12 conseils pour éviter, détecter et signaler l’hameçonnage

L’hameçonnage (phishing en anglais) est l’une des méthodes de fraude les plus répandues. Elle consiste à se faire passer pour une institution financière ou une autre organisation bien connue dans le but d’obtenir de l’argent ou des informations confidentielles. En communiquant avec un très grand nombre de personnes par courriel, texto ou téléphone, ou encore par l’intermédiaire des médias sociaux, les escrocs s’attendent à en piéger quelques-unes. Et avec l’utilisation grandissante de l’intelligence artificielle, leurs stratagèmes se sophistiquent de plus en plus. Voici comment réduire les risques d’être victime de ce type de fraude.

Les fraudeurs n’ont plus seulement recours aux liens frauduleux dans leurs stratagèmes. Désormais, ils utilisent aussi les codes QR, ces codes-barres carrés qu’on peut balayer avec un téléphone intelligent. Les personnes mal intentionnées s’en servent dans leurs courriels d’hameçonnage ou les affichent dans les endroits publics. Une fois balayés, les codes QR frauduleux peuvent rediriger vers des sites qui ressemblent à s’y méprendre à des sites légitimes, ou encore installer un logiciel malveillant sur votre appareil.  

Avant de balayer un code QR, assurez-vous qu’il provient d’une source fiable. 

L’hameçonnage ne vise pas toujours à obtenir votre argent. Des personnes mal intentionnées pourraient utiliser vos mots de passe pour se connecter à vos différents comptes (institution financière, réseaux sociaux, détaillants en ligne, etc.). Vos renseignements personnels et financiers pourraient quant à eux servir à ouvrir un compte frauduleux ou à effectuer une demande de prêt.

Soyez sur vos gardes lorsque des informations du genre sont exigées, surtout si vous n’avez pas personnellement engagé la conversation. Vérifiez toujours l’authenticité de la source avant de fournir des informations.

• Choisissez des mots de passe complexes Lien externe au site.. Pensez à des mots de passe que personne ne pourra deviner, pas même votre famille ou votre entourage. Ils doivent comporter entre 10 et 14 caractères et comprendre des majuscules, des minuscules, des chiffres et des caractères spéciaux. Ayez un mot de passe différent pour chaque service. Pour faciliter la gestion de vos identifiants et éviter les oublis, l’utilisation d’un gestionnaire de mots de passe peut être une option intéressante, à combiner avec d’autres bonnes pratiques de sécurité. Vous n’aurez ainsi à mémoriser les informations de connexion que d’un seul compte.
• Effectuez les mises à jour de vos équipements et de vos logiciels dès qu’elles sont disponibles, et dotez-vous d’une protection antivirus.
• Activez la validation en deux étapes chaque fois que celle-ci vous est proposée. Cette mesure contribue à renforcer la sécurité de votre compte. Le système vous demandera alors de saisir un mot de passe et vous enverra, par courriel ou par texto, un code à usage unique que vous devrez entrer. Ce code n’est destiné qu’à vous : ne le communiquez à personne.

C’est un moyen simple d’éviter que vos mots de passe, votre numéro d’identification personnel (NIP) de carte de débit ou de crédit et votre compte bancaire ne tombent entre de mauvaises mains. Une personne ne prenant pas cette précaution peut être tenue responsable des transactions effectuées à partir de son compte bancaire, même en cas de fraude.

Date de naissance, lieu de résidence ou de travail, destination de vos dernières vacances : individuellement, ces éléments peuvent sembler anodins. Mais lorsque les escrocs ont accès à ce genre de renseignements sur vous, ils sont en mesure de personnaliser leur approche et d’exploiter l’intelligence artificielle pour rendre leur message encore plus convaincant. Par exemple, l’intelligence artificielle peut analyser les informations de vos comptes de médias sociaux afin de créer des messages d’hameçonnage qui font référence à des détails précis de votre vie, comme votre travail, vos loisirs ou vos champs d’intérêt.

