Connexion
Connexion

Sécurité de l'information

Escroquerie

Vous êtes sollicité de toute part par des courriels, des SMS, des appels téléphoniques, par les réseaux sociaux. Les sollicitations peuvent être bien fondées ou non. Cependant, il est parfois difficile de distinguer le vrai du faux. Dans le moindre doute, vous vous informez.

Ce que vous devez savoir...

L'escroquerie a recours à des moyens variés, tels qu’un courriel, un appel téléphonique, un message sous forme de SMS, une sollicitation sur les réseaux sociaux ou un site Web qui simule un site officiel. Elle prend la forme d’une demande de changement de mot de passe, d’une promotion, d’une confirmation d'achat, d’une vente, d’un concours, d’une alerte, d’un avertissement, d’une menace, d’une proposition, d’une exclusivité, d’un héritage, etc.

Elle tente usuellement d’obtenir de l’information, comme une carte de paiement ou un mot de passe. Elle peut également cibler un bien, une carte-cadeau, un service, un transfert d’argent ou un moyen de paiement.

Scénario plausible

Vous recevez une promotion publicitaire concernant l’achat d’un téléphone intelligent. Il s’ensuit la séquence hypothétique suivante :

  1. Vous recevez un courriel de rabaisdujour@aubonprix.ca vous indiquant en sujet que « Un grand solde est en cours ».
  2. Vous lisez ce courriel qui vous explique qu’Au Bon Prix a réussi à acheter des surplus d’un fournisseur connu et qui préfère rester anonyme. Vous devez répondre à ce courriel pour qu’on vous appelle pour en savoir davantage.
  3. Étant intrigué et sachant qu’un appel ne vous fera pas de tort, vous fournissez votre numéro de téléphone.
  4. Cinq minutes après se sont écoulées, votre téléphone sonne. Ils sont rapides!
  5. « Allô, pourrais-je savoir à qui je parle s'il vous plaît? » vous interroge la personne qui vous appelle. Vous communiquez gentiment votre nom et la conversation se poursuit. La personne est crédible et parle d’un ton assuré. Elle vous aide à naviguer sur le site de www.aubonprix.ca pour trouver l’information que vous recherchez. Vous notez leur adresse et leur numéro de téléphone, on ne sait jamais!
  6. Vous décidez d’acheter cette aubaine à 65% de rabais par rapport au produit que vous trouvez à votre magasin d’informatique préféré. Par chance, il y a un page de paiement sécurisé sur le site.
  7. Après avoir raccroché, vous effectuez la transaction.
  8. Deux semaines après, vous n'avez rien reçu... et le site Web n’existe plus, le numéro de téléphone est désactivé et l’adresse correspond à des bureaux partagés dont le propriétaire n’a jamais entendu parler d’Au Bon Prix.
  9. Une chance que vous n'avez perdu que 350$! 

Les sections ci-dessous présentent notamment les caractéristiques de l'escroquerie, ses effets, comment la prévenir et réagir si cela se produit, ce qui est attendu par la directive 2600-063 ainsi que les formations qui me sont rendues accessibles par l’Université.

Caractéristiques

Voici les principales caractéristiques liées à l'escroquerie : 

• Falsification de site Web : technique de mystification qui consiste à créer une copie à s’y méprendre d'un site Web officiel, incluant une version très approchée du nom de domaine (ex. : www.ushrbrooke.ca);

• Hameçonnage : message générique imitant souvent une grande organisation dans le but de tromper les gens (ex. : une banque); 

• Harponnage : hameçonnage personnalisé sur un groupe de personnes;

• Fraude du président : forme de harponnage où l’auteur du message se fait passer pour un haut dirigeant de l’organisation;

• Manipulation de lien Web : technique de mystification d’une adresse de navigation  afin d’atteindre un site Web falsifié (ex.: www.ushrbrooke.ca). 

Effets

Le facteur humain, c’est-à-dire un manque d’attention, une sensibilisation insuffisante ou une mauvaise manipulation, est souvent à l'origine d’une escroquerie. Lorsque vous êtes victime d’une escroquerie, vous mettez votre vie privée à risque et vous impliquez d’autres personnes sans le savoir.

Les trois principaux effets d'une escroquerie sont :

  1. Pertes financières;
  2. Vol de données ou d’identité;
  3. Atteinte à la réputation de l’Université.

Prévention

Les conseils de prévention qui suivent sont spécifiques à l’Université de Sherbrooke, bien qu’ils puissent être généralisés. Ainsi, vous devriez toujours :

• Vérifier l’expéditeur, le contenu et les destinataires d’un message :

  • Est-ce que vous connaissez l’expéditeur? L'adresse est-elle bien écrite?
  • Le contenu vous semble-t-il anormal? Est-ce qu'il y a une pièce jointe inattendue? S’il y a un lien cliquable, est-il bien écrit?
  • Êtes-vous le seul destinataire ou semble-t-il y avoir plusieurs destinataires plus ou moins pertinents?

• Vérifier un hyperlien et le site Web qui apparaît pour toute anomalie. Dans le doute, abstenez-vous et demandez l’aide du service informatique.

• Installer un antivirus et un pare-feu sur vos appareils.

Réaction

Si vous croyez être victime d’une escroquerie, vous réagissez rapidement en contactant votre service informatique facultaire ou bien le service à la clientèle du Service des technologies de l’information par téléphone (poste 74444) ou directement par Casius

Directive de l'Université

La section 5.2 « Comportements interdits » de la  Directive relative à l’utilisation, à la gestion et à la sécurité des actifs informationnels stipule qu’il est interdit de...

  1. falsifier son identité;
  2. usurper l’identité d’une autre personne, d’un groupe ou d’une organisation.

Les deux sections qui suivent sont plus spécifiques concernant ce que vous devez faire selon la directive, afin de vous protéger contre le vol d'identité. 

Au niveau de l’utilisation des actifs informationnels, vous devez  :

• Selon la section « 5.8 Médias sociaux »

  • Utiliser les médias sociaux avec prudence.

• Selon la section « 5.9 Protection des actifs informationnels »

  • Signaler une escroquerie en contactant rapidement le service à la clientèle du Service des technologies de l’information par téléphone (poste 74444) ou directement par Casius

Formation

Pour vous aider dans votre compréhension sur le vol de données, l’Université vous offre des micro-formations et nano-formations qui durent moins de 3 minutes : 

  • « Hameçonnage – Six indices qui devraient soulever des doutes »
  • « Hameçonnage ciblé »
  • « Hameçonnage de haut  niveau – whaling »
  • « Hameçonnage via SMS  - smishing »
  • « Hameçonnage vocal – vishing »
  • « Hameçonnage Web »
  • « Usurpation d’identité d’un haut dirigeant par courriel »

Suivre la formation