Fraudes courantes à éviter pour protéger votre entreprise

Hameçonnage, hameçonnage par téléphone et par texto

De quoi s’agit-il?

Quand on parle de cyberattaques, on pense souvent à des fraudeurs qui analysent des lignes de code complexe, à la recherche de failles dans les logiciels ou dans le matériel.

Or, ça ne se passe pas toujours ainsi. Les fraudeurs visent maintenant les employés pour exploiter les émotions humaines, des liens sociaux et le désir inné qu’ont les gens d’agir correctement ou de répondre à des demandes urgentes reçues par courriel (hameçonnage), par texto (hameçonnage par texto) ou par téléphone (hameçonnage par téléphone).

L’hameçonnage est une forme de piratage psychologique qui consiste à utiliser des courriels mensongers pour amener le destinataire à divulguer des renseignements personnels ou confidentiels pouvant être détournés à des fins malhonnêtes.

L’hameçonnage par téléphone, c’est l’équivalent de l’hameçonnage par courriel. Il consiste à soutirer des renseignements confidentiels pouvant ensuite être utilisés pour le vol d’identité.

L’hameçonnage par texto est une autre déclinaison de l’hameçonnage, où les criminels envoient un texto ou un message texte pour tenter d’obtenir des renseignements confidentiels du destinataire.

Le piratage psychologique est une méthode éprouvée qui permet aux fraudeurs de s’introduire dans votre entreprise et d’obtenir de l’information qui pourrait mettre en péril les renseignements confidentiels ou le revenu de votre entreprise. De plus, les fraudeurs deviennent de plus en plus habiles.

Exemples de fraude

Hameçonnage ciblé (harponnage)

Il consiste en un courriel ciblé conçu pour tromper des personnes ou des petits groupes afin qu’ils communiquent de l’information ou installent un programme malveillant sur leur appareil. Cette technique s’appuie sur des technologies et des stratégies personnalisées plus développées pour contourner les filtres de courrier indésirable et convaincre les victimes de la légitimité du courriel.

Notifications

L’hameçonnage par texto peut comprendre des notifications bancaires, des mises à jour sur un suivi de commande ou des avertissements urgents qui agissent sur le désir de la victime de résoudre un problème. Sachez que la Banque Scotia ne vous appellera jamais pour vous demander des renseignements personnels et financiers concernant votre entreprise ou vous-même.

Urgence ou fébrilité

L’hameçonnage par téléphone joue souvent sur un sens d’urgence (règlement d’une affaire fiscale ou légale) ou sur un sentiment de fébrilité (annonce d’une victoire pour un prix ou un voyage gratuit). Ces attaques vous poussent à divulguer des renseignements personnels et financiers qui peuvent ensuite être utilisés pour commettre une fraude ou un vol d’identité.

Comment protéger votre entreprise

Ces fraudes contiennent souvent des demandes urgentes ou provocantes et les expéditeurs se font passer pour des sources légitimes ou pour des personnes que vous connaissez.

Prenez toujours le temps d’examiner attentivement les courriels, les appels téléphoniques ou les textos qui contiennent une demande de renseignements confidentiels, surtout si la demande est urgente ou si ce qu’on vous offre a l’air trop beau pour être vrai.

Vérifiez toujours l’expéditeur

Les courriels d’hameçonnage ont souvent l’air légitimes.
Méfiez-vous si l’adresse de l’expéditeur ne correspond pas à celle de l’entreprise qui envoie le courriel.

Méfiez-vous toujours des pièces jointes et des hyperliens douteux

Méfiez-vous des pièces jointes, surtout celles auxquelles vous ne vous attendiez pas dans le cadre de vos communications régulières ou de vos fonctions.
Avant de cliquer sur un hyperlien, placez votre curseur dessus pour voir où il vous mènera. La partie visible du lien, sur laquelle vous cliquez, s’appelle l’ancre. Le point d’ancrage est la destination véritable du lien. Si vous ne reconnaissez pas l’adresse qui s’affiche, ne cliquez pas dessus.

