Une hausse des fraudes en ligne au Canada
Adepte de streaming, il m’arrive de recevoir des courriels de Netflix me proposant une liste de films ou de séries. Une demande récente de mise à jour de mes coordonnées de compte semblait donc tout à fait normale – d’autant que le message comportait le logo rouge familier de Netflix. Voici ce qu’il disait:
«Nous ne sommes pas en mesure de valider vos données de facturation pour votre abonnement. Si nous n’avons pas de réponse de votre part d’ici 48 heures, votre abonnement sera suspendu.
Nous serions ravis de vous compter de nouveau parmi nous. Pour ce, cliquez sur “relancer mon abonnement” pour mettre à jour vos données et continuer à bénéficier sans interruption des meilleurs films et séries télévisées.
Nous sommes là pour vous aider. Visitez notre centre d’aide pour plus de renseignements.
– L’équipe Netflix»
Cette technique de phishing courante a été conçue pour inciter le destinataire d’un tel message à fournir son numéro de carte de crédit, ses coordonnées bancaires ou son mot de passe Netflix. Les cybercriminels sont prêts à tout pour vous tromper et vous escroquer. Leurs armes? Les courriels (le plus souvent avec une grammaire douteuse), les textos, les demandes sur les réseaux sociaux ou, à l’ancienne, par des appels téléphoniques. Partout dans le monde, des gens sont victimes de violations de données, de virus ou de rançongiciels (quand vous ne pouvez plus accéder à votre ordinateur à moins de payer pour retrouver l’accès à vos données).
La cybercriminalité est souvent associée à des attaques en provenance de Chine et de Russie (parfois parrainées par ces États), d’Inde (où sont implantés de nombreux centres d’appel) et de certaines régions d’Afrique (un prince nigérian, ça vous dit quelque chose?). Pourquoi? Parce qu’il est plus difficile d’identifier et d’inculper les auteurs de ces crimes dans ces pays. Mais les attaques peuvent venir de n’importe où.
C’est aux États-Unis que la cybercriminalité sévit le plus, selon des spécialistes de la cybersécurité de Symantec.
L’Internet Crime Complaint Center du FBI a relevé qu’elle avait coûté près de trois milliards de dollars aux Américains de plus de 50 ans, en 2021, soit 62% de plus que l’année précédente. En réalité, le nombre de victimes pourrait être bien plus élevé, notamment parce que les seniors ne savent pas toujours comment signaler une fraude ni même qu’ils ont été arnaqués.
Au Canada, en 2021, ces fraudes et ces arnaques ont coûté environ 379 millions de dollars à tous les groupes d’âge, une augmentation de 130% par rapport à l’année précédente, selon le Centre antifraude du Canada (CAFC). Le Royaume-Uni n’a guère été épargné cette même année, avec plus de 1,3 milliard de livres (2,1 milliards de dollars canadiens) cédés à des cybercriminels, relève UK Finance, un organisme représentant l’industrie bancaire et financière au Royaume-Unis. Environ 40% de cette somme a été versée par les victimes dans un compte bancaire, sur les instructions des fraudeurs.
La situation s’aggrave. Selon Cybersecurity Ventures, une publication dont les bureaux sont situés à New York, la cybercriminalité mondiale devrait considérablement augmenter et atteindre annuellement 10,5 billions de dollars américains d’ici 2025, contre trois billions en 2015. Si on devait la considérer comme un pays, la cybercriminalité serait la troisième économie mondiale après les États-Unis et la Chine, devant le Japon, l’Allemagne, le Royaume-Uni, l’Inde, la France, l’Italie et le Canada.
Il y a plusieurs raisons à cette augmentation, mais la pandémie semble avoir agi comme catalyseur, croient de nombreux spécialistes en cybersécurité, quand une partie du monde a dû télétravailler avec des protocoles de sécurité souvent plus poreux que ceux du bureau. Les virus informatiques se sont invités, explique Vishnu Varadaraj, directeur principal chez McAfee Canada, une société de sécurité logicielle.
«Le fait de compter plus souvent sur les services en ligne facilite le travail des cybercriminels», ajoute M. Varadaraj. Ils rivalisent d’imagination pour profiter de nous, dit-il, d’autant que nous utilisons plus d’appareils pour accéder à nos comptes en ligne pour les opérations bancaires, les achats, et les applications de réseaux sociaux.
Voici 12 signes qu’un site d’achats en ligne est sur le point de vous arnaquer.
Les menaces les plus courantes
Les cybercrimes les plus fréquents en ce moment.
