La cybercriminalité est en hausse au Canada. La Gendarmerie royale du Canada fait état d’une augmentation de 40 % des pertes liées à la fraude l’an dernier.
- Plus de 70,000+ signalements de fraude enregistrés, totalisant des pertes de 530 millions de dollars
- Augmentation de 150 millions de dollars des pertes liées à la fraude de 2021 à 2022
- Près de 30 % des signalements émanent de victimes d usurpation d’identité
Voici quelques conseils pour réduire vos risques d’être victime d’un cybercrime et protéger vos clients—et votre entreprise—contre la fraude. N’hésitez pas également à télécharger nos 10 astuces pour lutter contre la fraude.
Sensibilisez votre personnel
Si vos employés savent ce qu’ils doivent surveiller, ils sont plus susceptibles de repérer des activités frauduleuses. Un récent sondage de la Banque Scotia sur la fraude chez les jeunes, révèle en effet que 63 % des jeunes Canadiens n’ont pas été sensibilisés à la fraude financière ou à la façon de se protéger contre les fraudeurs.
Ce sondage indique également que trois jeunes Canadiens sur quatre ont été la cible ou la victime de différents types d’escroqueries financières : escroqueries par courriel, téléphone, texto, carte de crédit ou sur les médias sociaux.
Créez un programme de sensibilisation à la fraude
Vous pouvez réduire les risques de cyberattaque en apprenant à votre personnel comment reconnaître et signaler toute activité suspecte. Créez un programme interne de sensibilisation à la fraude et assurez-vous que tout votre personnel est formé et sait quoi faire en cas d’activité ou de communication frauduleuse.
Fraude par robots. Aussi connue sous le nom de « fraude par réseaux zombies » ou « fraude automatisée », cette action frauduleuse intervient au moyen de logiciels automatisés appelés « robots ». Les robots sont des programmes informatiques capables d’exécuter des tâches automatisées et, bien souvent, d’imiter le comportement humain en ligne. Les cybercriminels utilisent des robots pour réaliser différentes activités frauduleuses à des fins financières, exploiter des vulnérabilités ou perturber des services. Les prises de contrôle de comptes et la fraude au clic sont des exemples courants de fraude par robots. Les institutions financières, les plateformes de commerce électronique et les détaillants en ligne sont particulièrement vulnérables à la fraude par robots, qui ne cesse de s’adapter et d’évoluer et constitue un défi permanent.
Fraude par test de carte. Les fraudeurs vérifient les informations des cartes de crédit ou de débit volées en effectuant des petites transactions ou demandes sans autorisation pour contrôler si la carte est valide et utilisable. Les fraudeurs testent généralement la carte en ligne en utilisant des outils automatisés ou des processus manuels pour valider les informations liées à la carte volée, comme le numéro de carte, la date d’expiration et le code de vérification (CVV).
Usurpation d’identité. Le vol d’identité (ou l’usurpation d’identité) est l’utilisation non autorisée des informations personnelles d’un individu par des tiers. L’usurpateur se sert du nom, de la date de naissance, de l’adresse, du numéro d’assurance sociale (NAS), du numéro de carte de crédit ou d’autres renseignements personnels à des fins criminelles ou financières.
Hameçonnage et escroqueries liées aux informations personnelles. L’hameçonnage (et toutes ses variantes énumérées ci-dessous) concerne l’utilisation frauduleuse de moyens de communication, généralement les courriels, textos ou sites Web. L’objectif est d’inciter les victimes à divulguer des renseignements confidentiels, comme le numéro de leur carte de crédit, qui peuvent ensuite être exploités à des fins financières ou pour contourner des accès non autorisés. L’an dernier, huit organisations canadiennes sur dix ont subi au moins une attaque d’hameçonnage par courriel réussie.
Les types de fraudes les plus signalés au Canada l’année dernière étaient la fraude au remboursement, la fraude par test de carte, l’hameçonnage et les robots.
