L’hameçonnage, aussi connu sous le nom anglophone phishing, est une technique de fraude par laquelle des cybercriminels tentent de tromper des individus. Pour ce faire, ils se font passer illégalement pour des entités légitimes telles que des entreprises connues, des institutions financières ou des organismes gouvernementaux. L’hameçonnage est une technique d’attaque généralisée et peu ciblée, qui ratisse large. En effet, dans la majorité des campagnes d’hameçonnage, les cybercriminels envoient des courriels de façon massive.

L’un des objectifs des cybercriminels est d’inciter les destinataires à divulguer des informations personnelles, financières ou confidentielles, comme leurs mots de passe, leur numéro d’assurance sociale ou encore celui de leur carte de crédit.

Dans la plupart des cas, les personnes ciblées reçoivent un message d’apparence authentique, les invitant à cliquer sur un lien malveillant, à ouvrir une pièce jointe compromise ou encore à se rendre sur fausse page de redirection. En vous redirigeant ainsi, les cybercriminels tentent de voler vos informations personnelles ou d’installer des logiciels malveillants sur votre appareil. L’hameçonnage est aussi la porte d’entrée vers d’autres cybercrimes comme les rançongiciels.

  • Les outils utilisés par les cybercriminels pour contacter les victimes potentielles sont généralement les suivants :
  • Le courriel (dans 95 % des cas recensés);
  • Les sites Web frauduleux;
  • Les messages instantanés;
  • Les appels téléphoniques.

Grâce à des techniques de piratage, les fraudeurs manipulent les victimes et abusent de leur confiance. Ils créent des messages qui semblent authentiques et urgents, incitant trop souvent les victimes à agir rapidement, sans réfléchir et sans avoir eu le temps de vérifier auprès d’autres personnes la légitimité de la demande.

Quelques exemples d'hameçonnage

Une personne âgée reçoit une communication urgente (par appel téléphonique, courriel ou message texte) qui semble provenir d’un membre de sa famille affirmant avoir besoin d’argent rapidement.

Dans une telle arnaque, le ou la cybercriminelle joue sur les émotions de la victime et crée chez elle un sentiment d’urgence. On lui fait alors croire qu’il ou elle a besoin d’argent pour se sortir d’un pétrin quelconque, en incitant la victime à lui faire parvenir un certain montant d’argent immédiatement.

Si cette situation se produit, raccrochez puis communiquez directement avec le membre de la famille concerné afin de valider l’histoire qu’on tente de vous faire croire.

Dans ce type d’arnaque, vous recevez un courriel ou un message texte vous demandant de vous connecter à l’un de vos comptes pour éviter, par exemple, un renouvellement automatique ou pour annuler un paiement à un service que vous n’avez pas demandé.

Si cette situation se produit, soyez vigilant. Des fraudeurs utilisent souvent des communications de ce type pour vous inciter à vous connecter à une fausse page – qui ressemble à une page officielle – afin de récolter votre identifiant et votre mot de passe. Ceci leur permet ensuite d’accéder à d’autres informations personnelles.

Pour vérifier la véracité de la situation, communiquez directement avec le fournisseur en question en cherchant vous-même ses coordonnées sur son site Web (plutôt que celles fournies dans le message).

Harponnage

Contrairement à l’hameçonnage, le harponnage est une attaque ciblée et personnalisée, visant une personne ou une organisation particulière. Pour ce faire, les personnes malveillantes effectuent des recherches approfondies sur leurs victimes potentielles afin d’envoyer des courriels crédibles et ciblés.

Grâce à ces attaques personnalisées, les fraudeurs sont capables de se faire passer pour une personne que les victimes connaissent ou en qui elles ont confiance. Gagnant ainsi de la crédibilité auprès de leurs victimes, les fraudeurs augmentent les chances de succès de leurs attaques.

Reconnaître les signes d'hameçonnage

Voici comment se présentent habituellement les tentatives d’hameçonnage par courriel, par téléphone, par message texte et par message privé sur les réseaux sociaux.

