C’est de nouveau cette période de l’année et il ne serait pas assez tôt pour que les Canadiens se fassent rappeler de « reconnaître, rejeter et signaler » la fraude. En hausse dans la plupart des catégories, la fraude devrait certainement être sur le radar tout au long de l’année, mais le mois consacré au Bureau de la concurrence offre une excellente occasion de se familiariser avec les dernières menaces et de voir comment nous nous en sortons pour la combattre. Malheureusement, la réponse est « pas très bien », selon la Fédération canadienne de l’entreprise indépendante (FCEI). Aujourd’hui, 1 petite entreprise canadienne sur 5 est victime de fraude. Bien que les coûts totaux soient difficiles à suivre, tous les rapports indiquent que la fraude devient un problème ingérable. Selon la société de vérification de crédit Equifax, la fraude coûte aux Canadiens entre 15 et 30 milliards de dollars par année. Le grand magazine Forbes a estimé le coût total aux États-Unis à près de 200 milliards de dollars, mais c’était en 2011. Depuis lors, BI Intelligence estime que la fraude par carte de crédit augmentera d’environ 20%. Il n’est donc pas étonnant que la fraude soit citée comme « le dernier grand coût commercial non réduit » par des analystes, dont PFK Littlejohn LLP.
Bien sûr, il n’y a pas de meilleure façon de renverser la tendance qu’en restant à l’affût des dernières menaces. Le Bureau de la concurrence fait un excellent travail en nous tenant informés, et nous sommes heureux de fournir un aperçu de ses conseils et d’autres sources.
Internet et les logiciels malveillants
Bien que les logiciels malveillants utilisés pour pirater et détourner les ordinateurs des utilisateurs ne soient pas nouveaux, leur ciblage est devenu plus sophistiqué. Bien sûr, il n’est pas étonnant que, compte tenu de l’opportunité criminelle incroyablement lucrative qu’est le vol d’identité, les données personnelles soient devenues la cible principale. La bonne nouvelle, c’est que la plupart de ces atteintes peuvent être évitées et ne se produisent pas en arrière-plan. Le plus souvent, ils sont causés par l’utilisateur lui-même qui clique sur le mauvais lien, appuie sur le mauvais bouton ou ouvre une pièce jointe avec une charge utile malveillante. Dans le cas des pièces jointes aux courriels, aussi inoffensifs que cela puisse paraître, le simple fait de cliquer sur une pièce jointe peut déclencher une tempête malveillante dans l’ordinateur qui peut ou non être évidente pour l’utilisateur. Il s’agit le plus souvent de virus chevaux de Troie qui fournissent aux auteurs un accès dérobé à la machine, à ses données et à ses systèmes.
Une fois détourné, un ordinateur individuel peut subir un certain nombre de sorts : simple vol de données, activation et contrôles d’appareils, y compris les caméras et les microphones, et même exploiter plusieurs machines ensemble dans ce qu’on appelle un réseau de zombies. C’est une sorte d’armée de zombies de machines infectées.
Tout bon administrateur informatique devrait garder des filtres sur l’activité Internet, surveiller le trafic Web inhabituel et éduquer les utilisateurs du réseau sur le téléchargement de logiciels provenant de fournisseurs non fiables.
Attaques d’hameçonnage
Les attaques d’hameçonnage sont plus répandues que jamais. Les pirates ciblent même des personnes spécifiques au sein d’une organisation avec un accès de haut niveau. Ce type d’attaque est connu sous le nom de spear phishing, et c’est le principal exploit qui a permis aux pirates d’accéder à l’attaque de Sony Entertainment il y a quelques années.
Les attaques d’hameçonnage sont effectuées par courriel combinant des informations accessibles au public tirées des réseaux sociaux ou des moteurs de recherche pour trouver leurs cibles. Le courriel peut contenir un lien vers un site Web malveillant ou une pièce jointe qui exécute un logiciel malveillant directement sur la machine, comme ce qui est décrit dans la section précédente.
L’hameçonnage consiste également à inciter les utilisateurs à entrer des informations d’identification privées sur le site malveillant. L’attaquant crée un site qui ressemble à un site populaire ou peut même imiter le site Web de l’entreprise. L’attaquant incite ensuite l’utilisateur à « se connecter » alors qu’en réalité l’utilisateur lui envoie ses identifiants. Grâce à ces informations, l’attaquant peut se connecter au réseau.
Les filtres de courriel bloquent principalement les courriels d’hameçonnage, mais les pirates les traversent occasionnellement. Éduquer les utilisateurs à identifier les escroqueries par hameçonnage et les signes avant-coureurs courants améliore grandement la prévention des risques.
Escroqueries sur les médias sociaux
À mesure que de plus en plus d’utilisateurs intègrent leur vie aux médias sociaux, les pirates informatiques peuvent accéder à des détails plus spécifiques. Les pirates utilisent les médias sociaux pour obtenir des informations spécifiques sur un utilisateur, telles que la date de naissance, les intérêts, les passe-temps, les amis, l’emploi actuel et les adresses électroniques. Certains pirates informatiques font même chanter les victimes par l’intermédiaire des médias sociaux.
Les pirates créent de faux profils pour entrer en contact avec les utilisateurs afin d’en savoir plus sur leurs données privées. Les utilisateurs doivent être informés de ce type d’escroqueries et ne jamais accepter les demandes de personnes qu’ils ne connaissent pas.
Vous ne pouvez pas contrôler le compte de médias sociaux d’un utilisateur, mais vous devez l’éduquer sur l’importance des médias sociaux et sur la façon dont les attaquants les utilisent pour accéder aux systèmes de l’entreprise.
Éduquer les utilisateurs
Vous pouvez configurer des filtres de courriel et aider à réduire le risque que ces escroqueries atteignent les boîtes de réception, mais le meilleur conseil est d’éduquer les utilisateurs. S’ils comprennent les risques et les signaux d’alarme derrière ces escroqueries, ils peuvent identifier une attaque lorsqu’elle se produit. L’éducation des utilisateurs, les filtres de messagerie et une bonne sécurité sont les clés pour protéger votre organisation contre ces attaques.
Vous avez besoin d’autres conseils sur la façon de vous protéger contre la fraude? Visitez le Bureau de la concurrence pour obtenir de plus amples renseignements sur le Mois de la prévention de la fraude.