Types d’hameçonnage courants :
- L’hameçonnage par texto consiste à utiliser des textos ou messages textes pour inciter une personne à fournir des informations sensibles ou à cliquer sur un lien malveillant. Le cybercriminel envoie un texte prétendument émis par une organisation de confiance afin de demander des renseignements personnels ou d’orienter l’utilisateur vers un faux site Web.
- Leharponnage de cadres supérieurs est une méthode d’hameçonnage ciblant des personnes haut placées au sein d’une organisation, comme des cadres supérieurs ou dirigeants, pour les inciter à divulguer des informations confidentielles sur l’entreprise, des données financières ou des identifiants de connexion.
- L’hameçonnage consiste à exploiter la confiance et la réputation d’un vrai site Web ou service pour tromper les utilisateurs. Les cybercriminels compromettent ou détournent une plateforme de confiance pour héberger des pages d’hameçonnage ou diffuser des contenus malveillants. Les utilisateurs peuvent être redirigés vers ces pages au moyen de liens trompeurs.
- L’hameçonnage vocal consiste à utiliser des appels téléphoniques ou des messages vocaux pour tromper des personnes et les conduire à divulguer des renseignements sensibles ou à effectuer certaines actions. Les cybercriminels peuvent se faire passer pour de vraies organisations ou institutions financières afin d’inciter les victimes à leur communiquer des informations relatives à des comptes, des mots de passe ou d’autres renseignements confidentiels.
- L’hameçonnage ciblé est une attaque ciblée dans laquelle le fraudeur personnalise le message d’hameçonnage en fonction d’un individu, d’une organisation ou d’un groupe particulier. Il collecte des renseignements sur sa cible afin de rendre la tentative d’hameçonnage plus crédible et d’augmenter les chances de réussite.
- L’hameçonnage par clonage est une méthode par laquelle le fraudeur crée une copie quasiment identique d’un vrai courriel émanant le plus souvent d’une source de confiance. Il modifie certains détails ou intègre des pièces jointes ou liens malveillants dans le courriel cloné pour inciter les destinataires à divulguer des informations sensibles.
Saviez-vous que 8 organisations canadiennes sur 10 ont subi au moins une attaque d’hameçonnage par courriel réussie l’année dernière? >>>
Logiciel malveillant de point de vente (PDV)
Le logiciel malveillant de PDV est conçu pour voler les renseignements personnels de vos clients par le biais de vos terminaux de paiement. Le logiciel malveillant collecte les données liées aux cartes de paiement, notamment les numéros de carte de débit et de crédit, dates d’expiration et codes CVV.
Cette violation des données se produit en temps réel pendant que le terminal de paiement traite la transaction, et touche généralement les secteurs de la vente au détail et de l’hôtellerie. Les données volées peuvent alors être utilisées dans le cadre d’une usurpation d’identité ou d’achats frauduleux.
Les logiciels malveillants de PDV se propagent par le biais de courriels, d’adresses Web, de réseaux infectés ou de dispositifs USB connectés à votre terminal de paiement. Ils peuvent avoir des répercussions négatives sur votre entreprise et entraîner notamment des pertes financières. Vous pouvez réduire les risques d’attaques par des logiciels malveillants en mettant à jour votre logiciel PDV et en limitant les accès utilisateurs.
Fraude au remboursement
Les escroqueries au remboursement visent à tromper une entreprise, un organisme gouvernemental ou une institution financière pour obtenir un remboursement. La fraude au remboursement peut survenir dans le cadre de rétrofacturations, de remboursements d’assurance, de remboursements de taxes et autres. Vous pouvez limiter ce type de fraude en communiquant clairement votre politique de remboursement sur votre site Web. En outre, assurez-vous que vous avez toujours un moyen d’identifier l’achat d’un client et que vous disposez d’une solution de protection contre la fraude comme 3D Secure 2 (3DS2) et d’une technique de chiffrement.
Fraude au retour
On parle de fraude au retour lorsque des escrocs détournent un processus de retour pour obtenir un remboursement en échange de produits ou de services qu’ils n’ont pas légalement achetés. Vous pouvez limiter ce type de fraude en communiquant clairement votre politique de retour sur votre site Web.