Ne laissez pas les menaces ou les annonces sensationnelles vous intimider

Les messages qui suscitent un sentiment d’urgence ou qui vous menacent de conséquences si vous ne cliquez pas sur un lien ou n’agissez pas immédiatement sont symptomatiques d’une fraude.
Les arnaques de paiement mentionnent souvent qu’une facture doit être payée ou qu’une entente sera annulée si le paiement n’est pas effectué immédiatement. Il est indispensable de prendre le temps de vérifier la demande pour éviter ces fraudes.

Contactez directement la personne ou l’entreprise concernée

Vérifiez l’identité de la personne ou de l’organisation qui vous contacte en communiquant directement avec elle par téléphone, en utilisant un numéro de téléphone connu.
Si vous avez reçu un courriel, appelez les personnes concernées au numéro que vous avez dans vos dossiers, et non au numéro fourni dans le courriel puisque celui-ci peut avoir été falsifié ou intercepté par les fraudeurs.
Cherchez le site Web de l’entreprise sur Internet ou communiquez avec elle pour confirmer les renseignements.

Vous pouvez tester vos connaissances avec notre simulation de fraude

Maliciel/rançongiciel

De quoi s’agit-il?

Par maliciel (logiciel malveillant), on entend tout logiciel conçu dans le but de voler des données confidentielles, d’endommager ou de détruire des ordinateurs ou des systèmes informatiques.

Il existe une grande variété de maliciels: virus, vers, chevaux de Troie, logiciels espions, logiciels publicitaires, rançongiciels. Quelle que soit leur nature, leur objectif est le même: voler des renseignements confidentiels et entraver le fonctionnement des systèmes informatiques.

Les rançongiciels sont particulièrement utilisés aujourd’hui contre les entreprises. Ils peuvent attaquer et chiffrer (c’est-à-dire bloquer) les systèmes pour obtenir une rançon.

Les maliciels sont conçus pour se cacher dans le système d’exploitation et contourner les mesures de sécurité. Il est possible que votre ordinateur soit infecté par un rançongiciel sans que vous le sachiez. Celui-ci peut rester inactif jusqu’à ce qu’il soit activé par un fraudeur pour chiffrer (bloquer) vos fichiers et demander une rançon.

Les rançongiciels bloquent vos fichiers, de manière à les rendre inutilisables dans l’espoir que vous payiez une rançon pour les récupérer.

Supprimer un rançongiciel et décrypter vos fichiers peut s’avérer être un défi important même pour les experts en TI.

Soyez conscient du fait que le paiement de la rançon ne vous garantit pas que vos fichiers seront décryptés. Il est aussi possible que le fraudeur vende vos renseignements, les diffuse en ligne ou les élimine.

Exemples de fraude

Téléchargements infectés

C’est généralement en téléchargeant un programme infecté depuis un site Web illégitime qu’on installe involontairement un maliciel dans nos systèmes.

Les maliciels sont conçus pour avoir l’air légitimes; il est donc facile de tomber dans le piège et de les installer sur son ordinateur.

Bien que de nombreux sites Web proposent des téléchargements gratuits, vous devriez télécharger des programmes et des logiciels uniquement auprès d’entreprises fiables.

De plus, les maliciels peuvent aussi être installés en cliquant sur un hyperlien dans un courriel ou un texto.

Naviguer avec prudence

Il est également possible de télécharger par erreur un maliciel sur votre appareil en consultant un site Web infecté.

Ces sites Web sont conçus pour avoir l’air légitimes, mais ils peuvent contenir des éléments qui lancent le téléchargement d’un maliciel, notamment:

des publicités
de faux messages d’erreur
des fenêtres contextuelles

Découvrez comment repérer un site malveillant

Pièces jointes suspectes

Certains courriels d’hameçonnage contiennent des pièces jointes qui sont en réalité des maliciels. Il s’agit d’une technique souvent utilisée pour infecter les ordinateurs.

