Nous passons une grande partie de notre vie personnelle et professionnelle en ligne, que ce soit pour effectuer des opérations bancaires, garder le contact avec nos amis et notre famille, ou nous détendre après une longue journée en regardant nos films et nos séries préférés. Si Internet nous est devenu presque indispensable, il s’agit aussi d’un formidable terrain de jeu pour les cybercriminels, notamment ceux qui commettent des vols d’identité.

Ces escrocs peuvent tenter de profiter d’une personne en essayant de la convaincre de divulguer ses renseignements personnels ou de cliquer sur des liens permettant de télécharger des éléments tels que des logiciels malveillants. Ils peuvent essayer de se faire passer pour une source digne de confiance ou pour quelqu’un que vous connaissez personnellement. Cette fausse communication en ligne est appelée « hameçonnage ».

Comme nous l’avons tous déjà entendu, le savoir, c’est le pouvoir. En comprenant ce qu’est l’hameçonnage, comment il fonctionne et quels sont les signes à surveiller, vous pouvez réduire les risques et continuer à profiter d’Internet comme il se doit. Voici ce que vous devez savoir. 

Comment fonctionne l’hameçonnage?

Vous avez probablement déjà entendu le terme « hameçonnage », mais vous ne savez peut-être pas ce qu’il signifie. Voici un bref aperçu de son fonctionnement.

L’hameçonnage est un type de cyberattaque dans le cadre de laquelle des escrocs envoient des communications qui semblent provenir de sources fiables telles qu’une grande entreprise, alors qu’ils essaient en réalité d’abuser de la confiance des gens grâce à une technique appelée ingénierie sociale. Ils peuvent demander des renseignements sensibles tels que des mots de passe, des données bancaires et des numéros de carte de crédit. Les pirates informatiques peuvent alors utiliser ces renseignements pour accéder à vos cartes de crédit ou à vos comptes bancaires.

Le problème avec les attaques d’hameçonnage, c’est qu’elles peuvent passer par plusieurs plateformes, notamment :  

  • Messagerie électronique : il s’agit du type d’hameçonnage le plus courant, 96 % des attaques d’hameçonnage étant véhiculées par courriel. 
  • Appels téléphoniques : les escrocs peuvent laisser des messages encourageant les cibles à appeler un numéro où quelqu’un leur demandera des renseignements personnels.  
  • Textos : l’objectif est d’inciter les gens à cliquer sur des liens menant à un site/page Web malveillant 
  • Usurpation de réseaux Wi-Fi  : les escrocs créent un point d’accès Wi-Fi gratuit malveillant qui semble être légitime. Une fois connectés, ils ont accès au système de l’utilisateur. 

Quels types de renseignements les auteurs d’attaques d’hameçonnage recherchent-ils?

Nous avons mentionné que les auteurs d’attaques d’hameçonnage cherchent à obtenir des renseignements sensibles, mais lesquels exactement? Voici quelques-uns des renseignements recherchés par les escrocs :  

  • Identifiants de connexion (p. ex., compte de messagerie et mot de passe) 
  • Renseignements de la carte de crédit 
  • Numéros de compte bancaire 
  • Numéros de sécurité sociale 
  • Données d’entreprise 

Types d’attaques d’hameçonnage

Les escroqueries d’hameçonnage peuvent prendre de nombreuses formes, mais comprendre les types courants d’attaques d’hameçonnage peut vous aider à tenir les voleurs à l’écart. En voici quelques-uns :  

Hameçonnage par courriel

Un courriel d’hameçonnage est un courriel frauduleux qui semble provenir d’une entreprise ou d’une personne légitime. Il peut vous demander de fournir des renseignements personnels ou de cliquer sur un lien conçu pour télécharger un logiciel malveillant. Par exemple, un courriel prétendument envoyé par la Banque du Canada peut vous inviter à vous connecter à votre compte bancaire pour vérifier vos renseignements en raison d’une activité suspecte.

