Questions fréquentes sur l’hameçonnage

Q. Que dois-je faire si j’ai répondu à un courriel frauduleux?

R. Si vous avez répondu ou croyez avoir répondu à un courriel frauduleux, modifiez votre mot de passe AccèsD sans tarder.

Pour ce faire, il faut d’abord ouvrir une session AccèsD et cliquer sur le lien Dossier situé à droite de l’en-tête d’AccèsD. Si vous constatez des transactions inconnues dans votre compte, communiquez sans tarder avec votre Caisse ou composez l’un des numéros suivants : 1 866-779 COOP (1 866 779-2667)

S’il s’agit de votre compte MasterCard, contactez le service à la clientèle :

• au Canada et aux États-Unis :1 855 341-4643
• autres pays (appel frais virés) : 1 647 252-9564

Il vous est aussi recommandé d’aviser les agences de crédit comme Equifax (1 800 465-7166 ou 514 493-2314) ou Trans-Union (1 877 713-3393 ou 514 335-0374), qui ajouteront une note à votre dossier pour alerter les fournisseurs de crédit que vous avez peut-être été victime d’une activité frauduleuse.

Q. Qu’est-ce que l’hameçonnage (phishing)?

R. L’hameçonnage est l’envoi de faux courriels non sollicités dans lesquels on demande aux destinataires, sous différents prétextes, de cliquer sur un lien menant vers un faux site Web. Le pirate y récupère les renseignements fournis et les utilise pour détourner des fonds à son avantage. Le faux site Web, tout comme le courriel, semble authentique, et pour cause, car il est souvent une copie conforme du site de l’institution financière ou de l’entreprise.

Par exemple, après avoir cliqué sur un lien ou une pièce jointe à partir du courriel, l’utilisateur est dirigé vers une fausse page d’ouverture de session AccèsD. Sur cette page, des champs de saisie ont été ajoutés pour recueillir frauduleusement vos renseignements personnels (numéro de Carte d’accès, mot de passe AccèsD, numéro d’assurance sociale, date de naissance, etc.).

L’hameçonnage est aussi appelé phishing, dérivé de l’anglais fishing, et signifie « aller à la pêche aux renseignements dans une mer de poissons internautes ». L’erreur d’orthographe « ph » traduit la mauvaise qualité de l’anglais utilisé par les fraudeurs lors des premières attaques.

Q. Qu’est-ce que la Caisse fait pour contrer l’hameçonnage (phishing)?

R. La Caisse a mis en place des systèmes de surveillance actifs lui permettant d’agir rapidement en cas de détection de courriels frauduleux.

De plus, la Caisse prend en charge chaque courriel d’apparence frauduleuse que vous lui soumettez.

Q. Pourquoi est-ce que je reçois constamment des courriels frauduleux?

R. Les malfaiteurs peuvent avoir obtenu votre courriel de différentes sources.

• Ils peuvent avoir utilisé une liste d’adresses courriels destinée à l’envoi de pourriels dans laquelle votre adresse courriel figure, avec ou sans votre consentement. Ces listes sont parfois créées à partir de formulaires de concours à remplir sur Internet ou lors de salons, festivals et expositions. Assurez-vous toujours de la légitimité d’une entreprise avant de participer à un concours.
• Ils peuvent avoir obtenu votre adresse au moyen d’un logiciel espion (spyware) ou d’un virus installé à votre insu sur votre ordinateur personnel. Assurez-vous d’avoir une protection contre les virus et les logiciels espions.
• Ils peuvent avoir créé, de façon aléatoire, des centaines de milliers d’adresses courriel en utilisant des noms et prénoms combinés avec des noms de domaines connus, dont l’une de ces combinaisons s’est avérée valide et, par hasard, être votre courriel personnel.

Une fois qu’un fraudeur trouve un courriel qui fonctionne, il est souvent tenté d’acheminer à répétition des courriels à cette adresse.

Bien que l’hameçonnage soit associé à l’utilisation du courriel, certains criminels informatiques utilisent le téléphone pour mener ce type d’attaque. Dans ce cas, le pirate téléphone au client en se faisant passer pour un employé de l’institution financière visée, pour un enquêteur ou pour la police.

