Victime de hameçonnage par le biais d’un faux courriel de renouvellement de Netflix
Par Andrew Seale | Publié le 23 mai 2024
En collaboration avec Equifax
Tout a commencé avec un courriel de Netflix, quelque chose qui semblait anodin. Il n’y avait rien pour éveiller ma méfiance, dit Tracy T. «C’est la façon habituelle dont Netflix s’adresse à vous, n’est-ce pas?»
L’adresse email semblait légitime, le message était à l’image de la marque Netflix. Il disait que son dernier paiement pour Netflix n’avait pas passé. «J’ai commencé à entrer les informations de mon compte bancaire et rien ne s’est passé», raconte-t-elle. «J’ai réessayé et je me demandais “que se passe-t-il?”» Elle a quitté la page, s’est reconnectée à son compte bancaire et a fait défiler les paiements antérieurs pour les examiner minutieusement. Elle a remarqué qu’elle avait déjà payé Netflix. En se connectant à la plateforme, tout fonctionnait normalement. C’est à ce moment-là qu’elle a eu l’impression que quelque chose clochait vraiment.
Quelques heures plus tard, elle reçoit un appel de sa banque qui affirme avoir constaté des activités frauduleuses sur son compte. «Ils ont tout arrêté», raconte Tracy. La banque a gelé tous ses comptes, ses cartes de crédit et débit – tout. On lui a dit de garder cet ancien compte ouvert et de le surveiller pendant un certain temps en cas d’activité suspecte. Elle devait repartir de zéro.
«Il m’a fallu des jours pour obtenir de nouvelles cartes de débit et de crédit, de nouveaux formulaires de dépôt direct et des spécimens de chèques et tout pour que les gens puissent obtenir leurs paiements», dit-elle. «Je me sentais comme une idiote.»
Tracy avait été victime d’un hameçonnage, une arnaque courante dans laquelle les fraudeurs utilisent des courriels, des SMS et des appels téléphoniques prétendant provenir d’une source fiable pour voler des informations personnelles ou installer un logiciel malveillant sur les ordinateurs des victimes. Dans le cas de Tracy, elle s’est sentie chanceuse que la fraude ait été signalée rapidement.
[Offer productType=”OtherProduct” api_id=”662928bbc8b1883818f83306″]«Je veux dire, Netflix, ce n’est qu’un paiement minime», dit-elle. «Mais ils auraient pu partir avec tout ce que j’avais… tu te sens violée.»
Tracy n’est pas seule dans son expérience. Selon le plus récent rapport annuel du Centre antifraude du Canada (CAFC), il y a eu 10 647 signalements de hameçonnage en 2022, ce qui en fait la forme de fraude ayant le plus d’impact avec le vol d’identité.
L’histoire de Tracy a une fin très heureuse, déclare Vanessa Iafolla, directrice de Anti-Fraud Intelligence Consulting à Halifax, qui propose des conseils et un accompagnement en matière de criminalité financière pour victimes et avocats. «Avec le hameçonnage, (son histoire) n’est pas celle dont vous entendez habituellement parler.»
Le hameçonnage sous toutes ses formes
Iafolla explique que le hameçonnage peut être divisé en trois catégories: standard (comme ce que Tracy a expérimenté); harponnage, une forme plus ciblée dans laquelle les fraudeurs utilisent des informations détaillées pour tenter de frauder un particulier ou une entreprise; et chasse à la baleine, où les fraudeurs ciblent un actif important d’un particulier ou d’une entreprise.
Le hameçonnage standard est comparable à lancer un filet ou à parcourir l’océan au chalut pour voir ce que vous attrapez. «Ils fonctionnent selon le principe qu’il y a un poisson qui naît à chaque minute… c’est la logique qu’ils suivent», dit-elle. En ce qui concerne l’ingénierie sociale, le hameçonnage repose sur l’inattention ou la vulnérabilité. «C’est la pêche, non? Vous attrapez ce que vous attrapez», dit-elle. «Parfois, c’est une super prise, d’autres fois tu rentres à la maison et il n’y a rien pour le dîner.»
