Hameçonnage (phishing) - FAQ

L'hameçonnage est l'envoi de faux courriels non sollicités dans lesquels on demande aux destinataires, sous différents prétextes, de cliquer sur un lien menant vers un faux site Web. Le pirate y récupère les renseignements fournis et les utilise pour détourner des fonds à son avantage. Le faux site Web, tout comme le courriel, semble authentique, et pour cause, car il est souvent une copie conforme du site de l'institution ou de l'entreprise.

Après avoir cliqué sur un lien ou une pièce jointe à partir du courriel, l'utilisateur est dirigé vers une fausse page d'ouverture de session AccèsD. Sur cette page, des champs de saisie ont été ajoutés pour recueillir frauduleusement vos renseignements personnels (numéro de Carte d'accès Desjardins, mot de passe AccèsD, numéro d'assurance sociale, date de naissance, etc.).

L'hameçonnage est aussi appelé phishing, dérivé de l'anglais fishing, et signifie « aller à la pêche aux renseignements dans une mer de poissons internautes ». L'erreur d'orthographe « ph » traduit la mauvaise qualité de l'anglais utilisé par les fraudeurs lors des premières attaques.

Retour

Desjardins a mis en place des systèmes de surveillance actifs 24 heures sur 24, 7 jours sur 7 lui permettant d'agir rapidement en cas de détection de courriels frauduleux.

De plus, Desjardins prend en charge chaque courriel d'apparence frauduleuse que vous lui soumettez.

Retour

Les malfaiteurs peuvent avoir obtenu votre courriel de différentes sources.

• Ils peuvent avoir utilisé une liste d'adresses courriels destinée à l'envoi de pourriels dans laquelle votre adresse courriel figure, avec ou sans votre consentement. Ces listes sont parfois créées à partir de formulaires de concours à remplir sur Internet ou lors de salons, festivals et expositions. Assurez-vous toujours de la légitimité d'une entreprise avant de participer à un concours.
• Ils peuvent avoir obtenu votre adresse au moyen d'un logiciel espion (spyware) ou d'un virus installé à votre insu sur votre ordinateur personnel. (Assurez-vous d'avoir une protection contre les virus et les logiciels espions.)
• Ils peuvent avoir créé, de façon aléatoire, des centaines de milliers d'adresses courriel en utilisant des noms et prénoms combinés avec des noms de domaines connus, dont l'une de ces combinaisons s'est avérée valide et, par hasard, être votre courriel personnel.

Une fois qu'un fraudeur trouve un courriel qui fonctionne, il est souvent tenté d'acheminer à répétition des courriels à cette adresse.

Bien que l'hameçonnage soit associé à l'utilisation du courriel, certains criminels informatiques utilisent le téléphone pour mener ce type d'attaque. Dans ce cas, le pirate téléphone au client en se faisant passer pour un employé de l'institution financière visée, pour un enquêteur ou pour la police.

Retour

Vous devez être très vigilant puisque les fraudeurs empruntent les couleurs et les logos de Desjardins pour que le courriel ait tout de l'apparence d'un vrai.

Ne croyez pas qu'en un coup d'œil, vous serez capable de reconnaître un courriel rédigé par un fraudeur. S'il est vrai qu'au début de ce type d'attaque, les fraudeurs rédigeaient des courriels de piètre qualité avec une mise en page boiteuse, il n'en est rien des courriels frauduleux qui circulent à l'heure actuelle.

Pour distinguer un courriel frauduleux d'un courriel légitime, concentrez-vous sur le contenu du message, plutôt que sur les artifices de sécurité qui l'entourent. Les logos, signatures, éléments de sécurité et fonds de page sont, dans la majorité des cas, des copies contrefaites identiques à l'original.