De nos jours, les cybercriminels sont de plus en plus habiles et sophistiqués. Autrefois, la présence de fautes d’orthographe dans le texte pouvait nous mettre la puce à l’oreille. Aujourd’hui, ce n’est plus le cas. En plus de contextualiser le contenu, les cybercriminels utilisent aujourd’hui des logos, des signatures ou même des contacts presque identiques aux entités véridiques. 

Au travail comme à la maison, vous pouvez aider les équipes informatiques à renforcer les défenses communes contre les tentatives d’hameçonnage en signalant les courriels suspects. Pour ce faire, la plupart des boîtes de courriel offrent le bouton « Signalez le message » ou « Hameçonnage » lorsqu’un courriel est ouvert.

Saviez-vous qu’un logiciel malveillant peut s’installer sur votre ordinateur sans que rien n’apparaisse à l’écran? C’est pourquoi il ne faut jamais cliquer sur un lien ou un fichier contenu tant dans un courriel que dans un autre moyen communicationnel suspect. Si par malheur vous cliquez sur un fichier ou un lien malveillant, vous pourriez être victime d’intrusion dans votre ordinateur ou encore d’un rançongiciel.

Les campagnes d’hameçonnages par téléphone, connues sous le nom de vishing en anglais, sont malheureusement courantes. Les fraudeurs, souvent regroupés au sein de centres d’appels frauduleux, tentent, par diverses techniques de piratage psychologique, d’inciter leurs cibles à fournir des informations confidentielles et sensibles par téléphone. Ils vont même parfois jusqu’à inciter les victimes à installer un programme malveillant, sous forme d’application, sur leur appareil.

Les fraudeurs appellent leurs victimes en se faisant passer pour des employés d’une entité connue, comme le gouvernement ou une banque, et vous demandent des informations personnelles sous prétexte de vérifier votre identité ou de mettre à jour votre compte. Ils essaient souvent, à l’aide d’informations personnelles partielles disponibles sur Internet, de mettre en place une atmosphère de confiance, incitant ainsi les victimes à coopérer. Ils tentent ensuite d’induire un sentiment d’urgence ou d’insécurité chez les victimes pour les pousser à agir précipitamment.

La prudence est de mise lors d’appels non sollicités. En cas de doute, raccrochez et appelez vous-même l’organisation qui prétendait vous appeler en utilisant les coordonnées officielles de son site Web pour vérifier les informations qu’on vous a communiquées.

Ne rappelez jamais les numéros fournis par les appelants, car ils pourraient être eux aussi frauduleux. Et comme le rappelle la Sûreté du Québec, ne présumez jamais que le numéro de téléphone apparaissant sur votre afficheur est exact. Les fraudeurs utilisent des logiciels ou des applications pour tromper les victimes. De plus, le numéro de l’appel peut facilement être masqué.

Les messages texte frauduleux sont souvent envoyés de manière brute, sans avertissement. Ils peuvent aussi être personnalisés, ce qui rend les destinataires particulièrement vulnérables à ce type d’attaque. Les fraudeurs n’hésitent pas à se faire passer pour de grandes compagnies comptant beaucoup d’abonnés – comme Netflix ou Amazon – pour augmenter la probabilité de faire des victimes.

Soyez particulièrement vigilants si l’on vous demande de payer des frais, qu’on vous menace de suspendre votre compte, ou qu’on vous demande de mettre à jour votre compte ou vos informations de paiement. Il s’agit de moyens souvent utilisés par les fraudeurs pour vous soutirer de l’argent ou obtenir vos informations personnelles.

Les fraudeurs peuvent s’emparer des comptes de réseaux sociaux appartenant à vos connaissances. De cette façon, ils peuvent vous envoyer des messages privés en leur nom. Si l’origine d’un message privé sur les réseaux sociaux vous semble suspecte, appelez la personne ou l’organisation expéditrice pour vérifier si le message provient réellement d’elle. Rappelez-vous qu’on n’est jamais assez prudent.