Heureusement, il existe des moyens de repérer une telle cyberattaque d’hameçonnage 

  • Le courriel contient des fautes d’orthographe et de grammaire. Si le courriel est truffé de fautes d’orthographe et de grammaire, il s’agit probablement d’une escroquerie d’hameçonnage. Les entreprises n’envoient pas de courriels truffés d’erreurs. 
  • Une banque demande des renseignements personnels. Les établissements financiers ne vous envoient pas de courriel pour vous demander des renseignements personnels tels que votre code PIN, votre numéro de sécurité sociale ou votre numéro de compte bancaire. Si vous recevez un courriel de ce type, supprimez-le et ne fournissez aucun renseignement. 
  • L’URL ne correspond pas. Pour voir l’adresse courriel de l’expéditeur, passez le curseur sur le nom de l’expéditeur ou le lien contenu dans le courriel. Si l’adresse de l’expéditeur ne correspond pas au nom affiché, c’est mauvais signe. Par exemple, si un courriel semblant émaner de FedEx provient d’une adresse courriel qui ne comprend pas le nom de l’entreprise ou si ce dernier est mal orthographié, il s’agit très probablement d’un courriel d’hameçonnage. Pour vérifier l’URL d’un lien sur un téléphone mobile, appuyez sur le lien de manière prolongée. 
  • Le courriel n’est pas personnalisé. Une entreprise avec laquelle vous faites affaire s’adressera à vous par votre nom. Un courriel d’hameçonnage peut utiliser une formule de politesse générale telle que « Cher titulaire de compte ». 
  • Le message suscite un sentiment d’urgence. Les messages d’hameçonnage créent de fausses situations d’urgence pour vous inciter à agir sans réfléchir. Ils peuvent prétendre qu’un compte va être gelé si vous ne confirmez pas immédiatement vos renseignements personnels. Les demandes d’intervention d’urgence sont généralement des courriels d’hameçonnage. Une entreprise légitime donne à ses clients un délai raisonnable pour répondre avant de clôturer un compte. 
  • Il provient d’un expéditeur inconnu. Envisagez de supprimer tout courriel provenant d’un expéditeur que vous ne reconnaissez pas ou d’une entreprise auprès de laquelle vous ne vous fournissez pas. Soyez également prudent lorsque vous recevez un message d’une personne que vous connaissez, mais qui vous semble inhabituel ou suspect. 

Harponnage

Si certains courriels d’hameçonnage sont envoyés à un large public, les courriels de harponnage ciblent quant à eux des personnes ou des entreprises spécifiques. Cela permet aux escrocs de faire des recherches sur le destinataire et de personnaliser le message pour le rendre plus crédible.

Voici quelques exemples de courriels de harponnage :  

  • Piratage d’entreprise : les cybercriminels envoient des courriels aux collaborateurs d’une entreprise pour trouver des failles dans le réseau de l’entreprise. Les courriels peuvent sembler provenir d’une source fiable. Il suffit qu’une seule personne clique sur un lien pour qu’un rançongiciel soit téléchargé et infecte le réseau de l’entreprise.  
  • Note d’un supérieur : un employé reçoit un courriel frauduleux qui semble provenir d’un dirigeant et lui demande de communiquer des données d’entreprise ou d’accélérer le paiement d’un fournisseur. 
  • Escroquerie aux réseaux sociaux : les cybercriminels peuvent utiliser les renseignements de votre compte de réseau social pour vous demander de l’argent ou des données. Par exemple, un grand-père peut recevoir un texto provenant soi-disant de son petit-fils et lui demandant de l’argent de toute urgence. Mais lorsqu’il appelle pour vérifier, il découvre que son petit-fils est en sécurité à la maison. 

L’une des meilleures défenses contre le harponnage consiste à contacter l’expéditeur présumé du courriel pour vérifier la véracité de la demande. Appelez le collègue qui vous demande d’effectuer un virement ou connectez-vous à votre compte Amazon pour vérifier les messages. 

Hameçonnage par clonage

Dans le cas de cette fraude hautement personnalisée, les fraudeurs reproduisent un courriel légitime que vous avez peut-être déjà reçu et y ajoutent des pièces jointes ou des liens malveillants conduisant à un faux site Web. Le courriel prétend être un nouvel envoi de l’original. Si vous cliquez sur un lien malveillant, vous risquez de donner accès à votre liste de contacts aux spammeurs, qui pourront alors envoyer de faux courriels à vos contacts en se faisant passer pour vous.