Les fraudeurs recueillent aussi les renseignements que vous dévoilez sur les médias sociaux afin de tirer parti d’une technique appelée le piratage psychologique (ou l'« ingénierie sociale »). Cette technique de manipulation consiste à se faire passer pour une personne de confiance pour inciter une victime à dévoiler certains renseignements. Par exemple, pendant que vous êtes en vacances à l’étranger, des fraudeurs pourraient chercher à soutirer de l’argent à vos proches en usurpant votre identité et en laissant croire que vous êtes dans le pétrin.

Plusieurs stratagèmes consistent à présenter une situation inattendue ou problématique qui nécessite d’agir rapidement, sans réfléchir.  Par exemple, des fraudeurs pourraient vous demander de mettre à jour vos renseignements personnels pour éviter que votre compte ne soit gelé ou fermé. Ou encore, des frais pourraient vous être exigés avant la livraison d’un colis en raison de soi-disant ennuis à la frontière.

Faites vos vérifications en téléphonant directement à la personne ou à l’entreprise concernée. N’utilisez pas les coordonnées indiquées dans le message reçu : au besoin, effectuez plutôt vos propres recherches pour obtenir un numéro officiel.

Il est peu plausible que vous ayez remporté un concours auquel vous n’avez pas participé ou qu’une entreprise vous crédite certains frais sans que vous en ayez fait la demande. Vous ne recevrez jamais non plus votre remboursement d’impôt ou vos prestations gouvernementales par Virement InteracMD. Si on vous offre la possibilité de toucher de l’argent sans effort et sans démarche préalable de votre part, c’est louche.

Une personne que vous connaissez vous enverrait-elle vraiment un message court et vague, du genre « Est-ce toi dans cette vidéo?! », en vous demandant de cliquer sur un lien ou d’ouvrir une pièce jointe? Il est plus probable que le compte ou le courriel de la personne ait été piraté et que des cybercriminels cherchent à piquer votre curiosité pour parvenir à leurs fins.

Remettez aussi en doute les contenus dans lesquels des célébrités font la promotion de produits miracles ou tiennent des propos sensationnalistes. Il pourrait s’agir de contenus générés par l’intelligence artificielle, qui permet de modifier ou de créer de toutes pièces des images, des voix ou des vidéos dans le but de vous tromper.

Pour repérer ces contenus truqués, portez attention aux mouvements inhabituels du corps ou des lèvres dans les vidéos, aux phrases décousues ou aux propos choquants. Pour les photos, des indices tels que des détails insuffisants, un fini peu naturel ou des traits physiques incohérents permettent de repérer une image générée par l’intelligence artificielle.

Vous pouvez transférer tout courriel ou texto frauduleux à protection@desjardins.com, et nous l’analyserons. Nous ne ferons toutefois pas de suivi supplémentaire auprès de vous. N’interagissez plus avec le message suspect et supprimez-le.

Si vous avez fourni des informations personnelles ou confidentielles, avisez les ressources suivantes pour éviter que des demandes frauduleuses de prêt ou de carte de crédit puissent être faites en votre nom et pour renforcer la sécurité de votre compte :

• Votre institution financière et tout autre partenaire financier
• Les agences d’évaluation du crédit Equifax Lien externe au site. et TransUnion Lien externe au site.
• Le Centre antifraude du Canada Lien externe au site. (CAFC)

Vérifiez régulièrement vos activités bancaires et l’utilisation de votre carte de crédit pour détecter toute transaction suspecte.

Consultez régulièrement votre dossier de crédit auprès d’'Equifax et de TransUnion, accessible dans la section Mon dossier de crédit d’AccèsD.

Vous pouvez aussi activer le système de surveillance et recevoir des alertes par courriel en inscrivant votre adresse dans la section Mon profil du tableau de bord  CreditViewMD  de TransUnion*.