Prévenir l’hameçonnage

Voici quelques conseils pour vous éviter de vous faire avoir par les cybercriminels :

  • Méfiez-vous si l’on tente de vous faire peur ou si l’on vous incite à réagir rapidement. Les fraudeurs tirent profit des sentiments de peur et d’anxiété afin de commettre leurs crimes. Les phrases du type « Votre compte a été suspendu » sont courantes dans les courriels d’hameçonnage.
  • Si la source d’un courriel ou d’un message texte vous semble incertaine ou douteuse, ne l’ouvrez pas. Surtout, ne cliquez pas sur les liens et ne téléchargez pas les fichiers qu’il contient. Assurez-vous plutôt de l’authenticité et de la légitimité des communications reçues en communiquant directement avec l’organisation qui semble vouloir vous joindre.
  • On vous envoie un courriel vous invitant à vous connecter? Le téléchargement d’un fichier joint requiert que vous vous identifiiez? Méfiez-vous! Ce sont les pratiques par excellence des fraudeurs, qui profitent de notre habitude à nous connecter partout pour obtenir nos informations personnelles. 
  • Prenez l’habitude de vérifier l’adresse courriel de l’expéditeur avant d’ouvrir un message, car le nom affiché peut être trompeur.
  • Pouvez-vous retrouver les coordonnées de l’expéditeur dans le pied de page du courriel? Les expéditeurs légitimes les mentionnent habituellement.
  • Ne divulguez jamais vos renseignements personnels ou vos informations bancaires lors d’un contact non sollicité.
  • Ne partagez jamais d’informations personnelles ou de mots de passe par courriel, par téléphone ou par message texte.
  • Vérifiez et gardez à jour les paramètres de sécurité et de confidentialité de vos comptes et de vos appareils.
  • Portez une attention à la façon dont le courriel est adressé : s’adresse-t-on à vous directement ou dit-on simplement « Monsieur » ou « Madame »? Une mention anonyme ou générique peut indiquer que le message est frauduleux.
  • Recherchez les coquilles, même les plus subtiles. Encore aujourd’hui, les fautes d’orthographe ou de grammaire sont fréquentes dans les courriels d’hameçonnage en raison de mauvaises traductions.
  • Méfiez-vous si le courriel comprend des pièces jointes portant le format .zip ou .exe, particulièrement s’il y a plusieurs étapes avant de pouvoir télécharger le document.
  • Prenez le temps d’examiner les liens hypertextes et les adresses courriel des expéditeurs avant de cliquer. Pour ce faire, placez le curseur de votre souris au-dessus des liens contenus dans vos courriels, de façon à faire apparaître l’adresse vers où ils vous redirigent. Semble-t-il s’agir d’adresses légitimes?
  • Assurez-vous que votre connexion à un site est chiffrée, donc sécurisée. Lors d’une connexion sécurisée, l’adresse Web commencera alors par « https:// ». De plus, une icône représentant un cadenas en position fermée ou une clé s’affichera en bordure de la barre d’adresse de votre navigateur.
  • N’oubliez pas que les réseaux sans fil publics ne sont pas sécurisés. N’autorisez pas vos appareils à s’y connecter automatiquement.
  • Enfin, méfiez-vous des offres qui sont trop belles pour être vraies. Rappelez-vous que la méfiance et la vigilance sont les clés de la prévention en cybersécurité.

Vous avez mordu à l’hameçon? Que faire?

Si vous avez été victime d’une attaque par hameçonnage, voici quelques mesures à prendre :

  • Informez rapidement les autorités. L’attaque par hameçonnage est une fraude. Au Québec, tout acte frauduleux doit être signalé à la Sûreté du Québec Cet hyperlien s'ouvrira dans une nouvelle fenêtre.  ou au service de police local, car la fraude est un acte criminel.
  • Notez tous les détails dont vous vous souvenez concernant l’attaque, y compris les informations sensibles ou personnelles que vous auriez pu communiquer aux fraudeurs.
  • Enfin, modifiez immédiatement les mots de passe des comptes concernés par l’attaque.

POUR DÉCLARER UNE FRAUDE

Ressources additionnelles au besoin