Bien que les courriels d’hameçonnage par clonage semblent authentiques, il existe des moyens de les repérer, notamment :  

  • Assurez un suivi direct. Consultez le site Web de la banque, du détaillant en ligne ou de l’entreprise pour voir si vous devez prendre des mesures. 
  • Examinez l’URL. Faites uniquement confiance aux sites Web commençant par HTTPS, jamais à ceux commençant par HTTP. 
  • Regardez s’il y a des fautes. Comme pour tout courriel d’hameçonnage, soyez attentif aux fautes d’orthographe et de grammaire. 

Hameçonnage vocal

Les escrocs recourent à l’hameçonnage vocal pour tenter de vous persuader de fournir des renseignements sensibles. Ils peuvent utiliser l’usurpation de l’identité de l’appelant pour faire croire que l’appel provient d’une entreprise locale ou même de votre propre numéro de téléphone. Les appels d’hameçonnage vocal consistent généralement en des appels automatisés qui laissent un message vocal ou vous invitent à appuyer sur des boutons pour joindre un opérateur. L’objectif est de dérober des données de cartes de crédit ou des renseignements personnels et financiers en vue de les utiliser dans le cadre d’un vol d’identité.

Heureusement, certains signes trahissent ces attaques, notamment :  

  • L’appel provient d’une agence gouvernementale. Si l’appelant se fait passer pour une agence gouvernementale, il s’agit probablement d’une escroquerie. À moins que vous ne l’ayez demandé, des agences comme l’Agence du revenu du Canada ne vous contacteront jamais par téléphone, texto ou courriel. 
  • Une action urgente est demandée. Les escrocs peuvent tenter de jouer sur la peur pour vous inciter à agir rapidement. La pression exercée pour que vous agissiez promptement est un signe qui ne trompe pas. 
  • Ils demandent des renseignements personnels. Une demande de renseignements personnels par téléphone devrait déclencher un signal d’alarme. Parfois, l’appelant possède certaines de vos données, telles que les premiers chiffres de votre numéro de sécurité sociale. L’escroc essaie alors de vous faire croire que l’appel est légitime et vous demande de fournir des renseignements supplémentaires. 

Si vous souhaitez éviter les appels d’hameçonnage vocal, il y a plusieurs choses que vous pouvez faire. Si vous ne reconnaissez pas le numéro de téléphone, ne décrochez pas. Laissez l’appel arriver sur la messagerie vocale, puis bloquez-le s’il n’est pas légitime. Utilisez une application de blocage des appels pour filtrer les appels arrivant sur votre téléphone mobile. Pour bloquer les appels sur une ligne fixe, renseignez-vous auprès de votre opérateur sur les services qu’il propose.

La politesse n’est pas de mise face à un cybercriminel. Si vous répondez à un appel d’hameçonnage vocal, raccrochez dès que vous en prenez conscience. Ne répondez à aucune question, même par oui ou non. Votre voix pourrait être enregistrée et utilisée à des fins de vol d’identité. Si vous êtes invité à appuyer sur un bouton pour être retiré d’une liste d’appels, ne le faites pas. Vous recevrez encore plus d’appels.

Si vous recevez un message vocal et que vous n’êtes pas sûr de sa légitimité, appelez directement l’entreprise en utilisant le numéro de téléphone figurant sur son site Web. N’appelez pas le numéro indiqué dans le message vocal. 

Hameçonnage par texto

Si vous avez déjà reçu un texto prétendant provenir d’Amazon ou de FedEx, vous avez fait l’expérience de l’hameçonnage par texto. Les escrocs utilisent des messages d’hameçonnage par texto pour inciter les gens à appuyer des liens malveillants depuis leur téléphone intelligent. Voici quelques exemples de textos frauduleux courants : 

  • Gain d’un prix : si cela vous semble trop beau pour être vrai, c’est probablement le cas.  
  • Faux remboursements : une entreprise avec laquelle vous faites affaire créditera votre compte ou votre carte de crédit, elle ne vous enverra pas de textos. 
  • Demande d’aide d’un proche : ces messages peuvent demander une caution ou une autre forme d’aide pour un parent qui se trouve à l’étranger. 
  • Messages provenant d’agences gouvernementales : supprimez toujours ces messages, car les administrations publiques ne prennent jamais contact par texto. 
  • Textos provenant de sociétés telles qu’Amazon ou Apple : il s’agit des entreprises les plus souvent victimes d’une usurpation de leur identité, car la plupart des gens effectuent des transactions avec l’une d’entre elles, voire les deux. 