Phishing et smishing
Aucune entreprise ou gouvernement qui se respecte ne vous demandera par courriel de remplir un formulaire pour confirmer votre identité. On appelle phishing l’envoi d’un courriel qui semble parfaitement authentique et qui tente de vous attirer vers un faux site internet pour siphonner vos coordonnées. (Menée par texto, l’opération s’appelle smishing.)
Le courriel peut afficher un logo comme celui de votre banque ou d’une carte de crédit. Le message alerte le plus souvent sur une tentative d’accès à votre compte et vous demande d’ouvrir immédiatement une session pour changer le mot de passe. Sauf que le lien sur lequel vous cliquez renvoie à un faux site et votre mot de passe tout comme vos coordonnées financières sont récupérés par les fraudeurs. Ils peuvent alors retirer de l’argent de votre compte ou utiliser votre carte. Si ces criminels ont changé votre mot de passe, vous n’aurez plus accès à votre banque ni ne pourrez utiliser vos cartes de paiement ou de crédit.
En 2022, un habitant de Victoria, en Colombie-Britannique, au Canada, s’est fait escroquer de plusieurs dizaines de milliers de dollars par un fraudeur qui avait envoyé un courriel semblant émis par PayPal. La victime a été amenée à partager des informations financières qui ont permis au fraudeur d’acheter pour près de 50 000$CAD en Bitcoins. Les cybercriminels apprécient les formulaires électroniques de paiement, tels les cryptomonnaies, les codes de carte-cadeau et les mandats bancaires car aucune interaction personnelle n’est nécessaire, ils sont accessibles partout dans le monde et ont une traçabilité réduite.
Ne cliquez jamais sur un lien ou une pièce jointe dans un courriel qui vous demande de confirmer vos coordonnées. Dans le doute, appelez la société ou l’organisme pour vérifier sa provenance. Ne composez jamais un numéro fourni par boîte vocale ou au téléphone; n’appelez qu’un numéro que vous avez trouvé vous-même.
Connaissez-vous ces 10 situations où il ne faut jamais utiliser sa carte de crédit pour le paiement?
Vishing
Ne faites jamais confiance à une personne qui vous appelle au nom de l’administration fiscale, d’une banque, de votre fournisseur d’accès internet ou d’un service de «soutien technique». Même si vous reconnaissez le numéro, car ceux-ci sont facilement détournés.
«Les auteurs d’arnaque à l’hameçonnage vocal, ou vishing, savent se montrer persuasifs, voire menaçants», prévient Theresa Payton, spécialiste en cybersécurité, première femme directrice des systèmes d’information à la Maison-Blanche, poste qu’elle a exercé de 2006 à 2008, et fondatrice et P.-D. G. de Fortalice Solutions LLC, une société de cybersécurité et de renseignements opérationnels.
Voici un exemple de vishing que certains connaissent: « Je vous appelle de Microsoft. Votre fournisseur de service internet nous alerte sur la présence d’un virus dans votre ordinateur. Puis-je vous aider?» Votre interlocuteur ajoute généralement que vous risquez de perdre l’accès à internet si la question n’est pas résolue.
Il peut aussi vous donner des instructions qui, si vous les suivez, lui permettront d’accéder à votre ordinateur où qu’il soit – et de prendre le contrôle de la souris et du clavier comme s’il se trouvait devant votre écran. Le fraudeur s’empare alors de vos données, soit sur-le-champ, soit en installant un logiciel espion qui lui enverra ces informations.
Les victimes sont souvent, mais pas toujours, des personnes âgées, bien que de plus en plus de gens de la génération Z (nés après 1997) se font avoir par des vishings. Le cabinet de cybersécurité Security Intelligence cite les données de Social Catfish, un service d’enquête pour les rencontres en ligne, qui montrent qu’aux États-Unis le nombre de victimes d’arnaques en ligne de moins de 20 ans a bondi de 156% entre 2017 et 2020.
Aux États-Unis seulement, les arnaques au téléphone ont coûté la somme astronomique de 39,5 milliards de dollars américains entre mars 2021 et mars 2022, nous apprend Truecaller, une application qui identifie et bloque les appels et les textos non sollicités. C’est le chiffre le plus élevé jamais enregistré depuis la production du premier rapport annuel, préparé en collaboration avec The Harris Poll, en 2014.
