Les risques associés aux cybermenaces
« Tous les mécanismes de fraude numérique qu’on connaît sont en train de s’adapter aux médias sociaux. On assiste à ce transfert parce que presque tout le monde utilise ces plateformes et qu’elles rendent la fraude plus facile », explique Tony Fachaux, expert en sensibilisation à la cybersécurité à la Banque Nationale.
Sur les réseaux sociaux, un fraudeur pourrait, entre autres :
- S’emparer de votre compte en ayant récupéré illégalement votre mot de passe sur l’internet clandestin, le dark web, ou en parvenant à le régénérer avec les réponses à vos questions secrètes.
- Voler une identité en créant un faux compte à partir d’informations personnelles recueillies sur vous ou sur vos proches, puis y publier et effectuer des demandes de contact pour rendre ce compte le plus crédible possible.
- Se faire passer pour une organisation crédible, une personnalité importante ou une personne haut placée au sein d’une entreprise afin d’attirer votre attention et de vous berner, avec un faux concours ou une fausse nouvelle, par exemple.
Vient ensuite la fraude. « Le scénario assez classique, c’est d’envoyer de l’hameçonnage, comme c’est fait par courriel, mais via les médias sociaux, ajoute l’expert. La finalité va être la même : l’utilisateur clique sur un lien malicieux, puis le poste de travail est infecté ou de l’information confidentielle est récupérée au moyen d’une fausse page web. »
Comment reconnaître une fraude sur les médias sociaux?
Peu importe la plateforme utilisée, les tactiques des fraudeurs sont les mêmes. Voici des scénarios communs d’arnaques commises sur les médias sociaux.
Votre compte usurpé
Vous avez créé votre profil il y a 10 ans. Depuis, vous avez entre autres partagé des photos de votre chien, Margot, et des articles sur l’école que vous fréquentiez au primaire. Votre mère, qui d’ailleurs utilise encore son nom de jeune fille, commente à tout coup. Avec ces informations qui se trouvent à même votre profil, un fraudeur pourrait détenir toutes les réponses à vos questions de sécurité. Il pourrait alors régénérer votre mot de passe et accéder à votre compte à des fins malveillantes.
La précaution à prendre est alors de donner de mauvaises réponses aux questions de sécurité. « Ainsi, même quelqu’un qui vous connaît ne pourrait pas entrer sur votre compte, ajoute Tony Fachaux. Mais ces mauvaises réponses, évidemment, il faut s’en souvenir. Il est alors recommandé de les stocker dans un gestionnaire de mots de passe, qui peut aussi contenir de l’information confidentielle comme celle-ci. »
Des imposteurs sur un réseau professionnel
Le patron de votre patronne vient de demander à rejoindre votre réseau. Vous l’avez d’abord reconnu à sa photo, puis vous avez remarqué qu’il était en relation avec tous les membres de votre équipe. Quelle n’a pas été votre joie quand vous avez reçu un message de sa part, dans lequel il partage avec vous le lien vers une bonne nouvelle au sujet de votre entreprise. Attendez avant de cliquer.
Au moyen de faux comptes créés sur des réseaux professionnels, les fraudeurs arrivent à berner des utilisateurs travaillant au sein d’une entreprise, ou dans un secteur d’activité déterminé. Ensuite, ils envoient une pièce jointe ou un hyperlien contenant un logiciel malveillant. Assurez-vous donc toujours de la légitimité d’un hyperlien avant de cliquer.
Des liens malicieux sur votre fil d’actualité
Vous consultez les dernières publications de votre fil. Soudain, une publication-choc sur une dernière étude liée aux effets de la COVID-19 capte votre attention. Les 280 caractères du gazouillis ne vous suffisent pas, sans attendre, vous cliquez sur le lien raccourci, sans vous douter qu’il mène à un site malveillant qui menace d’infecter votre téléphone.
Les hyperliens raccourcis sont partout sur les médias sociaux, et sont bien sûr utilisés par les fraudeurs. Pour éviter de vous faire prendre, prévisualisez l’hyperlien entier avant de cliquer; chaque outil qui permet de raccourcir un lien offre une méthode pour visualiser l’adresse originale (vous trouverez rapidement l’information en ligne). Si ce lien semble douteux, ne cliquez pas.