Si vous recevez un texto d’hameçonnage , ne répondez pas car vous en recevrez encore plus. Au lieu de cela, supprimez le texto et bloquez le numéro. 

Hameçonnage par fenêtres flash

On parle d’hameçonnage par fenêtres flash lorsque vous êtes sur un site Web et qu’une fausse fenêtre flash apparaît. Celle-ci vous encourage à cliquer sur un lien ou à appeler un numéro pour résoudre le problème. Certaines d’entre elles se rechargent continuellement lorsque vous essayez de les fermer ou de bloquer votre navigateur.

Les escroqueries par fenêtres flash les plus courantes sont les suivantes :  

  • Alerte d’ordinateur infecté : cette fenêtre flash frauduleuse tente de vous persuader de cliquer sur un lien pour supprimer les virus de votre ordinateur. Pour accroître encore le sentiment d’urgence, certaines incluent de faux comptes à rebours qui vous donnent quelques secondes pour cliquer sur un lien et installer un logiciel antivirus. En réalité, le lien installe un logiciel malveillant. Un logiciel antivirus légitime tel que McAfee Total Protection n’agit pas de la sorte. Au contraire, il protège votre vie connectée contre les logiciels malveillants, l’hameçonnage et autres menaces. 
  • Renouvellement de la garantie AppleCare : cette fenêtre flash vous incite à appeler un faux numéro Apple afin de communiquer les données de votre carte de crédit dans le but de prolonger votre garantie Apple. 
  • Fenêtre flash du fournisseur d’accès à Internet : cette fenêtre flash, qui semble provenir de votre fournisseur de services de messagerie, vous incite à fournir des données personnelles. 

Si vous voyez une fenêtre flash frauduleuse, ne cliquez pas sur dessus et n’essayez pas de cliquer sur le bouton de fermeture présent dans la fenêtre. Au lieu de cela, fermez votre navigateur. Si votre navigateur est bloqué, utilisez le gestionnaire des tâches pour le fermer sur un PC. Sur un Mac, cliquez sur l’icône Apple et choisissez Forcer à quitter. 

Que dois-je faire si je suis victime d’une attaque d’hameçonnage?

Le fait d’être en ligne nous rend visibles aux yeux de beaucoup d’autres personnes, y compris des escrocs. Heureusement, si vous êtes victime d’une attaque d’hameçonnage, vous pouvez prendre certaines mesures afin de profiter à nouveau du monde numérique. Par exemple : 

  • Effectuez un signalement auprès du Centre antifraude. Rendez-vous sur le site https://antifraudcentre-centreantifraude.ca/scams-fraudes/victim-victime-fra.htm pour signaler un message d’hameçonnage et suivez les instructions fournies. 
  • Modifiez vos mots de passe. Si vous avez fourni les mots de passe de votre compte bancaire ou d’un autre site Web, connectez-vous à votre compte et changez vos mots de passe et vos identifiants de connexion. Si vous utilisez ces mots de passe pour d’autres comptes, changez-les également. N’utilisez pas le même mot de passe pour plusieurs comptes. 
  • Appelez la société émettrice de la carte de crédit. Si vous avez communiqué votre numéro de carte de crédit, appelez la société émettrice pour l’en informer. Elle pourra vérifier si des dépenses frauduleuses ont été effectuées, bloquer votre carte actuelle et vous délivrer une nouvelle carte de crédit. 
  • Examinez votre rapport de solvabilité. Vous pouvez obtenir gratuitement des copies de votre rapport de solvabilité tous les 12 mois auprès des trois principales agences d’évaluation du crédit — Experian, TransUnion et Equifax — en vous rendant sur le site AnnualCreditReport.com. Vérifiez si de nouveaux comptes ont été ouverts à votre nom. 
  • Lancez des analyses sur vos appareils. Il est possible que vous ayez téléchargé un logiciel malveillant lors de l’attaque d’hameçonnage. Les logiciels antivirus, tels que ceux inclus dans McAfee Total Protection, peuvent analyser vos appareils en temps réel pour détecter toute activité malveillante et supprimer les virus présents sur vos appareils.  

