CONFESSIONS D’UNE AVOCATE EN CYBERSÉCURITÉ SUR UNE ESQUIVE D’ESCROQUERIE

« Je ne me ferais jamais avoir par une arnaque! Je suis plus intelligent que ça, ça ne pourrait jamais m’arriver! »

 

En tant que professionnelle spécialisée en droit de la cybersécurité et de la protection de la vie privée, j’ai une formation approfondie sur les techniques utilisées par les auteurs de menaces pour obtenir des informations sensibles. Je sais quelles sont les menaces et comment les repérer. J’ai appris exactement ce qu’il faut surveiller, ne jamais cliquer sur un lien dans un e-mail suspect, ne jamais accepter de bonbons d’étrangers… Je suis censée être la prédatrice, et non la proie, n’est-ce pas? Eh bien, laissez-moi vous parler de mon mardi!

 

J’ai passé la journée au bureau. Je suis arrivée à la maison, j’ai passé du temps avec mon enfant, lui ai préparé son souper et l’ai envoyé au lit pour la nuit. Puis, le téléphone a sonné. J’ai répondu, en supposant que c’était le restaurant chinois auquel je venais de commander qui me rappelait pour clarifier l’étendue de mon allergie aux crevettes. Erreur!

 

L’appelant s’est identifié comme un représentant du service des fraudes de la banque qui gère nos comptes, à mon mari et moi. Il m’a informé qu’il y avait plusieurs transactions suspectes sur ma carte de crédit et qu’il voulait les examiner avec moi. J’ai dit OK. Il a confirmé à qui il parlait (il connaissait mon nom), il a confirmé mon adresse résidentielle (qu’il connaissait aussi) et a ensuite commencé à me poser quelques questions sur mes récentes allées et venues. Apparemment, la banque avait signalé des transactions sur ma carte à partir d’une station-service à Toronto et d’autres transactions suspectes commençaient à apparaître de partout à Toronto. 

 

Et donc, l’appelant et moi avons commencé le « processus d’authentification ». Avant de fournir mes renseignements personnels, je lui ai demandé de confirmer le numéro de la carte de crédit en question. Il m’a fourni les quatre premiers chiffres de ma carte, qui correspondent aux chiffres qui identifient toutes les cartes Visa émises par notre banque. Je lui ai alors demandé de me fournir les quatre derniers chiffres de la carte de crédit, après quoi il m’a répondu que cette information ne pouvait être fournie tant que mon identité n’aurait pas été authentifiée par la banque, via leurs questions de sécurité. C’est à ce moment-là que mon radar a commencé à sonner : je n’avais pas reconnu le numéro à partir duquel cet homme appelait, et je n’avais reçu aucune confirmation réelle qu’il était effectivement un représentant du service des fraudes de la banque.  

 

fraudeur à capuchon contre la cybersécurité

 

J’ai exprimé mes inquiétudes quant à son identité et je lui ai expliqué que, par mesure de précaution, je mettrais fin à cet appel téléphonique et rappellerais le service des fraudes de la banque, ce qui me permettrait de m’assurer que je parlais bien à un représentant de la banque. Il m’a rapidement rassurée, m’expliquant qu’il comprenait mon inquiétude, me félicitant de ma vigilance, tout en réitérant l’importance de vérifier rapidement les transactions suspectes, puis d’annuler et de ré-émettre une nouvelle carte de crédit (sécuritaire). Encore une fois, j’ai insisté sur le fait que je mettrais fin à l’appel et que je rappellerais la banque, sans délai. Son ton a commencé à changer. Au lieu du masque professionnel de service à la clientèle, son ton est devenu plus insistant : l’appel était enregistré. Mon défaut de me conformer à la résolution de cette question urgente signifierait que les transactions suspectes seraient autorisées, et pire, que je serais responsable de les payer si je mettais fin à l’appel, car la banque aurait rempli son devoir de m’informer d’une activité potentiellement frauduleuse et il y aurait des preuves enregistrées de cela. Ce n’est pas ce que nous voudrions, n’est-ce pas ? Il me fallait fournir mes informations, tout de suite. 

