Comment les cybercriminels prennent contact

Piratage psychologique

Le piratage psychologique est l’art d’amener les gens à divulguer des renseignements confidentiels par la manipulation. Les cybercriminels ont souvent recours à cette tactique qui consiste à jouer avec les émotions des gens pour les amener à divulguer leurs mots de passe ou renseignements bancaires ou à donner accès à leur ordinateur, ce qui permet d’y installer secrètement des logiciels malveillants.

• La victime ciblée peut se voir demander de fournir des renseignements personnels, de cliquer sur un lien ou d’ouvrir une pièce jointe.

• Les cybercriminels tentent de faire appel aux émotions de leurs éventuelles victimes et de créer chez elles un sentiment d’urgence. Par exemple, ils peuvent se faire passer pour un employé de RBC et vous demander de changer votre mot de passe ou de confirmer un changement de mot de passe en cliquant sur un lien.

• L'objectif est habituellement l’installation d’un logiciel malveillant sur votre ordinateur ou appareil mobile. Ce genre de logiciel a pour but de présenter des annonces, de verrouiller votre ordinateur jusqu’à ce que vous versiez une rançon, ou d’épier vos activités en ligne.

Voici certains types d’arnaques misant sur le piratage psychologique :

Hameçonnage

L’hameçonnage est l’une des arnaques privilégiées des cybercriminels. Ils vous envoient une offre fictive par courriel (disant que vous avez gagné des vacances ou un montant à la loterie, par exemple) dans l’espoir que vous mordrez à l’hameçon et que vous leur communiquerez l’information qu’ils cherchent, à savoir des renseignements personnels ou financiers dans la plupart des cas.

Voici comment fonctionne cette arnaque :

• On vous demande de télécharger un ficher ou d’ouvrir une pièce jointe – généralement, il s’agit d’un logiciel malveillant se présentant sous la forme d’un fichier ou programme inoffensif.

• Ce logiciel aidera le cybercriminel à accéder à vos renseignements personnels et financiers.

Autres formes d’hameçonnage

Pour tenter d’accéder à vos renseignements, les criminels useront de tous les moyens dont ils disposent, pas seulement le courriel. L’hameçonnage peut également prendre la forme d’un message texte transmis à votre téléphone mobile ou tablette, d’un message sur média social, ou même d’un appel téléphonique.

Les cybercriminels peuvent concevoir leurs attaques par hameçonnage de manière à ce qu’elles trouvent un écho auprès de certains groupes de victimes potentielles (par exemple, des spécialistes en ressources humaines ou des personnes ayant un passe-temps ou des intérêts communs) ou même de particuliers. Cette pratique a pour nom « harponnage ».

Faux sites Web

Avez-vous déjà reçu un courriel ou un message texte d’une source en apparence familière vous demandant de mettre à jour votre profil ou de modifier votre mot de passe en raison de circonstances particulières ?

Parodier un site Web ou une adresse de courriel consiste à feindre l’identité d’un autre usager ou d’une autre entreprise de façon à passer pour une source légitime ou un expéditeur connu.

Voici comment fonctionne cette arnaque :

• Les criminels créent une adresse de courriel ou un hyperlien en apparence légitime afin de faire croire aux destinataires qu’ils correspondent avec un ami, un membre de la famille, ou un représentant d’une entreprise.

• Les destinataires sont dirigés vers un site Web qui semble authentique, mais qui n’est en fait qu’une copie fidèle du véritable site.

Hameçonnage vocal

Si vous recevez un appel d’une prétendue source sûre qui vous demande des renseignements personnels ou bancaires, méfiez-vous, car il peut s’agir d’un hameçonnage vocal. Voici comment fonctionne cette arnaque :

• Une personne vous appelle, prétendant représenter une entreprise digne de confiance.

• Elle vous demande de lui fournir des renseignements personnels ou de prendre une mesure, comme transférer de l’argent à un autre compte ou envoyer vos cartes bancaires à l’adresse qu’elle vous fournit.

• Vous pouvez également recevoir un appel au sujet d’un remboursement ou d’un problème lié à votre carte de débit ou de crédit. Pour régler ce « problème », la personne vous demande de confirmer l’information relative à un paiement ou à votre compte bancaire.

Hameçonnage par SMS

Avez-vous déjà reçu un message texte d’un numéro que vous ne reconnaissez pas vous demandant de faire quelque chose, comme fournir des renseignements personnels ou financiers? Il pourrait s’agir d’une tentative d’hameçonnage par SMS.