Les fraudeurs qui appellent un numéro aux États-Unis peuvent prétendre être à l’emploi de l’Internal Revenue Service (IRS), met en garde Mme Payton, en utilisant de faux noms et numéros d’identité, et vous demander de payer sur-le-champ une fausse facture fiscale, à défaut de quoi vous risquez une arrestation ou une action en justice.
«Même si vous disposez d’un afficheur, vous pouvez penser que l’appel est émis d’une banque ou de l’IRS, comme j’en ai fait l’expérience récemment, ajoute Theresa Payton. Sachez qu’il y a certaines choses que la banque ou le gouvernement ne feront jamais – notamment appeler, envoyer un courriel ou un texto affirmant que vous serez poursuivi ou arrêté si vous ne faites pas ceci ou cela.»
Assurez-vous de connaître ces 22 signes indiquant qu’on espionne votre cellulaire.
Courriel de rançon
Dans un autre scénario, vos mots de passe sont pris en otage jusqu’à ce que vous vous acquittiez d’une rançon. Bob Lotich, professeur et spécialiste en finances personnelles à Franklin, dans le Tennessee, a reçu un message d’extorsion. «Le mot de passe que j’utilise sur des centaines de sites s’affichait sur la ligne de sujet, a écrit M. Lotich sur son blog. On me prévenait dans ce courriel qu’en plus du vol de mon mot de passe, ma webcam avait été piratée.»
Les cybercriminels exigeaient 2900 $US en Bitcoins, avant 24 heures, faute de quoi ils s’attaqueraient à ses comptes. (L’homme n’a pas payé; la menace s’est révélée infondée.)
Fraude à l’événement ou à l’occasion spéciale
Bien que les fraudes se produisent toute l’année, les fraudeurs aiment les associer à un événement spécial ; par exemple la Saint-Valentin («Cliquez sur ce lien pour rejoindre ce site de rencontre pour les 50+»), la saison des impôts (« Vous êtes admissible à un retour d’impôt »), une guerre ou une catastrophe naturelle (avec sollicitation de dons par de faux organismes caritatifs). Le CAFC a reçu plusieurs signalisations de fraudes au début de l’année 2022 en lien avec les événements en Ukraine, quand de nombreux Canadiens ont été sollicités via les réseaux sociaux pour donner de l’argent aux victimes de la guerre. Ces sommes allaient directement dans les poches des criminels.
Ces mêmes truands profitent de l’incertitude économique. Certains utilisateurs de Facebook aux États-Unis ont pu voir l’année dernière des publications de «Southwest Air Fans», un groupe qui prétendait offrir deux billets d’avion à condition de cliquer sur un lien pour s’inscrire à un sweepstake. Les fraudeurs volaient des renseignements personnels, ce qui a entraîné de nombreux vols d’identité.
«Les gens sont préoccupés par des problèmes d’argent, redoutent entre autres le coût élevé de l’essence, alors les fraudeurs montent des arnaques au “coût de la vie”, avec des cadeaux, des réductions et des remboursements de taxes énergétiques fallacieux», explique Natalie Kelly, directrice de la gestion des risques pour Visa Europe, à Londres, au Royaume-Uni.
Le ministère britannique du Travail et des Retraites a émis un avertissement pour les appels, les courriels et les textos frauduleux et invite les victimes à réclamer un remboursement en s’inscrivant sur un site.
Fraude aux grands-parents
Les personnes âgées sont les cibles préférées des fraudeurs car ce sont de bons payeurs. Aux États-Unis, la société de cybersécurité Comparitech a publié des données troublantes montrant que, si la perte moyenne par incident était de 324$US chez les moins de 30 ans, ce chiffre bondissait à 426$ chez les sexagénaires et à 635$ chez les septuagénaires. Mais la perte médiane chez les octogénaires atteignait, elle, le chiffre ahurissant de 1300$.
Les fraudeurs s’attaquent aux seniors par message direct sur les réseaux sociaux ou par texto en se faisant passer pour un petit-fils ou une petite-fille qui demande de l’argent pour une urgence médicale, un souci de déplacement, ou l’achat de livres pour les études. Ils glanent des infos personnelles grâce aux photos que leurs victimes publient sur Facebook ou Instagram et qui leur permettent de concevoir un message très crédible. Nous sommes plus portés à répondre quand le numéro d’appel semble familier. Sachez que les fraudeurs ont recours à des logiciels qui leur permettent de choisir le numéro de téléphone qui apparaîtra sur votre afficheur.
Souvent, le «petit-fils» ou la «petite-fille» demandera de ne pas prévenir la famille, par gêne ou par crainte. Voulant l’aider, les grands-parents envoient l’argent au fraudeur par virement bancaire.
