La compromission des courriels d’affaires et la fraude liée aux transferts télégraphiques demeurent des défis

Le monde est toujours aux prises avec la pandémie de COVID-19. Au début de la crise, les entreprises se sont empressées de transférer leurs activités en ligne, et les employés ont rapidement commencé à travailler à distance. Tout cela a créé des conditions propices aux cyberattaques. Les signalements de courriels frauduleux qui visent à extorquer de l’information et de l’argent, aussi appelés arnaques par hameçonnage, ont grimpé en flèche pendant la pandémie¹. Certaines tentatives ont même été déguisées en mesures de protection contre la COVID-19.

En juillet 2021, le Service secret des États-Unis a intercepté une fraude par compromission des courriels d’affaires qui aurait pu faire perdre près de 750 000 $US à une entreprise américaine. Le succès de l’interception découle directement du fait qu’une entreprise canadienne a signalé l’arnaque au Centre antifraude du Canada (CAFC) en juin, qui a averti les autorités américaines, ce qui a incité la banque à suspendre le transfert². Cette fraude évitée de justesse aurait pu avoir des conséquences désastreuses. Au Canada, le CAFC indique que plus de
67 000 consommateurs et entreprises ont subi des pertes totales de 104 millions de dollars après avoir été victimes de fraude l’an dernier. Malheureusement, on estime que moins de 5 % des victimes soumettent un rapport de fraude au CAFC³.

Voici quelques signes révélateurs de fraudes par compromission des courriels d’affaires selon l’Association des banquiers canadiens (ABC)⁴ :

Faux dirigeant d’entreprise : Courriel frauduleux qui semble provenir du chef de la direction ou du chef des finances de l’entreprise. Ces courriels sont habituellement adressés à un employé du service de la comptabilité ou des finances, lui intimant de virer des fonds à une tierce partie, dans l’immédiat.

Fraude par hameçonnage liée aux fournisseurs : Courriels frauduleux qui semblent provenir d’un fournisseur avec lequel votre entreprise entretient une relation de travail. Ces courriels demandent à une personne d’effectuer le paiement d’une facture impayée par transfert électronique de fonds à un compte frauduleux. Le CAFC indique qu’une autre version de l’arnaque liée aux fournisseurs est l’escroquerie de services de points de vente, soit lorsqu’une personne vous appelle pour vous dire que votre fournisseur doit mettre à niveau votre terminal de débit. En fait, l’appelant tente de vous amener à souscrire aux services de points de vente offerts par une entreprise frauduleuse.

Vol de renseignements : Demandes pour des renseignements protégés relatifs aux activités et aux finances de votre entreprise, comme des déclarations fiscales ou des numéros de compte. Ces fraudes ne sont pas toujours faciles à détecter, car les courriels peuvent sembler légitimes.

Le CAFC recommande aux entreprises de prendre les mesures suivantes pour lutter contre les appels ou les courriels frauduleux⁵ :

• Dressez la liste des entreprises avec qui vous faites généralement affaire et n’autorisez que quelques employés à approuver et à régler les achats.
• Avant d’envoyer des fonds ou de fournir un produit, communiquez avec les clients actuels en personne ou par téléphone pour confirmer que la demande est légitime.
• Ne fournissez aucun renseignement à l’occasion d’appels non sollicités et informez les employés de tous les niveaux afin qu’ils restent vigilants.
• Vérifiez s’il y a des fautes d’orthographe et des erreurs de mise en forme et abstenez-vous de cliquer sur les pièces jointes, car elles peuvent contenir des virus et des logiciels espions.
• Examinez soigneusement les factures de fournisseurs avant d’effectuer un paiement.

D’autres arnaques ciblent davantage les personnes et, en raison du passage au télétravail, il n’est pas aussi facile de détecter une ruse.

Les arnaques liées aux emplois sont devenues plus courantes alors que l’économie continue de se redresser et que les demandeurs d’emploi cherchent un travail. Selon le Bureau d’éthique commerciale, même si ces arnaques ne datent pas d’hier, elles sont devenues monnaie courante pendant la pandémie. En 2019, environ 14 millions de personnes ont été victimes de cybercriminels se faisant passer pour de nouveaux employeurs, ce qui a entraîné des pertes directes de 2 milliards de dollars⁶.

Plus tôt cette année, la police de Toronto a mis en garde le public contre des arnaques liées au télétravail visant à soutirer des sommes importantes à des victimes peu averties. Des cybercriminels déguisés en employeurs auraient affiché des offres d’emploi en ligne et demandé aux candidats d’accepter de l’argent au moyen d’un transfert électronique ou d’un chèque à déposer. On leur a ensuite demandé de retirer des fonds de leur propre compte et de les déposer dans un guichet automatique de bitcoins. Les candidats qui sont allés encaisser le chèque ont appris qu’il n’était pas honoré par leur banque. Par ailleurs, le transfert électronique était tout aussi frauduleux⁷. En fin de compte, les victimes ont perdu beaucoup d’argent.