Vous risquez de tomber dans le piège du fraudeur simplement en ouvrant une pièce jointe infectée par un maliciel. Celui-ci pourra alors fonctionner en arrière-plan, sans que vous vous en rendiez compte.

Comment protéger votre entreprise

Pour protéger vos systèmes des maliciels et des rançongiciels, il faut:

installer des anti-maliciels ou des pare-feu par exemple
apprendre aux employés à être attentifs et à reconnaître les risques potentiels
s’engager à élaborer des plans, des processus et des politiques visant à réduire le risque de tomber sur des logiciels malveillants

Pour vous aider à vous protéger des logiciels et des rançongiciels, vous pouvez:

installer des antivirus et des antimaliciels pour vos réseaux et effectuer les mises à jour dès qu’elles sont disponibles, car elles contiennent souvent de nouveaux correctifs de sécurité
installer un pare-feu pour bloquer les connexions à des sites Web malveillants et pour empêcher les maliciels d’infecter votre réseau
installer les mises à jour de votre système d’exploitation sur vos systèmes et vos appareils dès qu’elles sont disponibles, car elles contiennent souvent des correctifs de sécurité qui protègent votre système des nouvelles menaces
faire une sauvegarde régulière de vos systèmes, si possible, sur une source externe qui n’est pas reliée à votre ordinateur, par exemple sur un disque dur amovible ou un système de stockage infonuagique Si votre ordinateur est physiquement relié au dispositif sur lequel sont stockées les données de la sauvegarde, celui-ci pourrait aussi être infecté par le maliciel
vous méfier des pièces jointes et des hyperliens provenant d’expéditeurs inconnus
transmettre ces connaissances à vos employés en leur offrant une formation sur les procédures et les stratégies de défense pour protéger les systèmes

Si vous découvrez que vos systèmes ont été infectés par un maliciel ou un rançongiciel, vous pouvez essayer de déconnecter les appareils infectés du réseau. Ceci pourrait éviter que l’infection se propage aux autres appareils et cause des dégâts supplémentaires

Vous pouvez aussi lancer une analyse au moyen de votre antivirus ou de votre antimaliciel. Les logiciels fiables fournissent parfois des instructions sur la manière de régler le problème

Il est aussi possible de demander de l’aide à un spécialiste en informatique pour régler le problème et restaurer vos systèmes

Après avoir subi une attaque de maliciel ou de rançongiciel, changez vos mots de passe pour éviter une autre fuite de données

Avertissez les autorités et le centre antifraude de votre région. Pour les citoyens canadiens, communiquez avec le Centre antifraude du Canada (ACCP) au 1-888-495-8501, ou consultez la page consacrée au signalement pour plus d’information

Vous pouvez tester vos connaissances avec notre simulation de fraude

Compte de courriel d’entreprise compromis

De quoi s’agit-il?

Le compte de courriel d’entreprise compromis est une forme de fraude qui vise les grandes et les petites entreprises.

Il s’agit techniquement d’une forme de harponnage par laquelle les entreprises qui traitent régulièrement des paiements sont attaquées. Les fraudeurs ciblent les employés qui ont accès à des données confidentielles concernant l’entreprise ou les clients, et les responsables de la gestion des fournisseurs et des paiements.

Généralement, la fraude s’effectue au moyen d’un courriel ou d’un message frauduleux, provenant d’une personne qui se fait passer pour le président, un membre de la direction ou un fournisseur et qui demande un virement d’argent immédiat, une modification concernant un compte bancaire ou une facture, ou l’accès à des données confidentielles.

Exemples de fraude

La fraude du président

Les fraudeurs envoient des courriels frauduleux aux employés de l’équipe financière, se faisant passer pour des membres de la haute direction (chef de la direction, chef des Affaires financières) ou toute autre personne autorisée à demander un virement. Le fraudeur falsifie l’adresse de l’expéditeur du courriel afin que le courriel ait l’air d’avoir été envoyé depuis une adresse courriel légitime.