Le hameçonnage va souvent de pair avec l’usurpation d’identité. Les fraudeurs cherchent des informations personnelles comme votre numéro de permis de conduire, votre carte d’assurance maladie, votre numéro d’assurance sociale (NAS), ou financières telles que vos coordonnées bancaires ou votre numéro de carte de crédit. Parfois, le lien peut sembler inoffensif, mais en réalité être utilisé comme une passerelle pour installer des logiciels malveillants qui volent vos informations sans même que vous vous en rendiez compte.
Selon le rapport du CAFC, 2022 a été marquée par une forte hausse des SMS automatisés, les fraudeurs attendant une réponse avant de communiquer directement avec la victime.
Iafolla affirme que les personnes âgées et les populations vulnérables – en particulier les nouveaux arrivants – sont particulièrement touchées. «Il pourrait y avoir d’autres types d’exploitation ou de connaissances asymétriques», explique Iafolla. Il se peut qu’il y ait un manque de connaissances sur la façon dont le système d’immigration fonctionne ou que différents types d’agences gouvernementales ne partagent pas d’informations entre elles
et ne peuvent pas s’entendre pour expulser quelqu’un. Ainsi, lorsqu’un numéro apparaît sur leur téléphone ou un courriel qui prétend provenir de l’Agence du revenu du Canada ou du gouvernement, les gens le prennent au sérieux.
«Vous finissez par avoir des gens très intelligents et compétents, mais pour une raison quelconque – un manque de connaissances – (ils) entrent dans cet horrible monde de victimisation. Ils en savent assez pour savoir que c’est grave et qu’ils doivent y faire face», déclare Iafolla.
[Offer productType=”OtherProduct” api_id=”662928bbc8b1883818f83306″]Prendre un moment de pause
Que pouvez-vous faire?
Iafolla affirme que la sophistication de ces escroqueries est en constante évolution. La technologie rend plus facile de cloner des sites Web et de réduire la frontière entre ce qui est réel et ce qui semble réel. Cela nécessite un examen plus minutieux quand on se trouve devant un message; il faut prendre une pause.
«Prenez deux secondes et demandez-vous pourquoi vous recevez ceci? Avez-vous vraiment commandé quelque chose d’Amazon? Si ce n’est pas le cas, n’y touchez pas», dit-elle. Et si vous avez commandé quelque chose, ne cliquez pas sur le lien. «Parce que vous l’avez commandé, vous avez un accès indépendant… Allez sur votre compte et voyez ce qu’il se passe.»
Prenez toujours un moment pour vérifier, dit-elle. «Même si cela prend cinq minutes, vous économiserez beaucoup de temps et d’argent.»
Deuxièmement, examinez de près la manière dont vous êtes contacté. S’agit-il d’une information générique? La personne utilise-t-elle votre nom complet, semble-t-elle disposer du type d’informations qu’elle devrait avoir sur vous, ou reste-t-elle vague?
«Ne vous faites pas avoir par des messages parlant d’activités suspectes ou de problèmes liés à votre compte, comme “nous devons confirmer votre identité”», déclare Iafolla. «Si vous avez vraiment eu des activités suspectes sur votre compte, vous pouvez appeler votre banque – vous devrez de toute façon appeler votre banque pour vérifier certaines choses.»
Enfin, rappelez-vous que ce n’est pas personnel, même si c’est difficile. «Vous auriez pu être n’importe qui d’autre dans l’esprit d’un fraudeur… cela n’a rien à voir avec vous, même si c’est vécu très personnellement.»
Voici le deuxième article de la série «Les arnaqueurs du Web», présentée par Equifax, qui vise à faire la lumière sur les tactiques astucieuses des fraudeurs, tout en proposant des stratégies pour aider les lecteurs à se protéger contre la fraude et l’usurpation d’identité. L’une de ces stratégies consiste à s’abonner à Equifax Complet Supérieur, un service de surveillance du crédit de première qualité qui permet aux Canadiens de recevoir des alertes directement d’Equifax, de surveiller quotidiennement leur cote Equifax et de bénéficier de l’aide d’un spécialiste en restauration d’identité d’Equifax s’ils sont victimes d’une usurpation d’identité.