En mars 2022, dans une ville du nord de Toronto, un homme de 81 ans a été victime d’un fraudeur qui s’est fait passer pour son petit-fils. Il prétendait avoir été arrêté par la police et priait son grand-père de payer l’amende, ce qu’il s’est empressé de faire. Puis il y a eu un autre appel, soi-disant d’un agent de la Gendarmerie royale du Canada. L’«agent» a validé le récit du «petit-fils», en ajoutant qu’il fallait verser plus d’argent. En trois mois, le grand-père a fini par exécuter quatre versements – et s’est fait rouler de 100 000$CAD.
Grand-parent ou pas, si vous recevez un message de cette nature qui semble venir d’un être cher, avant d’envoyer de l’argent, appelez directement votre proche pour lui demander s’il est réellement en difficulté.
Découvrez ce témoignage d’une personne qui s’est fait arnaquée par sa meilleure amie.
Catfishing et arnaques sentimentales
Le catfishing consiste à incarner une personne qui n’existe pas. Le fraudeur utilise un faux nom et une photo bidon pour séduire une personne en ligne, le plus souvent via les réseaux sociaux – Facebook, Instagram ou une application de rencontre. Une fois la confiance établie, il demande de l’argent à sa victime.
Rebecca D’Antonio de Orlando, en Floride, raconte qu’un homme connu sur un site de rencontre en ligne l’a extorquée de 100 000$US. Après des mois passés à établir une relation de confiance avec Rebecca via des courriels et des textos, «Matthew», qui prétendait être veuf et père célibataire, a réussi à convaincre sa victime d’exécuter des transferts en sa faveur en racontant avoir besoin d’argent pour régler des factures médicales, ou parce qu’il avait perdu sa carte de crédit.
Comment réduire le risque
Tout cela donne envie de débrancher et de revenir à l’ère prénumérique. Heureusement, les autorités et les entreprises de cartes de crédit s’attaquent sérieusement au problème.
Au cours des cinq dernières années, Visa a investi 9 milliards $US à l’échelle mondiale dans la prévention des fraudes et la cybersécurité, dont un investissement de 500 millions$US en intelligence artificielle, apprentissage machine et infrastructure de données. Cela permet de suivre en temps réel toute activité suspecte sur votre compte, à l’aide de plus de 500 «facteurs de risque» (indices) qui pourraient suggérer une fraude. Ce faisant, Visa arrive à identifier des modèles de cybercrimes et travaille en collaboration avec les forces de l’ordre pour retrouver ces criminels et les traduire en justice.
Pour faciliter l’identification et l’arrestation de fraudeurs et autres criminels, Visa travaille régulièrement aux côtés du ministère américain de la Justice, du FBI, des Services secrets et d’Europol. Au premier semestre 2021, cette collaboration a permis d’ébranler le fameux groupe de cybercriminels FIN7, responsable d’une entreprise mondiale de cartes bancaires – celles-ci étaient clonées pour permettre le retrait d’espèces aux distributeurs de billets –, qui ont récupéré des millions de dollars blanchis par le crime organisé.
Depuis 2018, Mastercard a investi plus d’un milliard $US en cybersécurité. Au cours des trois dernières années, l’entreprise a empêché 30 milliards $US de fraudes éventuelles contre ses clients. En 2020, pour stimuler l’innovation dans le domaine de la sécurité, Mastercard a lancé le Global Mastercard Intelligence and Cyber Centre of Excellence dans son centre technique de Vancouver.
«Si les personnes âgées sont un groupe cible connu, les fraudeurs s’intéressent à la plus jeune génération et visent désormais les 14-18 ans qui viennent d’ouvrir un compte courant et sont invités, via des plateformes comme Snapchat, à donner leurs coordonnées bancaires», déplore Natalie Kelly. D’après la Federal Trade Commission aux États-Unis, 44% des jeunes de moins de 30 ans, un chiffre astronomique, ont signalé avoir été victime d’une fraude qui leur a fait perdre de l’argent.
Il n’est pas nécessaire de maîtriser la technologie pour se protéger des cybercriminels. Il y a quelques précautions à prendre. Il suffit de les appliquer.
Des mots de passe à toute épreuve
Vos mots de passe devraient comporter au moins sept caractères dans une combinaison de lettres (au moins une minuscule et une majuscule), de chiffres et de symboles (au moins un de chaque). Ne glissez jamais votre année de naissance dans un mot de passe, ni celle de vos enfants ni le nom de votre animal de compagnie. La «passphrase» est une bonne idée; par exemple: «C1ch@t5pa!» (pour « C’est un chat sympa»).