Le courriel d’hameçonnage se fonde sur des tactiques de piratage psychologique, et a pour but de convaincre le destinataire à envoyer de l’argent à un tiers inconnu.

Le courriel est rédigé de manière à susciter un sentiment d’urgence, et l’expéditeur insistera probablement pour que le virement reste confidentiel.

Modification des modes de paiement

Les fraudeurs envoient parfois des courriels qui semblent provenir de fournisseurs ou de clients avec lesquels votre entreprise entretient une relation bien établie.

Ils créent un compte frauduleux au moyen d’une fausse adresse courriel ou d’un faux numéro de téléphone et se font passer pour un fournisseur de confiance ou un client existant. Dans leur courriel, ils demandent de modifier le compte dans lequel les paiements sont effectués. Ils détournent ainsi dans leur propre compte les fonds destinés à un fournisseur ou à un client.

Vol de renseignements

Les fraudeurs peuvent aussi chercher à manipuler les employés pour qu’ils fournissent des renseignements permettant d’identifier une personne (RPIP) concernant d’autres employés ou des clients. Ces renseignements peuvent ensuite être utilisés pour commettre des fraudes (tentatives d’hameçonnage, usurpation d’identité du président, création de fausses factures ou de faux comptes).

Comment protéger votre entreprise

Enseignez à vos employés à repérer les tentatives d’hameçonnage, surtout de harponnage et de compromission de courriel d’entreprise. Insistez sur le fait que les adresses courriel peuvent être falsifiées et qu’elles doivent être vérifiées avec attention.

Rappelez à vos employés qu’il est essentiel d’être à l’affût des signaux d’alerte, comme le sentiment d’urgence. Expliquez-leur qu’ils doivent informer leur supérieur de toute demande de télévirement ou de paiement urgent.

Les employés devraient toujours communiquer avec les clients et fournisseurs, au moyen de numéros connus, pour confirmer les demandes de paiements ou de virements de fonds.

Rappelez aux employés de ne pas renseigner accidentellement les fraudeurs en publiant sur les réseaux sociaux leurs dates de vacances ou d’absence du bureau, ou celles de leurs collègues.
Mettez en place un processus de vérification en deux étapes pour les paiements par télévirement, par exemple en désignant une personne secondaire pour la signature.
Établissez un processus d’annulation de paiement potentiellement frauduleux.
Tenez à jour un répertoire détaillé des fournisseurs et des bénéficiaires.

Vous pouvez tester vos connaissances avec notre simulation de fraude

Fraude par chèque

De quoi s’agit-il?

Les fraudes par chèque sont toujours en hausse. Les entreprises de toute taille peuvent être la cible de fraude par chèque.

L’utilisation illégale d’un chèque pour obtenir des fonds constitue une fraude par chèque.

Les chèques peuvent être interceptés et volés dans le courrier.

Apprenez à reconnaître les différents types de fraude pour protéger votre entreprise et vous-même des fraudeurs.

Exemples de fraude

Chèque contrefait

Les chèques contrefaits sont souvent légèrement différents des chèques authentiques.

La couleur, le logo, la police ou les éléments de sécurité peuvent varier.

Chèque falsifié

Les chèques falsifiés sont valides et autorisés, mais les éléments suivants ont été modifiés:

le nom du bénéficiaire
la date
le montant (en chiffres et écrit)
la date du paiement

Comment protéger votre entreprise

Protégez votre entreprise de la fraude par carte et par chèque en passant en revue vos opérations quotidiennement. Plus vous serez au courant de vos finances, plus le niveau de sécurité sera élevé.

Si vous soupçonnez que votre carte ou votre NIP a été compromis, ou si vous repérez des opérations frauduleuses sur votre compte, communiquez immédiatement avec nous au 1-866-625-0561.