Les arnaques relatives à l’impôt sur le revenu sont aussi courantes. Même si les Canadiens réussissent de mieux en mieux à repérer ces arnaques, le CAFC reconnaît que les appels téléphoniques menaçants constituent une forme de fraude et d’extorsion qui a fait perdre
12,5 millions de dollars aux Canadiens en 2020⁸.

Comment éviter cette arnaque⁹ :

• N’oubliez pas que l’Agence du revenu du Canada (ARC) n’exigera jamais le paiement immédiat par transfert électronique, par bitcoins, par carte de crédit prépayée ou par carte-cadeau émise par les principaux détaillants.
• L’ARC n’utilise pas non plus un langage agressif et ne menace pas les contribuables en leur disant qu’ils vont être arrêtés.

Les fonctionnaires de l’ARC ne vous fourniront pas et ne vous demanderont pas de renseignements personnels ou financiers par courriel, et ils ne vous enverront pas de courriel contenant un lien vers votre remboursement. L’ARC ne demandera jamais de vous rencontrer en personne pour régler un paiement.

Nous vivons à l’ère numérique, et nous sommes bombardés de renseignements. Les cybercriminels, qui sont conscients que la société tente de suivre le rythme face à l’avalanche de nouvelles sur le virus mortel de la COVID-19, trouvent des façons uniques de capter notre attention. Les courriels douteux qui offrent des passeports vaccinaux, des remèdes miracles pour la COVID-19, des remèdes à base de plantes, des vaccins et d’autres produits ou services liés au virus sont tous des tentatives destinées à voler de l’argent et des renseignements personnels. Les autres stratagèmes de fraude vont des fausses offres d’emploi aux fausses demandes d’aide gouvernementale¹⁰. Si quelque chose semble trop beau pour être vrai, c’est probablement le cas.

La connaissance est toujours la meilleure ligne de défense contre la fraude pour les entreprises comme pour les particuliers. Voici, selon l’ABC, quelques façons de repérer et d’éviter les arnaques par hameçonnage¹¹ :

• Est-ce que la demande est justifiée? Votre banque ne vous enverra jamais de courriel pour exiger que vous lui divulguiez des renseignements personnels, par exemple votre mot de passe, votre numéro de carte de crédit ou de débit ou encore le nom de jeune fille de votre mère.
• Le courriel transmet-il un sentiment d’urgence? Les menaces de verrouiller vos comptes si vous ne répondez pas sont les signes d’une fraude par hameçonnage.
• L’adresse électronique de l’expéditeur semble-t-elle suspecte? Recherchez les fautes d’orthographe et vérifiez si le domaine de courriel correspond bien à l’organisation que l’expéditeur est censé représenter.
• Le courriel contient-il une pièce jointe ou un lien douteux que vous n’attendiez pas? Parfois, un lien vers un site Web peut sembler valide, mais si vous placez votre curseur dessus, vous pouvez voir le véritable hyperlien. Si le lien ne semble pas correspondre à ce que l’expéditeur dit, il s’agit probablement d’une tentative d’hameçonnage. Ne cliquez jamais sur des liens suspects et n’ouvrez jamais des pièces jointes douteuses.

N’oubliez pas que la HSBC ne vous demandera jamais de fournir de l’information qui pourrait servir à effectuer un paiement, comme le code de votre dispositif d’accès sécurisé, ni de divulguer vos renseignements de sécurité par courriel ou par téléphone.

En savoir plus.

Avis

© Banque HSBC Canada, 2021. Tous droits réservés. Aucune partie du présent document ne peut être reproduite, conservée, distribuée ou transmise sans l’autorisation écrite préalable de la Banque HSBC Canada.

Les renseignements fournis ne sont pas nécessairement exhaustifs et ne sauraient être interprétés comme des conseils professionnels de nature financière, juridique, fiscale ou autre. Vous ne devriez pas agir sur la foi de cette information sans avoir obtenu les conseils d’un professionnel. Le présent document a été préparé avec soin, mais la HSBC ne peut garantir, ni s’engager à déclarer (explicitement ou implicitement) que ces renseignements sont exacts et complets. Les renseignements présentés dans ce document peuvent être modifiés sans préavis.

Certains des produits et services proposés par la HSBC, ses filiales et ses sociétés affiliées sont offerts sous réserve d’une approbation de crédit. Ce document ne saurait constituer une offre de fournir les services et les produits qui y sont décrits et la prestation de ces services et produits demeure assujettie au contrat.

«HSBC» est une marque de commerce de HSBC Holdings plc, utilisée par la HSBC et ses sociétés affiliées en vertu d’une licence.