POS malware can have a negative impact on your business, including financial and reputational loss. A recent study found that in the first eight months of 2022, the number of unique devices affected by POS malware grew by 19% compared to only 4% in 2021.
Protégez votre clientèle et votre entreprise
En sensibilisant vos employés, vous n’aurez fait que la moitié du chemin dans votre lutte contre la fraude. Pour l’entreprise, la conformité aux normes du secteur des cartes de paiement, l’authentification forte du client, le paiement sécurisé 3D Secure 2 (3DS2), le chiffrement, la sécurité des mots de passe et la segmentation en unités ont tous un rôle important à jouer pour prévenir la fraude et la cybercriminalité. Ils améliorent la sécurité des transactions numériques, protègent les données sensibles et vérifient l’identité des utilisateurs.
- 3DS2—3DS2 s’appuie sur la biométrie (et d’autres méthodes) pour une authentification rapide et fluide sur n’importe quel appareil. C’est en outre la seule méthode d’authentification de cartes qui respecte la réglementation de l’Union européenne (UE) en matière d’authentification forte du client. Selon Visa, 3DS2 réduirait même le taux d’abandon des paniers d’achats de 70 % et le temps de passage à la caisse de 85 %, tout en améliorant la sécurité et en accélérant le processus de paiement.
- Chiffrement—Le chiffrement protège les informations et communications sensibles en compliquant l’accès des utilisateurs non autorisés aux données d’origine ou leur compréhension de celles-ci s’ils ne disposent pas de la clé de déchiffrement appropriée.
- Sécurité des mots de passe— Pour prévenir l’accès non autorisé, la fraude et le vol, il est essentiel de sécuriser fortement les mots de passe. L’authentification multifactorielle ou biométrique rend vos paiements plus sûrs.
- Conformité aux normes du secteur des cartes de paiement—Les données des titulaires de cartes doivent être traitées et stockées de façon appropriée conformément à la Norme de sécurité des données du secteur des cartes de paiement (PCI DSS). Bien qu’il existe différents types de certification du secteur des cartes de paiement, vous devriez choisir un partenaire de paiement respectant la norme PCI DSS de niveau 1. C’est le minimum que vous pouvez exiger pour assurer la sécurité des données de paiement.
- Authentification forte du client—Si vous vendez des produits ou services au sein de l’Union européenne, vos paiements doivent satisfaire les réglementations en matière d’authentification forte du client conformément à la deuxième version de la Directive européenne sur les services de paiement (DSP2).
- Segmentation en unités&mdashLa segmentation en unités remplace les données sensibles, comme les numéros de carte de crédit ou les numéros d’identification personnels (NIP), par des identifiants uniques appelés aussi jetons. Les jetons dissimulent les informations sensibles pour que les pirates n’y aient pas accès.
For a more detailed discussion on PCI compliance and password security, check out our articles, Four security questions to ask your payment partner and How to protect your customers from fraud.
Pour en savoir plus la conformité aux normes du secteur des cartes de paiement et la sécurité des mots de passe, consultez nos article Quatre questions de sécurité à poser à votre partenaire de paiement et Comment protéger vos clients contre la fraude
Participez à la lutte contre la fraude
Notre équipe peut vous aider avec des outils de sécurité pour automatiser et détecter les transactions frauduleuses. Nous sommes également experts en matière de conformité aux normes du secteur des cartes de paiement. Communiquez avec nous dès aujourd’hui pour commencer, ou visitez notre centre d’aide pour plus de ressources sur la prévention de la fraude et la sécurité.
L’Association des banquiers canadiens met aussi à disposition gratuitement la trousse de cybersécurité de l’ABC pour PME pour vous aider à lancer un programme de sensibilisation à la fraude. Le Gouvernement du Canada présente quant à lui des alertes à l’arnaque courantes avec des exemples d’arnaques canadiennes récentes que vous pouvez communiquer à vos employés.