Comment puis-je me protéger contre les tentatives d’hameçonnage?

Vous méritez de mener votre vie en ligne en toute liberté. Mais cela peut nécessiter de prendre certaines mesures pour vous protéger contre les tentatives d’hameçonnage. Voici quelques solutions pour améliorer votre cybersécurité et tenir les escrocs à distance :

  • Ne cliquez pas sur les liens contenus dans les courriels. Si vous recevez un courriel de votre banque ou d’une entreprise comme Amazon, ouvrez une fenêtre de navigateur et accédez directement au site de l’entreprise. Ne cliquez pas sur un lien dans un courriel. 
  • Utilisez des mots de passe uniques. Si vous utilisez le même mot de passe pour plusieurs comptes, un pirate informatique qui accède à l’un de vos comptes pourrait être en mesure d’infiltrer tous vos comptes. Utilisez des mots de passe différents pour chacun de vos comptes. Un gestionnaire de mots de passe tel que McAfee True Key peut vous aider à créer des mots de passe et à les enregistrer. 
  • Vérifiez la sécurité de votre navigateur. Les navigateurs Web tels que Google Chrome et Safari peuvent être paramétrés pour bloquer les sites Web frauduleux. Allez dans les paramètres de votre navigateur et ajustez le niveau de sécurité. 
  • Utilisez des filtres antispam. Tous les grands fournisseurs de services de messagerie disposent de filtres antispam qui transfèrent les courriels suspects vers un dossier de courrier indésirable ou de spam. Lorsque des courriels d’hameçonnage arrivent dans votre boîte de réception, marquez-les toujours comme spam afin que tous les courriels ultérieurs provenant de cette source atterrissent dans le dossier de spam.  
  • Supprimez les courriels suspects. Supprimez les courriels provenant d’établissements financiers dont l’objet comporte la mention « urgent », par exemple. 
  • Utilisez une protection antivirus. Tous vos appareils connectés à Internet devraient être dotés d’une protection antivirus telle que McAfee Total Protection. Configurez-la pour qu’elle soit mise à jour automatiquement afin de maintenir votre couverture à jour. 
  • N’envoyez pas de renseignements par courriel. Les banques et les sociétés émettrices de cartes de crédit n’envoient jamais de demandes de données personnelles par courriel. Si vous souhaitez confirmer des renseignements auprès d’un établissement financier, contactez-le directement à l’aide des coordonnées figurant sur son site Web, par exemple un numéro de téléphone. 
  • Surveillez vos publications sur les réseaux sociaux. Faites attention à ce que vous publiez sur les réseaux sociaux. Les questionnaires dans lesquels vous mentionnez des détails de votre vie privée, comme le nom de votre animal de compagnie, l’école que vous avez fréquentée, etc. peuvent fournir aux pirates informatiques une mine de renseignements. Assurez-vous que seuls vos amis peuvent voir vos publications. 

Naviguer en ligne en toute sécurité

Les tentatives d’hameçonnage ne doivent pas vous empêcher de profiter d’Internet. Les services de protection contre le vol d’identité de McAfee, y compris les logiciels antivirus, vous permettent de profiter de votre vie numérique tout en restant à l’abri des escrocs et des voleurs d’identité.

Grâce à la surveillance 24 h/24 et 7 j/7 de vos données sensibles, y compris jusqu’à 60 types uniques de renseignements personnels, McAfee vous offre une protection proactive. Cela signifie que vous êtes alerté 10 mois plus tôt qu’en cas d’utilisation de services concurrents, de sorte que vous pouvez agir avant que vos données ne soient utilisées à des fins illégales. Nous proposons également une couverture contre le vol d’identité à hauteur d’un million de dollars et un service de restauration pratique en cas de violation de données.

Mais surtout, vous pouvez vous procurer un forfait adapté à vos besoins, incluant des fonctions de protection antivirus, de surveillance contre le vol d’identité et de couverture de plusieurs appareils. Nous rendons la navigation sur Internet plus sûre.