Connaissez-vous certaines des tactiques les plus courantes que les escrocs peuvent utiliser pour voler vos données, votre identité et votre argent? L'ère numérique a ouvert de nouvelles voies aux escrocs pour viser des victimes potentielles; dans de nombreux cas, les fraudeurs peuvent recueillir toute une série de détails sur des net-citoyens sans méfiance avant de les frapper avec des attaques ciblées. Les escroqueries en ligne prennent des formes diverses et deviennent de plus en plus sophistiquées, mais le fait d'être vigilant et de connaître les menaces contribuera grandement à assurer la sécurité.

À l'occasion du Mois de la prévention de la fraude, qui s’ouvre cette semaine, nous avons discuté avec Tony Anscombe, évangéliste de la sécurité d’ESET, des moyens que les particuliers et les entreprises du monde entier peuvent prendre pour éviter d'être victimes de la fraude.

Bonjour Tony, merci de vous joindre à nous. Cette semaine marque le début du Mois de la prévention de la fraude, en rappelant aux citoyens et aux entreprises l'importance de se protéger contre la fraude. La première question s'impose : quelle est l'importance de l'action individuelle pour prévenir la fraude?

Les entreprises et les citoyens mènent une vie très active et il est très facile de placer en bas de la liste des choses à faire des éléments qui ne nous concernent pas immédiatement. La fraude peut faire partie de ces préoccupations qui peuvent être éclipsées par le quotidien. Bien que nous sachions que le risque existe, tant que la fraude ne nous affecte pas, nous risquons de délaisser les mesures préventives. Bien que ce soit un comportement compréhensible, cela ne devrait pas être le cas. En reconnaissant l’importance du problème que la fraude représente, on lui accordera le temps et les efforts qui s’imposent.

Les mesures préventives peuvent ne pas être aussi onéreuses à mettre en œuvre qu'on le pense d'abord, et les avantages qu'il y a à se tenir à l'écart des statistiques sur les victimes de la fraude permettront certainement de tenir à distance une question très stressante. Par exemple, les mesures préventives contre le vol d'identité peuvent prendre de 3 à 5 heures, mais la récupération après un vol d'identité peut prendre de 100 à 200 heures, réparties sur une période de six mois.

Pour les entreprises, le risque est encore plus grand; la fraude peut affecter les opérations quotidiennes de l'entreprise et, si elle doit être rendue publique, elle peut entraîner une perte de réputation et créer un climat de méfiance avec les clients.

L'élaboration d'un plan d'action pour prévenir la fraude, que ce soit en tant qu'entreprise ou en tant que citoyen, doit être une priorité sur la liste des choses à faire ; c'est du temps bien utilisé. N'attendez pas d'être une victime.

Selon le Baromètre de la cybercriminalité 2018 d’ESET pour le Canada, la fraude bancaire et le vol d'identité sont les principales préoccupations des Canadiens en matière de cybersécurité. Quelles mesures devrions-nous prendre pour nous protéger contre ces crimes?

La fraude bancaire et le vol d'identité sont intrinsèquement liés, comme on peut s'y attendre. Voici quelques conseils sur ce que devrait être le début de votre plan pour protéger votre identité.

  • Lorsqu'on vous demande des informations personnelles, que ce soit en ligne ou hors ligne, demandez-vous toujours si le demandeur a réellement besoin de ces informations;
  • N'échangez pas trop d'informations personnelles sur les médias sociaux;
  • Inscrivez-vous auprès des agences de crédit et créez des alertes vous avertissant lorsque quelqu'un accède à votre dossier de crédit;
  • Envisagez de verrouiller ou de geler votre dossier de crédit pour empêcher l'accès à un tiers, c'est relativement simple à faire et à déverrouiller quand vous en avez besoin;
  • Et faites tout cela pour vos enfants aussi, ne laissez pas quelqu'un voler leur identité avant même qu'ils ne commencent à l'utiliser eux-mêmes;
  • Vérifiez fréquemment les relevés bancaires et financiers et soyez à l'affût de toute transaction étrange ou inconnue;
  • Ouvrez le courrier physique rapidement. Les banques et les institutions utilisent le système de courrier ordinaire pour vous avertir des changements ou accéder à certaines activités en ligne pour vous assurer qu'elles ont bien été effectuées par vous;
  • Protégez votre compte de téléphone portable contre l'échange de cartes SIM, assurez-vous que votre compte de téléphone nécessite un code PIN ou un mot de passe pour l'émission d'une nouvelle carte SIM;
  • Utilisez des mots de passe ou des phrases de passe forts pour sécuriser vos comptes, et gardez chaque compte sécurisé avec un mot de passe ou une phrase de passe unique;
  • Lorsque c'est possible, activez l'authentification multifactorielle pour sécuriser vos comptes, soit par SMS, soit par une application dédiée pour authentifier les connexions et les transactions. Une application dédiée est recommandée car elle offre une meilleure protection si vous êtes victime d'un échange de carte SIM;
  • Inscrivez-vous en ligne pour la sécurité sociale et la déclaration d'impôts, même si vous n'avez pas l'intention d'utiliser les systèmes en ligne. La sécurisation de votre compte empêchera quelqu'un de s'inscrire comme vous;
  • Sécurisez les dispositifs à l'aide d'un logiciel de sécurité et assurez-vous qu'il est tenu à jour.