L’hameçonnage par SMS consiste à tenter de vous amener à fournir des renseignements personnels par l’intermédiaire d’un message SMS ou texte. Le nom « hammeçonnage par SMS vient de « hammeçonnage » et de « SMS ». Voici comment fonctionne cette arnaque :

• On vous envoie un message texte vous demandant d’appeler au numéro fourni ou de cliquer sur un lien.
• Lorsque vous faites, on vous demande de fournir des renseignements personnels, par exemple le numéro de votre carte de crédit ou compte bancaire.

La rapide croissance de popularité des sites de médias sociaux, comme Facebook, Instagram ou Twitter, a offert de nouvelles occasions de fraude aux cybercriminels, qui utilisent les fonctions de messagerie pour repérer d’éventuelles victimes et entrer en contact avec elles. L’une des tactiques les plus utilisées dans les médias sociaux a pour nom « hameçonnage par faux site Web ». Voici comment fonctionne cette arnaque :

• Les criminels repèrent des utilisateurs actifs de médias sociaux et suivent de près leurs conversations ou messages publics, à la recherche de ceux qui demandent de l’aide technique.

• Ils envoient alors à ces utilisateurs un message provenant prétendument d’un membre de l’équipe de soutien technique d’une entreprise légitime, pour offrir leur aide ou leurs conseils techniques.

• Les criminels dirigent alors leurs proies vers un compte ou une page de média social fictive où on leur demande de fournir des renseignements personnels, voire de transférer de l’argent.

Une arnaque sentimentale est un stratagème frauduleux dans le cadre duquel un cybercriminel fait mine d’éprouver des sentiments amoureux pour quelqu’un.

Le criminel s’efforce de créer un lien affectif aussi rapidement que possible afin de gagner l’affection et la confiance de sa cible, pour ensuite lui déclarer qu’il en est devenu amoureux. Son but ultime est d’amener la personne à lui fournir de l’argent ou des renseignements personnels.

Les victimes des arnaques sentimentales sont souvent des personnes relativement âgées ou isolées, et donc plus vulnérables et plus susceptibles d’accorder leur confiance. Il s’agit souvent de veufs ou de veuves, mais les criminels s’attaquent à toute personne en quête d’une nouvelle relation affective.

Voici le scénario d’une arnaque sentimentale :

• pour tromper ses victimes, le criminel se présente en ligne sous une fausse identité – en général sur un site de rencontre ou un site de réseau social.
• Il fait des recherches dans les réseaux sociaux, tirant parti de l’information publiée par ses victimes potentielles afin de susciter leur intérêt et de gagner leur confiance.
• Le criminel pourra prétendre être confronté à un besoin urgent de fonds. D’autres fois, il demandera à sa victime de lui fournir l’argent nécessaire pour prendre l’avion afin de lui rendre visite – mais le voyage ne se concrétisera jamais.
• Les criminels demandent souvent des photos ou des renseignements personnels dont ils peuvent ensuite se servir pour extorquer davantage d’argent en faisant chanter leurs victimes.

Les contribuables ont lieu d’être vigilants lorsqu’ils reçoivent un message douteux disant provenir de l’Agence du revenu du Canada (ARC) ou de l’Internal Revenue Service (IRS) des États-Unis et demandant des renseignements personnels comme le numéro d’assurance sociale, de carte de crédit, de compte bancaire ou de passeport.

L’escroquerie fiscale débute habituellement par un appel téléphonique (hameçonnage vocal), un courriel (hameçonnage par courriel) ou un texto (hameçonnage par SMS) indiquant qu’on doit de l’impôt ou que le remboursement est plus important que prévu. Le criminel, se faisant passer pour un agent de l’ARC ou de l’IRS, essaie de recueillir des renseignements personnels ou de pousser sa victime à effectuer un versement.

Voici le scénario d’une arnaque sentimentale :

• Un criminel vous appelle et vous indique qu’il a besoin de vos renseignements personnels pour traiter votre remboursement d’impôt.
• Un criminel suscite de la crainte en vous disant que vous pourriez être expulsé, poursuivi ou arrêté si vous n’effectuez pas un versement immédiatement.
• Vous recevez un courriel ou un texto indiquant que plusieurs erreurs ont été relevées dans votre déclaration d’impôt et que celle-ci doit être mise à jour. Pour ce faire, on vous demande de cliquer sur un lien ou une pièce jointe menant à un document, comme une feuille de calcul ou une formule, qui contient un logiciel malveillant ou un rançongiciel.
• Un criminel vous envoie un message disant provenir de l’ARC ou de l’IRS, dans lequel il vous demande de cliquer sur un lien pour que votre remboursement d’impôt soit effectué par télévirement ou dépôt direct dans votre compte bancaire.