En matière de fraude virtuelle, le moins que l’on puisse dire, c’est que les arnaqueurs font preuve d’une grande inventivité. Le phishing, (ou hameçonnage), une technique qui consiste à envoyer des courriels frauduleux pour soutirer des informations personnelles, est maintenant bien connu. Mais saviez-vous qu’il existe aussi deux autres variétés d’escroqueries numériques, le vishing, et le smishing ? Derrière ces titres alambiqués, on trouve des stratagèmes ingénieux pour capturer des données privées et, bien entendu, en faire un mauvais usage. Découvrons ensemble comment différencier ces pièges et éviter d’en être victime.

Quelles sont les différences entre le phishing, le vishing et le smishing ?

Courriel, message vocal ou message texte, le phishing, le vishing et le smishing recourent tous trois à des canaux de diffusions technologiques. Ce qui les rend dangereux, c’est leur accessibilité, mais aussi leur forme. En effet, pour être efficaces, les personnes qui en sont à l’origine se font passer pour des contacts de confiance. Et pour un utilisateur non averti, le piège peut se refermer facilement. 

Le phishing consiste à envoyer des courriels, souvent alarmants, sous l’identité d’une entreprise que l’on connaît. Vous pouvez ainsi, ironiquement, recevoir un message d’alerte de fraude de la part de quelqu’un se faisant passer pour votre banque. Habituellement, ce genre de pourriel vous invite à entreprendre une action, qui contrevient aux façons de faire sécuritaires des institutions. Par exemple, on peut vous demander le mot de passe qui vous permet de vous connecter à votre banque en ligne. Ou bien, le numéro de votre carte bancaire.

Dans le cas du vishing, ce sont les téléphones (fixes et cellulaires) qui servent à transmettre les messages frauduleux. Une personne vous appelle en prétextant un problème avec un paiement que vous avez récemment effectué, ou bien vous annonçant que vous avez gagné à un concours. Encore une fois, on vous incite à donner vos renseignements personnels, dans le but d’usurper votre identité. Les personnes qui passent ce genre d’appel peuvent se présenter comme quelqu’un qui souhaite vous aider à rectifier le supposé problème. 

Enfin, le smishing consiste à envoyer des SMS, ou messages textes, contenant un lien à cliquer ou un numéro à appeler. Ces messages ont souvent un caractère urgent, et vous pressent à entreprendre une action pour éviter des frais, par exemple.

À l’échelle d’une entreprise, une tentative de fraude qui se conclut sur un succès peut être une réelle menace pour les employés, la compagnie elle-même, mais aussi pour ses partenaires et ses clients. Alors voici des moyens pour se protéger du phishing, du vishing et du smishing.

Comment éviter d’être victime de phishing, vishing ou smishing ?

Pour se protéger de ces pratiques, le premier réflexe consiste à vérifier l’identité de l’expéditeur si de plus les informations que l’on vous réclame vous semblent empiéter sur votre vie privée.

Dans le cas du phishing, si :

• le nom de domaine d’une adresse courriel vous semble étrange (par exemple, « Goog1e », écrit avec des erreurs, ou des chiffres) ;
• si le nom de l’expéditeur comprend des erreurs ;
• ou si l’adresse ne semble pas professionnelle ;

il est presque certain que le courriel est d’origine douteuse.

Dans le doute, prenez quelques instants pour appeler l’institution qui prétend vous avoir envoyé le message pour en avoir le cœur net en n’utilisant pas le numéro de téléphone dans le courriel.

Si le message texte ou le courriel que vous avez reçu comporte un lien suspect, abstenez-vous de vérifier où mène le lien. Ceux-ci offrent une voie d’accès aux pirates informatiques vers vos renseignements personnels.

Finalement, pour éviter les fraudes téléphoniques, vous pouvez choisir d’éviter de décrocher aux appels inconnus ou signalés comme pourriel par votre cellulaire. Si c’est un message vocal que vous recevez, et qu’il vous invite à composer un numéro pour rappeler l’appelant, ne le faites pas. Certains escrocs se font, ici aussi, passer pour des institutions gouvernementales ou financières. En cas de doute, l’appel auprès de la réelle institution mentionnée vous aidera à en avoir le cœur net.

Que faire après avoir été victime de phishing, vishing ou smishing ?

Cependant, certains messages actuels ressemblent à s’y méprendre à des communications officielles. Si par inadvertance, vous ou l’un de vos employés avez cliqué sur un lien, entreprenez immédiatement :

• l’analyse antivirus de vos systèmes ;
• le blocage de la carte de crédit de votre compagnie ;
• le changement des mots de passe et les moyens d’authentification de vos outils informatiques ;
• l’isolation des parties touchées de votre réseau informatique, si possible ;
• communiquer avec un expert pour vérifier les dommages.

Il vous faudra éventuellement réinstaller vos logiciels et restaurer vos sauvegardes une fois l’attaque éliminée. Veillez également à mettre tous vos systèmes à jour pour bénéficier d’une protection optimale.

Prévenir les cybermenaces avec le soutien informatique d’un service d’infogérance

Éduquer vos équipes et installer un système de protection efficace sur votre réseau informatique restent les meilleurs moyens de vous protéger contre les cyberattaques. Il est possible par exemple de sensibiliser vos employés aux principes de détection des fraudes, et des bonnes pratiques à adopter en cas de suspicion. Pour assurer un haut niveau de sécurité à votre flotte informatique, vous pouvez confier sa sécurité à une entreprise d’infogérance tel que DMIB. Celle-ci effectue régulièrement des sauvegardes de vos systèmes, surveille les intrusions, et dispose de moyens de protection hautement performants tels que les pare-feux et antivirus.