 

Je lui ai alors suggéré que s’il avait l’impression, en tant que représentant de la banque, que ma carte était compromise, il avait ma permission, dûment enregistrée, d’annuler ma carte de crédit sans délai. Je rappellerais le service des fraudes et je réglerais… La ligne a été coupée. Il avait mis fin à l’appel, réalisant que je ne me conformerais pas à ses demandes, malgré ses tentatives habiles de me duper. 

 

Je suis immédiatement allée vérifier mon compte bancaire en ligne et j’ai verrouillé toutes mes cartes de crédit et de débit. J’ai utilisé le numéro fourni au dos de ma carte de crédit pour appeler ma banque et vérifier s’il y avait effectivement eu des transactions frauduleuses sur mon compte. Il se trouve que ma carte de crédit était nette. Aucune accusation suspecte. Aucune annulation. Rien n’indiquait que le service des fraudes m’avait contactée. 

 

J’avais presque été victime de ce qu’on appelle communément une attaque d’« ingénierie sociale », une stratégie par laquelle les auteurs de menaces utilisent la manipulation psychologique pour accéder à des informations sensibles ou privées. Il était déjà en possession de mon nom et mon numéro de téléphone ainsi que mes adresses physiques et électroniques, des informations facilement accessibles grâce à une simple violation de données subie par l’un des endroits où je magasine en ligne. Il a également supposé à juste titre que j’étais en possession d’une carte de crédit, mais n’avait clairement pas les renseignements dont il avait besoin pour l’utiliser lui-même, ce qui était très probablement la raison de l’appel. L’auteur de menaces a utilisé le « faux-semblant », une technique courante d’ingénierie sociale, pour tenter d’obtenir ma collaboration en s’identifiant comme un représentant du service des fraudes pour gagner ma confiance et m’amener à divulguer des informations sensibles. Il a également utilisé la technique la plus ancienne du livre : « peur », me menaçant de perte monétaire si je ne me conformais pas à sa demande, rapidement. 

 

Si j’avais été un peu plus fatiguée, distraite ou autrement inattentive, je n’aurais peut-être pas relevé les indices. Mais ma « mémoire musculaire » est entrée en jeu et je me suis souvenue de : 

  1. Vérifier la source – Je ne me suis pas fiée à l’affirmation de l’auteur de menaces selon laquelle il était de la banque et j’ai insisté pour ne communiquer avec eux que par le biais d’une source fiable. 
  2. Briser la boucle et ralentir – Créer un faux sentiment d’urgence signifie que les cibles sont moins susceptibles d’évaluer de manière critique les informations qui leur sont présentées. Parfois, prendre une seconde supplémentaire pour réfléchir à la question (pourquoi ne puis-je pas simplement rappeler en moins d’une minute? S’il a déjà interrompu les transactions, pourquoi est-ce si urgent?) vous permet de voir l’attaque pour ce qu’elle est vraiment. 
  3. Demander une pièce d’identité – assurez-vous que la personne est bien qui elle dit être. Vérifiez le numéro de téléphone en ligne. Demandez quel est leur numéro de poste afin que vous puissiez rappeler si l’appel est déconnecté. S’ils hésitent à s’identifier, mettez fin à l’appel. 

 

Même si cette tentative a échoué, j’ai pris des mesures pour protéger mes comptes de crédit et bancaires, car il est clair que mes renseignements personnels sont disponibles sur Internet. En plus de communiquer avec le service des fraudes de ma banque, j’ai rempli un rapport en ligne avec le Système de déclaration du Centre anti-fraude du Canada (qui se trouve ici : https://www.services.rcmp-grc.gc.ca/CAFCFRS/). Je me suis également inscrite à des services de surveillance du crédit avec Equifax Canada (https://www.consumer.equifax.ca/personal) TransUnion (https://www.transunion.ca/sites/ca/home_en). 

 

Par Alexandra Kallos