien pour la cybersécurité.