Alors qu’il n’est pas encore en vigueur, le fameux programme canadien d’urgence de 2000 $ par mois fait déjà l’objet de faux messages. Saurez-vous repérer les pièges ?

D’un côté, les réseaux sociaux sont pollués de fausses nouvelles et autres désinformationssur le virus covid-19, de l’autre, vos messageries sur téléphone intelligent ou sur ordinateur seront prises d’assaut par des pirates sans scrupules.

Leur objectif ? Vous soutirez des informations comme vos numéro d’assurance sociale, comptes bancaires, identifiants et mots de passe.

Le plus souvent, le message d’hameçonnage (phishing) contiendra un lien à ouvrir qui vous mènera vers une page Web factice ou qui téléchargera un programme malicieux dans votre système.

Chaque fois qu’il sera question d’argent, les pirates et autres fraudeurs en ligne ne seront pas bien loin.

Attendez-vous à des messages bidon sur l’assurance-emploi, les demandes de souplesse ou de sursis pour vos cartes de crédit ou vos hypothèques et, surtout, sur le nouveau Programme canadien d’urgence (PCU) de 2000 $ par mois.

Il n’y a pas si longtemps, les messages d’arnaques étaient faciles à éviter parce que mal conçus, en anglais seulement et truffés de fautes. Plus maintenant. Ils reproduisent à s’y méprendre les sites gouvernementaux et autres sociétés d’État auxquels nous sommes habitués. Ils prennent même l’habitude de faire traduire leurs pièges numériques.

Guide anti-arnaques

1- Chaînes de courriels.

C’est le conseil que j’ai maintes fois répété à mes amis et proches : évitez de faire suivre des messages courriel à vos contacts, même si le contenu est cool. Dans 99,9999 % des cas, ce sont des messages conçus pour encourager des chaînes de Ponzi dans le simple but de collecter un maximum d’adresses courriel valides.

Pires, ces courriels en chaîne peuvent receler un virus informatique ou une tentative d’hameçonnage. Vous ne vous ferez pas d’amis ici !

2- Les gouvernements et services en ligne

Pour utiliser les services en ligne de nos gouvernements fédéral et provincial, il faut toujours se rendre sur les sites Web de ceux-ci. Et quand ils nous envoient des courriels, c’est généralement parce qu’on s’y est abonné auparavant. Ces messages ne contiennent habituellement jamais de pièces jointes ni de liens à cliquer.

3- Messages de Fedex, Postes Canada, UPS

Pratiquement tout le monde a commandé un jour ou l’autre des produits sur des boutiques en ligne. Et les pirates le savent bien et comptent en profiter.

Par exemple, vous recevez un message d’un expéditeur disant que votre paquet sera livré en retard. Bien évidemment, il y aura un lien à cliquer pour vous indiquer les nouvelles informations de votre commande. Que faire ?

Si vous avez un colis en route, allez sur le site Web de l’expéditeur ou de la boutique en ligne pour en avoir le cœur net. Et supprimez le faux message.

4- Dénoncez les pirates du courriel à vos fournisseurs de messagerie

Vos comptes courriel sur le Web ont généralement des boutons Spam ou pourriel pour déclarer de faux messages. Pour nos logiciels Mail ou Outlook sur ordinateur, chaque fournisseur de services Internet possède une adresse pour signaler les abus.

Chez Vidéotron, on fait suivre le pourriel à rapport-polluriel@videotron.ca et on supprime le message compromettant. Cette page Vidéotron décrit en long et en large les mesures de sécurité.

Chez Bell, l’adresse est abuse@bell.ca. Autres infos ici.

5- Soi-disant problèmes avec vos comptes en ligne

Autre astuce des pirates, celle d’envoyer des messages truqués visant des services en ligne populaires, comme PayPal, Amazon, etc.

Une simple différence dans l’adresse peut vous mener vers de gros problèmes. Par exemple, le lien à cliquer comporte un nom de serveur subtilement modifié.

