ARCHIVE - Hameçonnage: une nouvelle forme de vol d'identité

Contenu archivé

L'information dont il est indiqué qu'elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n'est pas assujettie aux normes Web du gouvernement du Canada et elle n'a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Le terme hameçonnage et ses synonymes appâtage et pêche aux données personnelles (phishing en France) décrivent une technique d'escroquerie dont se servent les voleurs d'identité pour obtenir d'un bassin d'internautes peu méfiants des renseignements personnels à des fins criminelles, notamment la fraude. L'hameçonnage est un terme général qui définit la création et l'utilisation, par des criminels appelés hameçonneurs, de courriels et de sites Web d'apparence officielle « représentant » des entreprises, des établissements financiers et des organismes gouvernementaux légitimes et reconnus, dans le but d'obtenir des renseignements personnels, financiers et de nature délicate. Ces criminels réussissent à convaincre les internautes de divulguer des renseignements sur leurs comptes financiers et bancaires ou d'autres renseignements personnels comme leurs noms d'utilisateur et mots de passe.

Le ministère de la Sécurité publique et de la Protection civile du Canada et le département de la Justice des États-Unis publient conjointement le présent rapport spécial visant à informer le public sur les risques qu'ils court en répondant à des courriels et en visitant des sites Web d'hameçonnage, et sur les démarches qu'il devrait entreprendre s'il voit des courriels ou des sites Web qu'il soupçonne de servir à cette fin.


Faits

Depuis 2003, les responsables de l'application de la loi, les entreprises et les internautes ont remarqué une importante croissance des cas d'hameçonnage. L'utilisation à des fins illicites de l'image et des logos d'établissements financiers, d'entreprises et d'organismes gouvernementaux légitimes et reconnus en Amérique du Nord, en Europe et dans la région Asie-Pacifique devient de plus en plus courante. Un organisme des États-Unis, le Anti-Phishing Working Group (en anglais) (groupe de travail contre l'hameçonnage), a signalé que 1 974 cas précis d'hameçonnage ont été déclarés en juillet 2004, ce qui représente une augmentation de 1 100 % du nombre de cas déclarés en janvier 2004.

Comment s'y prennent les hameçonneurs

À première vue, les courriels hameçons, ainsi que les sites Web qui y sont rattachés, peuvent sembler entièrement légitimes. Un des cas récemment signalés aux États-Unis mettait en cause les noms de la Federal Deposit Insurance Corporation (FDIC) et de deux de ses représentants qualifiés, ainsi que le nom du département de la Sécurité intérieure des États-Unis. Ce que les internautes ne réalisent peut-être pas, c'est que les criminels peuvent facilement copier les logos et toute autre information se trouvant sur le site Web d'une entreprise légitime, et placer ces copies dans des courriels hameçons ou dans un pseudo-site Web.

De plus, si la personne qui a reçu le courriel (le lecteur) clique sur le lien qui y est inséré, même l'adresse URL de l'entreprise ou de l'établissement financier peut sembler légitime. Malheureusement, certains fraudeurs ont exploité une vulnérabilité du navigateur Internet Explorer qui permet aux hameçonneurs de mettre en place un faux site Web à un endroit dans Internet et qui donnera à l'internaute l'impression qu'il a atteint une page Web légitime située ailleurs dans Internet.

La plupart des courriels hameçons contiennent de fausses déclarations visant à donner l'impression qu'il y a un danger ou un risque immédiat au compte bancaire ou financier ou à la carte de crédit du lecteur. Dans le cas des faux courriels de la FDIC mentionnés plus haut, on y signalait faussement que le secrétaire du département de la Sécurité intérieure avait demandé à la FDIC de suspendre tous les versements d'assurance-dépôt du compte bancaire du lecteur. D'autres courriels hameçons plus récents affirmaient faussement que la carte de crédit du lecteur avait été utilisée par quelqu'un d'autre ou qu'une transaction avait récemment été refusée.