Des concours trompeurs
Vous tombez sur une photo qui annonce un concours sur les réseaux sociaux. Sous cette dernière, vous pouvez lire la marche à suivre pour y participer : « Partagez la photo, commentez la publication et envoyez-nous un message direct ». C’est simple et le prix est très alléchant, donc vous tentez votre chance. On vous demande ensuite de cliquer sur un lien et d’entrer vos informations personnelles pour valider votre participation, et c’est alors que vos renseignements personnels tombent entre les mains de malfaiteurs.
Plusieurs faux concours sont orchestrés par des fraudeurs sur les médias sociaux, et certains occasionnent même des frais cachés (si on vous demande de composer un numéro de téléphone par exemple, l’appel pourrait vous être facturé). Alors, méfiez-vous, surtout si c’est trop beau pour être vrai.
À la façon d’une chaîne de lettres, une publication frauduleuse pourrait aussi prendre de l’ampleur et devenir virale en misant sur l’urgence de partager à ses contacts un message qui se révèle faux.
Une relation affective virtuelle
Quelqu’un que vous ne connaissez pas s’adresse à vous en message privé. Sa photo attire votre regard, et ses mots doux vous font rougir. Vous discutez pendant des mois. Même si vous n’avez jamais encore eu la chance de vous rencontrer, vous appréciez cette relation. Un matin, votre partenaire virtuel est dans tous ses états : un voyage familial à l’étranger s’impose et les temps sont durs financièrement. Pour aider, vous proposez de lui prêter l’argent nécessaire… puis vous n’avez plus jamais de ses nouvelles.
Selon le Centre antifraude du Canada, les pertes occasionnées par la « fraude amoureuse » s’élevaient à plusieurs millions de dollars. Ne laissez pas l’amour vous aveugler sur les médias sociaux.
5 conseils pour vous aider à vous protéger sur les médias sociaux
Voici quelques pistes pour vous aider à déjouer les fraudeurs.
1. Protégez vos comptes en ligne
Pour chaque plateforme, optez pour un mot de passe robuste et unique. Comme vous risquez alors d’en détenir plusieurs, un gestionnaire de mots de passe vous permettrait de les stocker de façon sûre. Dès qu’on vous le propose, activez également l’authentification à double facteur.
2. Limitez l’information personnelle que vous publiez
Moins vous en partagez, moins vous êtes à risque. Cela vaut pour les informations qui permettent de vous identifier (prénom, nom, ville), comme pour les détails liés à votre emploi.
3. Surveillez vos paramètres de confidentialité
S’il faut faire attention à l’information que vous partagez, il faut aussi contrôler avec qui vous partagez ces renseignements. Après avoir réglé vos paramètres, vérifiez ces politiques régulièrement, comme elles pourraient par la suite être modifiées.
4. Méfiez-vous des faux comptes
Soyez vigilants lorsque vous acceptez une demande de connexion. Vous pourriez reconnaître un faux profil sur les médias sociaux ainsi : il a beaucoup d’abonnés, il ne participe pas aux échanges sur sa page ou le rythme de ses interactions est très rapide. Après avoir créé un faux compte, un fraudeur tentera d’entrer en communication avec ses cibles sur la plateforme de clavardage pour envoyer des applications ou des liens. Restez prudents lorsque vous échangez sur les réseaux sociaux, parce que c’est ce clic qui amorcera la fraude.
5. Contrôlez votre identité en ligne
Pour limiter les risques qu’un fraudeur utilise votre identité à votre insu sur une plateforme que vous ne fréquentez pas, créez-vous tout de même un compte. « Ne pas du tout être présent sur le web aujourd’hui, je pense que c’est une erreur », ajoute Tony Fachaux.
Comment dénoncer une fraude?
Si vous soupçonnez qu’on s’est emparé de votre compte, parce que des
messages directs y ont été envoyés à votre insu par exemple, contactez
immédiatement le réseau social sur lequel vous avez constaté la fraude
potentielle. Et si vous avez repéré une transaction frauduleuse dans
votre compte bancaire ou un mouvement sur votre bureau de crédit, même
en ayant suivi les bonnes
pratiques de sécurité, contactez sans plus tarder votre
institution financière. Après vérifications, vous serez remboursés
dans les plus brefs délais, et serez
accompagnés afin de déclarer cette fraude.
Pour limiter les risques de fraude sur les médias sociaux, développez-y les mêmes réflexes de sécurité qu’avec vos courriels. Alors que les tactiques des fraudeurs évoluent et s’adaptent à vos habitudes, la prévention est la clé.
Des gestes simples peuvent vous aider à vous protéger.