Voici quelques caractéristiques de ces courriels frauduleux :

• Le contenu du courriel frauduleux vous incite, de façon urgente ou non, à poser une action pour l'un des motifs suivants :
• vous êtes finaliste ou avez gagné un concours officiel de Desjardins (ex. : concours « Desjardins paie vos taxes! »);
• il y a eu une tentative d'intrusion sur votre ordinateur (ex. : une heure et une adresse IP fictives vous sont fournies);
• vous devez mettre à jour vos renseignements personnels sans quoi votre compte sera gelé ou expirera;
• une fraude a été faite dans votre compte et, sans une validation de votre part, vous en serez tenu responsable;
• vous devez vous inscrire à un service de sécurité en ligne de Desjardins (ex. : Accès safe);
• une simple erreur comptable a été commise et corrigée (dans ce cas, on ne vous demande pas de poser une action, mais un hyperlien vers un faux site est inclus dans le courriel);
• etc.
• Les courriels comportent un hyperlien, en apparence crédible, menant vers un faux site AccèsD.
• Le courriel est souvent signé en utilisant le nom ou l'en-tête d'un groupe de sécurité.
• Certains courriels comportent des fichiers joints.

En aucun cas, Desjardins ne communiquera avec vous par courriel pour l'un ou l'autre de ces motifs.

Si vous recevez un courriel qui semble provenir de Desjardins et qui comporte une ou plusieurs de ces caractéristiques, il est probable que ce courriel soit frauduleux, donc qu'il s'agisse d'une tentative d'hameçonnage (phishing) à votre endroit.

Il n'est pas dans les pratiques de Desjardins de solliciter ses membres, par courriel ou autrement, pour obtenir des renseignements confidentiels les concernant. Si vous recevez ce type de demande, ne répondez pas.

Chez Desjardins, aucune procédure ne prévoit de conséquence pour vous si vous ne répondez pas à un courriel.

Retour

Pour qu'une attaque d'hameçonnage fonctionne, les fraudeurs doivent nécessairement créer un faux site et l'héberger sur le Web.

Si vous effectuez une recherche à l'aide d'un moteur de recherche connu (ex. : Yahoo, Google, MSN, etc.), vous avez de fortes chances d'obtenir de faux sites AccèsD parmi vos résultats de recherche.

Desjardins intervient toujours sur-le-champ pour faire fermer ces faux sites, mais quelques minutes ou quelques heures peuvent parfois s'écouler avant que les autorité concernées, en collaboration avec les fournisseurs de services Web, puissent agir.

N'accédez pas au site AccèsD à partir d'un résultat de recherche. Tapez toujours l'adresse www.desjardins.com et cliquez sur le lien AccèsD.

Retour

Non, votre compte et le service AccèsD, par lequel vous faites vos opérations en ligne, ne comportent pas de date limite et ne peuvent pas arriver à expiration. Vous seul pouvez décider de fermer votre compte ou de ne plus utiliser le service.

Retour

Si vous recevez un courriel vous demandant de mettre à jour vos données personnelles (numéro de carte de débit, mot de passe AccèsD, numéro d'assurance sociale et date de naissance), sous prétexte que votre compte AccèsD arrive à expiration ou pour toute autre raison, ne répondez pas à ce courriel, ne cliquez pas sur les liens affichés et n'ouvrez pas les pièces jointes au courriel.

Pour nous transmettre des renseignements concernant la réception d'un courriel que vous croyez être frauduleux, faites suivre le courriel et l'adresse du site à : hameconnage@desjardins.com. Veuillez noter qu'une réponse automatisée vous sera donnée lorsque vous soumettrez un cas à cette adresse. Attention : ne mentionnez aucune information confidentielle dans ce courriel (numéro de compte ou NIP). Pour de l'assistance, appelez sans tarder un agent des services AccèsD. Voici comment nous joindre.

