Le début d’avril au Québec a été marqué par une tempête de verglas ayant généré des pannes de courant majeures ayant affecté plus d’un million de ménages à travers la province. Alors que les équipes d’Hydro-Québec ont travaillé sans relâche pour assurer le rebranchement de l’ensemble de la clientèle, qui devrait être complété dans les prochaines heures, les cybercriminels travaillent également de leur côté pour s’enrichir au détriment des victimes.

En effet, plusieurs tentatives d’hameçonnage ont été observées, où des arnaqueurs tentent d’obtenir frauduleusement les informations personnelles des clients. Le SMS frauduleux laisse entendre que, dû aux pannes électriques des jours précédents, Hydro-Québec souhaiterait faire parvenir un remboursement aux clients touchés par les pannes de courant.

Figure 1: Tentative d'hameçonnage par SMS

Le message inclut un lien menant à un formulaire à répondre. Les arnaqueurs prétendent que ce questionnaire permet à la société de leur transmettre les prestations promises. Comme c’est le cas dans toutes les tentatives d’hameçonnage via SMS, l’objectif des cybercriminels est d’obtenir les informations personnelles de leurs victimes, y compris leurs informations bancaires.

Suite à la prolifération de ces tentatives d’hameçonnage, Hydro-Québec a réagi via Twitter à ces cybarttaques. En effet, la société d’état a publié ce message visant à alerter la population de l’arnaque en cours :

L’entreprise précise que ces messages ne proviennent pas d’elle-même, et invite la clientèle à faire preuve de prudence. De plus, l’entreprise dispose d’une page spécifique sur la prévention contre la fraude.

Si les pannes électriques liées à la récente tempête constituent une circonstance particulière, les tentatives d’hameçonnage par SMS, ou smishing, sont très largement répandues. Rappelons tout d’abord que les sociétés d’état, agences du revenu, banques, et grandes entreprises utilisent des moyens spécifiques pour contacter leur clientèle. Les SMS comprenant un lien ne constituent pas un moyen de communication fiable, et ces organisations n’utilisent donc pas ce type de moyens pour contacter leur clientèle

Lecture complémentaire : Mordriez‑vous à l’hameçon? Répondez à notre quiz sur l’hameçonnage!

Prévention

Voici quelques autres conseils pour identifier une tentative de hameçonnage, que ce soit par courriel ou message texte :

  • Le courriel ne s’adresse pas à vous personnellement, alors que l’entreprise qui est censée être l’expéditeur connait vos coordonnées et a accès à votre dossier personnel. Un message générique, n’incluant pas votre nom ou tout autre information personne, constitue un premier signe que vous devriez vous méfier.
  •  Les erreurs de grammaire et d’orthographe : Les messages officiels sont rédigés sans fautes. La présence de fautes est donc un signe qui devrait vous alerter. Cependant, alors que les arnaqueurs se perfectionnent, les erreurs peuvent devenir moins nombreuses et plus difficiles à repérer.
  • Le message inclut un lien sur lequel vous devez cliquer. Accordez une attention particulière à l’adresse URL du lien, qui peut vous indiquer une tentative d’hameçonnage. Dans tous les cas, tapez directement l’adresse du site officiel de l’organisation dans votre navigateur, afin de vous assurer de ne pas être la proie des cybercriminels.
  • Les messages comprenant une pièce jointe, par exemple, une supposée facture ou une notification d’un type quelconque, devraient vous alerter.
  • Le message vous invite à effectuer une action urgente, à cliquer sur un lien et à se connecter pour vérifier des transactions, obtenir un remboursement, confirmer votre identité, etc.
  • L’adresse électronique ou le numéro de téléphone indiqué : Passez la souris sur l’adresse électronique et vérifiez l’adresse réelle de l’expéditeur et le domaine d’où il a été envoyé.
    • Quant à une tentative via SMS, vérifiez en ligne si le numéro de téléphone utilisé est bel et bien associé à l’entreprise ou l’organisme prétendant vous contacter. Mais même si le numéro ou l’adresse semble légitime, méfiez-vous des tentatives de spoofing.

Dans tous les cas, rappelez-vous que la prévention est toujours préférable, notamment en ligne. Restez sur vos gardes, et, tenez-vous au courant (pardonnez le jeu de mot!) des plus récentes tentatives de cyberfraudes en consultant régulièrement notre blogue.

Lectures complémentaires :
Succomberiez‑vous à une arnaque d’hameçonnage? Faites le test!
Ne mordez pas à l’hameçon! Évitez les pièges des arnaqueurs
La saison des arnaques de l’impôt est là!