Configurez une alerte pour être informé quand votre carte de crédit est utilisée
Optez pour des relevés électroniques
Ne laissez pas vos cartes bancaires sans surveillance
Ne communiquez jamais votre NIP à qui que ce soit et ne l’écrivez jamais
Ne transmettez jamais de renseignements confidentiels par téléphone ou par courriel. Souvenez-vous que la Banque Scotia ne vous appellera ou ne vous enverra jamais de courriel pour vous demander de fournir le numéro complet de votre carte ni votre mot de passe
Signez le verso de votre nouvelle carte dès que vous la recevez
Si votre carte est refusée, égarée ou volée, appelez-nous immédiatement pour réduire le risque de fraude
Détruisez vos cartes bancaires qui ne sont plus valides en les coupant en morceaux
Si vous perdez un chèque, appelez immédiatement la Banque Scotia pour faire une demande d’opposition au paiement
Informez immédiatement la Banque Scotia du vol ou de la perte de vos cartes bancaires
Mettez sous clé, dans un endroit sûr, les chèques, les bordereaux de dépôt, les relevés bancaires et tout matériel utilisé pour émettre des chèques
Restreignez l’accès aux chèques et au matériel correspondant
Déchiquetez tous les chèques annulés, les anciens relevés et les cartes de crédit et de débit expirées
Assurez-vous que les chèques sont entièrement remplis; ne laissez pas les lignes relatives au destinataire ou au montant vides
Limitez l’accès aux chèques à vos employés autorisés à les émettre, les traiter et les envoyer
Divisez les tâches; un employé émet le chèque tandis qu’un d’autre s’occupe du rapprochement
Examinez régulièrement votre commande de chèques pour vous assurer qu’aucun chèque ne manque. Signalez immédiatement les chèques manquants à votre banque ou à votre fournisseur
Configurez Accès Scotia pour permettre le rapprochement quotidien des opérations bancaires et des chèques émis
Renseignez-vous sur nos services de gestion des chèques pour les entreprises

Vous pouvez tester vos connaissances avec notre simulation de fraude

Fraude par télévirement

De quoi s’agit-il?

Les télévirements demeurent une cible de choix des fraudeurs en raison de la vitesse et de la limite plus élevées des opérations. Parmi les méthodes courantes de fraude par télévirement, on retrouve les fraudes par compte de courriel d’entreprise compromis (piratage du courriel du client ou du fournisseur), prises de contrôle de compte, maliciels et hameçonnage (notamment par téléphone et par texto).

Rappelez-vous: vous ne devriez jamais vous sentir pressés de répondre quand vous faites affaire avec une entreprise de confiance.

Les fraudeurs savent que l’argent envoyé au moyen d’un télévirement est difficile à recouvrer en raison de la rapidité du règlement et de la difficulté à recouvrer des fonds envoyés à l’étranger.

Les employés chargés de traiter les télévirements sont délibérément ciblés.

Les tactiques de piratage psychologique ont un rôle central, car les fraudeurs comptent sur le sens du devoir des employés et sur leur désir d’agir correctement dans une situation d’urgence.

Avant d’effectuer une opération, les employés doivent toujours prendre le temps d’évaluer la demande de télévirement et déterminer si elle est légitime ou non.

Exemples de fraude

Modification des instructions de paiement

La fraude par télévirement survient habituellement lorsqu’un fraudeur envoie un courriel se faisant passer pour un fournisseur de confiance et demande une modification des instructions de télévirement ou des renseignements du compte. Il peut demander une modification des renseignements relatifs au compte de paiement afin de recevoir les fonds dans un compte frauduleux. Le courriel peut aussi contenir un hyperlien malveillant qui lance le téléchargement d’un maliciel sur votre appareil et votre réseau.

Usurpation

L’usurpation de courriels se fait au moyen d’un courriel frauduleux, créé sous un faux nom pour tromper le destinataire. Il existe trois grandes méthodes pour usurper un courriel:

falsifier le nom et l’adresse courriel que le destinataire voit
créer une vraie adresse courriel au nom d’une personne de votre entreprise
créer une nouvelle adresse courriel qui ressemble à la vraie

Urgence

Bien que certains fraudeurs passent des semaines à préparer leur plan d’action, l’un des plus grands signaux d’alerte concernant la fraude par télévirement reste le faux sentiment d’urgence.