Retour

Si vous avez répondu ou croyez avoir répondu à un tel courriel, modifiez votre mot de passe AccèsD sans tarder à partir du lien Dossier situé à droite de l'en-tête d'AccèsD Internet. Si vous constatez des transactions inconnues dans votre compte, contactez sans tarder votre caisse ou composez l'un des numéros suivants :

S'il s'agit de votre compte VISA, contactez le service à la clientèle VISA Desjardins :

Il vous est aussi recommandé d'aviser les agences de crédit comme Equifax (1 800 465-7166 ou 514 493-2314) ou Trans-Union (1 877 713-3393 ou 514 335-0374), qui ajouteront une note à votre dossier pour alerter les fournisseurs de crédit que vous avez peut-être été victime d'une activité frauduleuse.

Retour

Non, les mesures de sécurité déjà en place n'ont jamais permis aux fraudeurs de s'introduire dans les systèmes informatiques de Desjardins. C'est pourquoi les fraudeurs tentent par l'hameçonnage (phishing) d'obtenir vos codes d'accès, mots de passe, votre numéro d'assurance sociale et votre date de naissance auprès de vous plutôt qu'à travers nos systèmes. Le site Internet de Desjardins demeure sécuritaire et la confidentialité de vos renseignements personnels est assurée.

Retour

Il est malheureusement probable que vous receviez occasionnellement ce type de courriel, en provenance apparente de Desjardins ou d'une autre institution financière.

Votre meilleure protection demeure votre vigilance.

• Ne répondez jamais à un courriel qui vous demande des renseignements personnels, et ce, peu importe qui en est l'expéditeur.
• Ne fournissez jamais d'information personnelle par téléphone, telle que votre numéro de carte de débit, votre date de naissance ou votre numéro d'assurance sociale, sauf lorsque c'est vous qui avez pris l'initiative de la communication.
• Ne divulguez jamais votre mot de passe à personne; ni à un employé de Desjardins ni à une autorité policière. Les vrais employés et les vrais policiers savent qu'ils n'ont pas le droit de vous demander ces renseignements.
• Ne cliquez jamais sur un hyperlien à l'intérieur d'un courriel pour ouvrir le site AccèsD ou tout autre site transactionnel qui vous demande un code d'accès ou un mot de passe.
• N'ouvrez jamais les pièces jointes d'un courriel dont vous ignorez la provenance.
• Utilisez toujours votre navigateur Internet en tapant www.desjardins.com pour accéder à la page d'accueil d'AccèsD ou d'AccèsD Affaires.
• Assurez-vous d'être dans un environnement Internet sécurisé en vérifiant la présence d'un cadenas fermé dans la barre d'état de votre navigateur. Assurez-vous que le « http » de l'adresse qui s'affiche comporte un « s » (https). Vous devriez également être capable de visualiser les certificats numériques du site, en double-cliquant sur le petit cadenas verrouillé dans la barre d'état de votre navigateur.

Vous pouvez également vous assurer que votre ordinateur personnel est adéquatement protégé :

• Installez les mises à jour de sécurité des logiciels de votre ordinateur.
• Installez un logiciel antivirus qui comporte une fonction de mise à jour automatique.
• Installez un antiespiogiciel (anti-logiciel espion).
• Installez un logiciel antipourriel.
• Effacez la mémoire cache de votre navigateur chaque fois que vous fermez une session AccèsD, car elle pourrait renfermer une copie des dernières pages que vous avez consultées.

Retour

Avec votre numéro de carte de débit et votre mot de passe, le fraudeur peut accéder à votre compte et procéder à des virements entre personnes, à partir soit de votre compte, soit de votre carte de crédit VISA Desjardins. Le bénéficiaire de ces sommes est généralement un complice. Si, en plus, vous avez fourni votre date de naissance et votre numéro d'assurance sociale, le fraudeur peut usurper votre identité et se servir de ces renseignements pour demander, à votre insu, une carte de crédit, un prêt ou une marge de crédit dans une autre institution financière, par exemple.

Retour

Pas du tout. L'hameçonnage est une astuce qui prend de l'ampleur partout dans le monde et qui touche principalement les institutions financières.

Retour