Comme autre exemple, mentionnons le cas d'un courriel, transmis en multidiffusion à l'été 2004, dans lequel on informait les clients d'une importante institution financière qui avait connu des problèmes informatiques, qu'ils devaient fournir leurs numéros de carte client pour pouvoir accéder à leur compte. En réalité, ce courriel n'avait pas été envoyé, ni autorisé par l'institution financière en question.

Dans certains cas, des courriels hameçons promettent au lecteur des prix ou leur font des offres spéciales. Bien que le message soit intéressant plutôt qu'alarmant, son objectif est le même, soit de réussir à obtenir les renseignements financiers et personnels du lecteur.

Les personnes qui reçoivent des courriels hameçons peuvent également remarquer que l'expéditeur a utilisé une technique de pollupostage (envoi du même courriel à plusieurs destinataires) pour envoyer simultanément le courriel à des milliers de gens, ce qui signifie que plusieurs des lecteurs n'ont pas de compte ou ne sont pas clients de l'entreprise ou de la compagnie de services financiers légitime qui est censée avoir envoyé le message. Les hameçonneurs comptent sur le fait que certaines des personnes qui recevront ce courriel auront un compte ou seront clientes de l'entreprise ou de la compagnie de services nommée, et qu'elles auront plus tendance à croire que le courriel vient d'une source fiable.

En fin de compte, les gens qui répondent aux courriels hameçons mettent leurs comptes bancaires et leur situation financière à risque de trois principales façons. Premièrement, les hameçonneurs peuvent utiliser les données obtenues pour accéder aux comptes existants d'internautes pour retirer de l'argent ou pour acheter des biens ou des services coûteux. Deuxièmement, ils peuvent se servir de ces données pour ouvrir de nouveaux comptes bancaires ou comptes de cartes de crédit au nom de la victime, en utilisant une autre adresse. Troisièmement, l'internaute peut ne pas se rendre compte que l'on se sert de son identité à son insu.

Que faire contre les manœuvres d'hameçonnage?

Le ministère de la Sécurité publique et de la Protection civile du Canada et le département de la Justice des États-Unis recommandent aux internautes de garder en tête les trois éléments suivants s'ils reçoivent des courriels ou s'ils voient des sites Web qui pourraient faire partie d'une manœuvre d'hameçonnage :

  1. Décelez-la – Si vous recevez un courriel imprévu d'une entreprise bancaire ou de carte de crédit vous informant que votre compte sera fermé si vous ne confirmez pas votre information de facturation, ne répondez pas au courriel et ne cliquez pas sur les liens qui se trouvent dans le message. Les hameçonneurs n'ont habituellement qu'une idée en tête, inciter les gens à réagir immédiatement à de la fausse information ou à des demandes en cliquant sur le lien et en entrant leur mot de passe ou leur numéro de carte de crédit, avant de prendre le temps de penser à ce qu'ils sont en train de faire. Vous devez prendre le temps de réfléchir.
  2. Signalez-la – Communiquez avec votre banque ou votre compagnie de carte de crédit si vous avez fourni des renseignements personnels ou financiers. Vous devriez également signaler le cas au service de police de votre municipalité. Il arrive souvent que la police prenne une déposition même si un autre organisme d'application de la loi sera responsable de l'enquête. De plus, un créancier croyant par erreur que vous êtes responsable d'une transaction frauduleuse pourrait demander à voir la copie du rapport de police avant de corriger votre compte de crédit ou votre rapport de solvabilité. Enfin, signalez immédiatement le vol de vos données personnelles aux organismes compétents du gouvernement et du secteur privé au Canada et aux États-Unis dont la liste figure à la fin de ce message. Ces organismes compilent les données sur les cas de vol d'identité pour en déterminer les tendances et utilisent ces renseignements pour aider les organismes d'application de la loi dans le cadre d'enquêtes.
  3. Enrayez-la – Familiarisez-vous avec les pratiques de votre institution financière ou de votre entreprise émettrice de carte de crédit, qui n'ont pas l'habitude d'envoyer des courriels pour confirmer les renseignements de leurs clients. Tenez-vous au courant des avis de sécurité et des mesures à suivre pour vous protéger de la fraude et du vol d'identité. Plusieurs institutions financières et entreprises légitimes ayant été ciblées dans les courriels hameçons ont distribué des listes comportant les noms de personnes-ressources auxquelles on peut signaler les cas potentiels d'hameçonnage et ont affiché en ligne des publications à l'intention de leurs clients sur la façon de reconnaître l'hameçonnage et de se protéger.