Avant d’effectuer un télévirement, prenez toujours le temps de vous assurer que tous les protocoles sont respectés.

Comment protéger votre entreprise

Voici quelques façons de protéger votre entreprise:

Effectuez régulièrement des simulations d’hameçonnage avec votre personnel; expliquez comment repérer les signaux d’alerte des courriels d’hameçonnage et comment signaler les courriels suspects à votre équipe de sécurité des TI.
Validez toutes les demandes d’opérations inhabituelles en communiquant avec la personne au moyen d’un numéro de téléphone sûr.
Mettez en place un système de séparation des tâches ou de signature d’employés différents, pour traiter les modifications aux paiements et aux demandes de télévirement d’un fournisseur.
Examinez régulièrement les télévirements.
Faites le suivi des habitudes de vos clients et de vos fournisseurs, notamment quant à la fréquence et aux sommes habituelles de leurs opérations.
Mettez en place un plan pour le signalement et le recouvrement des transferts frauduleux. Il est recommandé de garder une trace de toutes les communications et une liste de contacts, et de les transmettre à votre banque, au service de police et au centre antifraude de votre région. Pour les citoyens canadiens, communiquez avec le Centre antifraude du Canada (ACCP) au 1-888-495-8501, ou consultez la page consacrée au signalement pour plus d’information.

Il est particulièrement important d’enseigner à vos employés à reconnaître, à éviter et à signaler toute demande de télévirement inhabituelle

Voici quelques conseils à communiquer à vos employés:

Faites extrêmement attention à l’adresse courriel de l’expéditeur, et comparez-la à celle qui figure dans vos dossiers pour vous assurer qu’elles correspondent (p. ex., johndoe@powercom et johndoe@povvercom).
Songez à faire un suivi avec un autre signataire du compte et signalez la situation à votre directeur si quelque chose paraît suspect lors d’un appel de suivi.
Communiquez avec les clients uniquement au moyen du numéro de téléphone indiqué dans leur dossier, et n’utilisez pas d’autres numéros.
Examinez les modifications récentes des numéros de téléphone dans le dossier du client et effectuez des vérifications renforcées.
Soyez attentif aux signaux indiquant qu’une signature a été copiée-collée (p. ex., des filigranes ou un rectangle blanc ou décoloré derrière la signature).
Effectuez des vérifications supplémentaires et communiquez la situation à votre directeur si vous repérez une signature suspecte ou qui ne correspond pas.
Méfiez-vous des erreurs évidentes d’orthographe et de grammaire ou du format des montants en dollars.

Vous pouvez tester vos connaissances avec notre simulation de fraude

Fraudes courantes visant les entreprises

Apprenez à vous protéger

Types de fraudes visant les entreprises

De quoi s’agit-il?

Exemples de fraude

Comment protéger votre entreprise

Repérer les signaux d’alerte

De quoi s’agit-il?

Exemples de fraude

Comment protéger votre entreprise

Découvrez comment vous protéger contre les maliciels et les rançongiciels

De quoi s’agit-il?

Exemples de fraude

La fraude du président

Modification des modes de paiement

Vol de renseignements

Comment protéger votre entreprise

Découvrez comment vous protéger contre la compromission de courriel d’entreprise

De quoi s’agit-il?

Exemples de fraude

Chèque contrefait

Chèque falsifié

Comment protéger votre entreprise

Découvrez comment vous protéger des fraudes par chèque

De quoi s’agit-il?

Exemples de fraude

Modification des instructions de paiement

Usurpation

Urgence

Comment protéger votre entreprise

Découvrez comment vous protéger contre les fraudes par télévirement

Signaler un incident ou une opération douteuse