Le baromètre a également révélé que les trois quarts des personnes interrogées étaient visées par des tentatives d’hameçonnage, soit par courrier électronique ou par téléphone (phishing vocal, ou vishing). Quels conseils donneriez-vous aux utilisateurs qui veulent se protéger contre ces escroqueries?

La plupart des conseils ci-dessus s'appliquent également aux entreprises, la sécurisation d'un compte bancaire d'entreprise nécessite les mêmes identifiants de la personne que l'accès à un compte personnel. Les entreprises doivent sensibiliser fréquemment leurs employés afin de s'assurer qu'ils comprennent ce qu'il faut rechercher pour éviter les fraudes et les escroqueries qui peuvent affecter l'entreprise. Par exemple, la protection contre l'hameçonnage des identifiants de connexion et les attaques de compromission des courriers électroniques professionnels peut être contrecarrée par l'éducation et la sensibilisation à la manière dont ces attaques d'ingénierie sociale se déroulent. Voici quelques conseils de base :

  • Vérifiez l'orthographe de l'adresse Web/URL dans les liens des courriels avant de cliquer sur le lien. La plupart des clients de messagerie électronique vous permettent de voir l'adresse en passant la souris sur la zone cliquable, sans cliquer. Si l'adresse ne semble pas correcte, alors ne cliquez pas dessus;
  • Si vous avez cliqué sur un lien, soyez vigilant lorsque vous arrivez sur le site web. Si l'adresse ne semble pas correcte ou semble différente de la normale, n'entrez aucune information;
  • Par exemple, je ne clique jamais sur les liens dans les messages de ma banque, je tape toujours l'adresse manuellement dans le navigateur et j'accède directement à ma banque;
  • Si vous ne reconnaissez pas le courriel ou si vous trouvez la pièce jointe suspecte, ne l'ouvrez pas et ne la téléchargez pas.

Et les criminels n'utilisent pas seulement des moyens électroniques. Un exemple récent d'une attaque audio truquée contre une entreprise britannique montre comment les criminels utilisent une technologie d'IA sophistiquée pour attaquer les entreprises. Il faut toujours valider la demande en utilisant des mécanismes de communication fiables.

Le rapport du FBI sur la Criminalité sur Internet en 2018 a démontré la menace croissante des attaques de type « Business Email Compromise » (BEC), communément appelées « Fraude au président », dont les pertes ont presque doublé entre 2017 et 2018. Pensez-vous que les formations de sensibilisation sont des mesures efficaces pour permettre aux organisations de se protéger contre ces escroqueries?

Oui, comme mentionné précédemment, je pense que la sensibilisation et l'éducation des employés constituent des mesures importantes. Les formations de sensibilisation sont un excellent outil d'engagement et d'éducation qui donne aux employés des conseils non seulement sur la manière de reconnaître ces attaques sur le lieu de travail mais aussi hors ligne. Le rapport d'enquête 2019 de Verizon sur les atteintes à la protection des données montre que le nombre de clics dans un message test de phishing par les employés a diminué de 4 à 3 % d'une année à l'autre. Bien qu'il s'agisse d'un e-mail test de phishing contrôlé, il démontre que la formation à l'identification des faux courriels porte fruit.

Quelles sont vos prévisions concernant les tendances futures en matière de fraude et, surtout, les mesures à prendre pour prévenir la fraude?

Comme le montre l'exemple ci-dessus, les criminels adopteront des technologies et des techniques sophistiquées pour mener à bien leurs activités malveillantes. À mesure que des données personnelles seront disponibles par le biais de violations ou d'autres moyens, les courriels d’hameçonnage deviendront plus ciblés et prendront la forme de courriels de harponnage avec une personnalisation accrue. Le langage et les erreurs de ces campagnes malveillantes deviendront plus difficiles à repérer à mesure que la technologie disponible pour les créer s'améliorera.

L'usurpation d'identité est un problème croissant qui ne devrait pas diminuer de sitôt, et il est essentiel de prendre les mesures décrites plus haut pour s'en protéger de manière proactive.

Et révisez fréquemment votre plan de protection. Il faut régulièrement refaire cette étape pour assurer votre sécurité!

Auriez-vous un dernier conseil à donner à nos lecteurs qui sont préoccupés par la fraude, mais qui se ne sont pas sûrs des prochaines étapes à suivre?

Tout d'abord, ne vous inquiétez pas. De nombreuses organisations peuvent vous aider de manière proactive. Vous pouvez par exemple vous baser sur les conseils que nous vous donnons ici. La fraude coûte aux institutions financières des millions de dollars chaque année et elles disposent d'équipes d'experts pour vous aider à la prévenir et à vous en sortir. Les gouvernements du monde entier fournissent également d'excellents conseils pour assurer la sécurité en ligne et éviter les fraudes. Le conseil le plus important que je puisse vous donner est le suivant : ne croyez pas que cela ne m'arrivera pas; faites un plan dès aujourd'hui et agissez en conséquence.