Si vous êtes Canadiens, vous savez que la date limite pour l’envoi de vos rapports d’impôt, le 30 avril, est à nos porte. Que vous ayez envoyé le tout à l’Agence de revenu du Canada (ARC) et à Revenu Québec depuis des semaines ou que vous ayez attendu jusqu’à aujourd’hui pour rassembler vos factures et relevés, vous pourriez être la cible de cyberarnaqueurs. Ce type d’attaques, que nous avons déjà analysé l’année dernière, est de retour.
Les arnaques de la saison des impôts se déclinent en différentes variantes. D’abord, certains escrocs peuvent tenter de convaincre des utilisateurs qu’ils travaillent pour l’ARC, afin de tenter de subtiliser les informations personnelles des utilisateurs, ou, les contraindre à débourser un montant important pour rembourser une dette inexistante. D’autres attaquants utilisent l’hameçonnage, suggérant par exemple aux utilisateurs que leur retour d’impôt est prêt et qu’ils doivent suivre un lien pour effectuer le « virement Interac » (afin de subtiliser leurs informations bancaires. Une variante de cette tactique d’hameçonnage invite les utilisateurs à suivre un lien pour remplir un formulaire de remboursement d’impôt – permettant aux fraudeurs d’avoir accès aux informations bancaires et plusieurs autres informations personnelles des victimes.
Peu importe la technique, ces arnaques ont des points en commun essentiels. Les criminels utilisent l’ingénierie sociale pour leurrer les usager, les contactant généralement par courriel ou SMS (quoique des appels de faux agents de collection de l’ARC sont également possibles) afin de leur voler des fonds ou des informations confidentiels. Comme c’est généralement le cas avec l’ingénierie sociale, ces fraudeurs utilisent les inquiétudes ou les désirs des usagers pour attaquer ceux-ci. On ne parle pas de désir au même niveau qu’avec les arnaques romantiques, mais obtenir rapidement un remboursement d’impôt via versement Interac présente définitivement un attrait financier.
En d’autres mots, les arnaques à l’impôt constituent une variante saisonnière des arnaques d’ingénierie sociale qu’on observe tout au long de l’année. La bonne nouvelle est donc que les mêmes conseils habituels pour vous protéger de l’hameçonnage s’appliquent ici!
Comment vous prémunir
L’un des principaux outils des hameçonneurs est le manque d’informations des utilisateurs. Mieux connaître les moyens par lesquels l’ARC et Revenu Québec entrent en contact avec les citoyens présente déjà un bon pas en avant vers la meilleure protection des utilisateurs. Ainsi, les agences de revenu ne vous contacteront pas pour obtenir vos informations par téléphone, et ne vous contacteront pas par SMS ou email pour vous permettre d’obtenir vos remboursements d’impôt. Voilà qui est rassurant!
D’ailleurs, c’est le cas de la plupart des institutions financières, des grandes entreprises, des organismes paragouvernementaux, etc. Si on vous demande de cliquer sur un lien pour remplir un formulaire ou recevoir un versement, méfiez-vous! Dans le doute, ouvrez une nouvelle fenêtre et entrer manuellement l'url du site Web du service en question, ou appelez-le (en utilisant le numéro de téléphone direct, et non celui affiché dans le message suspect!) pour vérifier la validité de la demande.
Voici un autre truc essentiel pour éviter d’être victime des arnaques de la saison des impôts – et de nombreuses attaques d’hameçonnage. Ne cliquez jamais sur des liens dans un courriel ou un SMS renvoyant vers un site Internet, sauf si vous êtes absolument sûr qu’il est authentique. En cas de doute, ouvrez une nouvelle fenêtre de navigateur et tapez manuellement l’URL dans la barre d’adresse.
Par ailleurs, méfiez-vous des messages demandant des informations confidentielles ou bancaires. Les organisations légitimes, dont votre banque, ne vous demanderont jamais de communiquer vos informations sensibles directement par courriel.
Méfiez-vous tout particulièrement des liens raccourcis. Les cybercriminels les utilisent souvent – à partir de Bitly et d’autres services de raccourcissement – pour vous faire croire que vous cliquez sur un lien légitime, pour vous rediriger plutôt vers un faux site.
Les cybercriminels peuvent utiliser ces « faux » sites Web pour voler vos données personnelles saisies, mais aussi pour mener une attaque par téléchargement intempestif de fichiers, infectant ainsi votre ordinateur avec des logiciels malveillants.
Les adeptes de l’ingénierie sociale utilisent souvent la peur et le sentiment d’urgence pour vous pousser à agir dans la précipitation, sans réfléchir aux risques potentiels.