De plus, les utilisateurs du navigateur Internet Explorer devraient visiter immédiatement la page de Microsoft sur la sécurité, y compris l'hameçonnage (phishing), où ils pourront télécharger un sous-programme spécial de protection contre certaines des manœuvres d'hameçonnage par courriel.

Comment signaler l'hameçonnage

Au Canada


Aux États-Unis

Puisque le fait de divulguer vos renseignements personnels vous met à risque d'être victime de vol d'identité, vous devriez également visiter le site Web de la Federal Trade Commission qui porte sur le vol d'identité, et suivre les instructions qui y sont données pour signaler l'information aux agences d'évaluation du crédit, aux entreprises émettrices de cartes de crédit et aux organismes d'application de la loi.

Ressources à la disposition des victimes de vol d'identité

Au Canada

Placez des alertes à la fraude dans vos rapports de solvabilité en communiquant avec les agences d'évaluation du crédit canadiennes.

Aux États-Unis

Placez des alertes à la fraude dans vos rapports de solvabilité en communiquant avec les agences d'évaluation du crédit des États-Unis.

Si vous avez besoin d'autres renseignements ou si vous avez d'autres questions concernant le vol d'identité, veuillez communiquer avec le centre d'appel national Centre antifraude du Canada au Canada ou la Federal Trade Commission (en anglais) aux États-Unis, aux numéros donnés plus haut.

Renseignements supplémentaires

Hameçonnage

Vol d'identité

Cybercrime


Hameçonnage et vol d'identité - Courriels et sites Web frauduleux du gouvernement

Date : 11 mars 2009

Objet

La présente note d'information vise à sensibiliser la population canadienne au risque de vol d'identité sur des sites Web frauduleux imitant des sites du gouvernement du Canada.

Conseil

Le gouvernement du Canada ne communique, ni courriel ni par téléphone, avec les particuliers ou les entreprises pour demander ou confirmer des renseignements personnels ou financiers.

Sécurité publique Canada met en garde les Canadiens et les Canadiennes qui communiquent des renseignements personnels, comme les numéros de carte de crédit, les numéros de comptes de banque, les numéros d'assurance sociale ou des mots de passe. Sécurité publique Canada les avertit également :

Évaluation

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) de Sécurité publique Canada sait que les citoyens canadiens reçoivent des courriels annonçant des remboursements d'impôt. Ces courriels semblent être envoyés par l'Agence du revenu du Canada, mais ne le sont pas en réalité, et les liens qui s'y trouvent mènent les utilisateurs à un site Web frauduleux modelé sur celui du gouvernement du Canada.

L'hameçonnage est un terme général qui s'entend de la création et de l'utilisation de sites Web et de courriels à des fins frauduleuses par des criminels. Les courriels semblent provenir d'entreprises légitimes bien connues, d'institutions financières et d'organismes gouvernementaux, mais ils n'ont qu'un seul but, celui d'extorquer des renseignements personnels, financiers et confidentiels, comme les mots de passe, les numéros de carte de crédit et les numéros d'identification du gouvernement. Si le destinataire suit le lien fourni et se connecte au site Web frauduleux, tous les renseignements qu'il saisit dans les champs de données (numéro de compte, numéro d'identification personnel, coordonnées, numéro d'assurance sociale, etc.) seront enregistrés et utilisés à des fins de fraude.

Voici un exemple de courriel frauduleux (disponible en anglais seulement):

courriel frauduleux

Si le destinataire clique sur le lien, il se connecte sur le site Web frauduleux suivant (disponible en anglais seulement) :

site Web frauduleux

Même si le site Web ci‑dessus a l'air tout à fait légitime, il s'agit d'un site frauduleux, créé pour obtenir des renseignements personnels et des numéros d'identification du gouvernement.

Date de modification :