N’utilisez jamais le même mot de passe pour vos activités en ligne, car en cas de piratage d’un site ou d’une application, les criminels passeront aux autres comptes. Les applications de gestion de mots de passe comme 1Password et Dashlane permettent de retracer toutes les informations de connexion et assurent la protection de chaque mot de passe.
Ne partagez pas vos informations
Vos profils de réseaux sociaux doivent rester privés. Si quelqu’un fait une demande d’ami ou de partage sur les réseaux sociaux, n’acceptez que si vous connaissez cette personne. Même avec le nom et la photo de quelqu’un que vous connaissez, assurez-vous qu’il s’agit bien de cette personne en lui demandant de confirmer par un autre moyen de communication. S’il s’agit d’une escroquerie, bloquez cette personne et signalez un message frauduleux.
Redoublez d’efforts
Pour les services bancaires en ligne et les applications d’achats, optez pour l’authentification à deux facteurs qui, en plus de demander le mot de passe pour la connexion, envoie un code sur votre appareil mobile pour prouver qu’il s’agit bien de vous.
Cachez-vous
Activez le mode «privé» ou «incognito» sur votre navigateur. Cette action permet de supprimer l’historique et les mouchards («cookies») après la session, ce qui empêche l’information de rester sur votre appareil. Mieux, le recours à un logiciel de réseau virtuel privé (VPN) permet de rester anonyme quand vous êtes en ligne.
Réorganisez vos comptes courriels
Les comptes courriels de vos réseaux sociaux doivent être différents de ceux que vous associez à vos comptes bancaires, aux informations sur vos soins de santé ou à vos conversations privées, prévient Teresa Payton. «Ces comptes courriels sont accessibles et facilement récupérables via des outils de marketing gratuits.»
Mme Payton suggère plutôt d’utiliser une plateforme de courriel cryptée comme Proton Mail, une solution «priorité à la vie privée». Par ailleurs, utilisez des numéros de téléphone distincts pour votre usage privé et tout ce qui se rattache aux finances. Il est possible d’obtenir un second numéro gratuit sur votre téléphone via des applications comme TextNow, Google Voice ou Talkatone.
Sécurisez vos achats
Si vous faites un achat en ligne, n’utilisez qu’une connexion internet sécurisée – la Wi-Fi à la maison, par exemple. Les sites fiables recourent à des technologies comme le protocole SSL (couches de socket sécurisés) qui chiffre les données durant la transmission. (Vous verrez apparaître une petite icône de cadenas sur votre navigateur et, généralement, « https » devant la barre d’adresse.) De nombreux spécialistes en cybersécurité jugent plus prudent de faire ses achats via l’application du marchand que sur le web.
N’achetez que sur des sites qui ont une méthode de paiement sécurisée, comme les cartes de crédit, PayPal, Apple Pay ou Google Pay. Si vous faites des achats sur le site d’un marchand que vous ne connaissez pas, recherchez un sceau ou une certification de sécurité comme DigiCert, Better Business Bureau et VeriSign. Sur un site d’enchère comme eBay, vérifiez la réputation du vendeur et lisez les commentaires avant d’acheter un produit.
Ne faites pas d’achats (ou d’opérations bancaires) en ligne à partir d’un point d’accès Wi-Fi public – comme dans un café, un aéroport ou un hall d’hôtel. Ils ne sont pas aussi sûrs que la Wi-Fi à la maison ou une connexion cellulaire. Votre téléphone fera un bien meilleur «point d’accès privé».
Protégez vos outils
Pour contrer les virus et autres logiciels malveillants, installez sur vos appareils des logiciels anti-malware (appelés auparavant «antivirus»). C’est l’équivalent de placer un verrou sur votre porte et d’activer le système d’alarme. Les logiciels anti-malware peuvent identifier, mettre en quarantaine, supprimer et signaler une activité suspecte.
Les meilleurs produits offrent un pare-feu, des options de chiffrage et la détection d’intrusion via la webcam (elle empêche toute tentative d’accès à votre webcaméra).
Le meilleur moyen de se protéger des fraudes consiste à rester sur ses gardes, à développer l’intuition qu’un événement est suspect et à installer un logiciel, comme un anti-malware, pour être tranquille.
Inscrivez-vous à l’infolettre de Sélection du Reader’s Digest. Et suivez-nous sur Facebook et Instagram!