Ex : www.pay-pal.com au lieu de www.paypal.com

Les navigateurs Web détectent généralement ce genre de contrefaçon des noms de domaine DNS. Mais il vaut mieux être au courant et se méfier.

6- Les pages Web sécurisées HTTPS sont sûres ?

Non, pas nécessairement. HTTPS signifie simplement que le site en question utilise un protocole sécurisé et chiffré pour transférer des données entre le serveur et votre navigateur. C'est certainement une bonne chose, car cela permet d'éviter la falsification des données et l'espionnage numérique par des tiers et vous permet de savoir que le site n'est pas une fausse version du site réel que vous essayez de visiter. Mais le HTTPS, lui, ne fournit aucune garantie quant aux propriétaires du site ou à leurs intentions. Et si ces propriétaires de sites sont des acteurs malveillants, alors tout ce que vous faites sur leur site HTTPS est de transférer en toute sécurité vos données personnelles à des pirates, ou de télécharger d'authentiques logiciels malveillants.

7- La photo qui n’en est pas une !

Une image annexée à un courriel peut cacher un fichier exécutable dont le programme malveillant ira fouiller votre ordinateur.

Assurez-vous que le nom du fichier de l’image se termine par jpg ou png. Et vérifiez la source du fichier avant de la transférer dans votre système.

8- Mises à jour

Maintenez à jour vos systèmes d’exploitation sur ordinateur et téléphone intelligent, ainsi que votre logiciel antivirus.

Évitez également les WiFi publics à moins de sécuriser votre connexion avec les services d’un réseau virtuel privé (VPN) payé par abonnement, et non gratuit.

9- Gare aux hautes saisons !

Mois de l’impôt, période des fêtes, St-Valentin, toutes ces périodes constituent des moments forts pour les arnaqueurs. Évitez de tomber dans leurs pièges.

10- Faites régulièrement des copies de sauvegarde.

Advenant le pire, vous pourrez toujours reprendre avec la dernière sauvegarde.

Testez vos connaissances avec notre quiz !

Selon vous, par quel(s) moyen(s) les attaques par hameçonnage vous sont-elles livrées ? (Tiré de Mac Secure)

a) par les fichiers malicieux annexés aux courriels

b) par des liens sur les médias sociaux comme Facebook et Twitter

c) par des codes QR et des messages texte

d) par des appels téléphoniques

e) réponses a et b

f) toutes ces réponses

Chaque réponse en détail...

a) Oui, cette méthode a fait ses preuves et malheureusement trop de gens cliquent sur un lien qui les mène tout droit en enfer.

b) Si le lien vous mène ailleurs, il peut être malveillant.

c) La plupart des gens ne réalisent pas qu’il est possible d’effectuer des attaques par hameçonnage de cette manière. Ne touchez à aucun lien d’un texto qui provient d’une source inconnue.

d) Oui, il est possible de réaliser des attaques d’hameçonnage par téléphone. Un appel qui vous semble légitime avec le bon afficheur (mais faux en réalité) où on vous demandera des informations personnelles n’est rien d’autre qu’une arnaque.

Aussi, un fraudeur vous appelle, mais raccroche aussitôt. Piqué de curiosité, vous rappelez le même numéro pour connaître sa provenance. Ce faisant, vous serez tenu de payer des frais supplémentaires pour cet appel, des frais qui iront bien évidemment garnir le compte du pirate.

e) a et b

f) C’est la bonne réponse , et malheureusement, les pirates peuvent utiliser tous ces moyens contre vous.

Un lien, un appel ou un fichier annexé peut contenir une attaque potentielle. S’ils sont de sources inconnues (regardez l’adresse courriel de l’envoyeur ou le lien sans le cliquer), méfiez-vous.

Bien qu’ils nécessitent des moyens considérables et une infrastructure, de supposés appels du gouvernement, d’un de vos services ou autres visent à vous soutirer des éléments de vos comptes et d'autres informations personnelles. Le bon côté du Québec, c’est que le marché francophone n’est pas aussi attrayant qu’ailleurs en Amérique du Nord.