Q. Comment reconnaître s’il s’agit d’un courriel frauduleux?

R. Vous devez être très vigilant, puisque les fraudeurs empruntent les couleurs et les logos de votre Caisse ainsi que ceux de Desjardins pour que le courriel qu’ils vous transmettent ait tout de l’apparence d’un vrai.

Ne croyez pas qu’en un coup d’oeil, vous serez capable de reconnaître un courriel rédigé par un fraudeur. S’il est vrai que, dans les premières attaques de ce genre, les fraudeurs rédigeaient des courriels de piètre qualité dont la présentation était douteuse, il n’en est rien des courriels frauduleux qui circulent à l’heure actuelle.

Pour distinguer un courriel frauduleux d’un courriel authentique, concentrez-vous sur le contenu du message, plutôt que sur les artifices de sécurité qui l’entourent. Les logos, signatures, éléments de sécurité et fonds de page sont, dans la majorité des cas, des imitations de ceux du site original.

Voici quelques caractéristiques de ces courriels frauduleux :

• Le contenu d’un courriel frauduleux vous incite, de façon urgente ou non, à poser une action pour l’un des motifs suivants :
  • vous êtes finaliste ou avez gagné un concours officiel de la Caisse (ex. : concours « La Caisse populaire paie vos taxes! »);
  • il y a eu une tentative d’intrusion dans votre ordinateur (ex. : une heure et une adresse IP fictives vous sont fournies);
  • vous devez mettre à jour vos renseignements personnels sans quoi votre compte sera gelé ou expirera;
  • une fraude a été faite dans votre compte et, sans une validation de votre part, vous en serez tenu responsable;
  • vous devez vous inscrire à un service de sécurité en ligne de la Caisse (ex. : Accès safe);
  • une simple erreur comptable a été commise et corrigée (dans ce cas, on ne vous demande pas de poser une action, mais un hyperlien vers un faux site est inclus dans le courriel);
  • etc.
• Les courriels comportent un hyperlien, en apparence authentique, menant vers un faux site AccèsD.
• Le courriel est souvent signé du nom ou du logo d’un groupe de sécurité.
• Certains courriels comportent des fichiers joints.

En aucun cas, la caisse populaire ne communiquera avec vous par courriel pour l’un ou l’autre de ces motifs. Il n’est pas dans les pratiques de la Caisse de solliciter ses membres, par courriel ou autrement, pour obtenir des renseignements confidentiels les concernant. Si vous recevez ce type de demande, ne répondez pas.

Pour nous transmettre des renseignements concernant la réception d’un courriel que vous croyez être frauduleux, faites suivre le courriel et l’adresse du site à : hameconnage@desjardins.com. Veuillez noter que vous recevrez une réponse automatisée uniquement lorsque vous soumettrez un cas à cette adresse. Attention! Ne mentionnez aucune information confidentielle dans ce courriel (numéro de compte ou NIP). Pour obtenir de l’assistance, communiquez sans tarder avec un conseiller des Services AccèsD en composant le 1 866-779-COOP (1 866-779-2667), du lundi au vendredi de 16 h à 21 h et les samedis et dimanches de 8 h à 20 h.

Q. Est-il possible que j’aie visité un site frauduleux sans avoir préalablement reçu un courriel?

R. Pour qu’une attaque d’hameçonnage fonctionne, les fraudeurs doivent nécessairement créer un faux site et l’héberger sur le Web.

Si vous effectuez une recherche à l’aide d’un moteur de recherche connu (ex. : Yahoo, Google, MSN, etc.), vous avez de fortes chances d’obtenir de faux sites AccèsD parmi vos résultats de recherche.

La Caisse intervient toujours sur-le-champ pour faire fermer ces faux sites, mais quelques minutes ou quelques heures peuvent parfois s’écouler avant que les autorité concernées, en collaboration avec les fournisseurs de services Web, puissent agir.

N’accédez pas au site AccèsD à partir d’un résultat de recherche. Tapez toujours l’adresse www.caissealliance.com et cliquez sur le lien AccèsD.

Q. Dans le courriel, on écrit que mon compte AccèsD arrive à expiration. Est-ce possible?

R. Non, votre compte et le service AccèsD, par lequel vous faites vos opérations en ligne, ne comportent pas de date limite et ne peuvent pas arriver à expiration. Vous seul pouvez décider de fermer votre compte ou de ne plus utiliser le service.

Q. Que dois-je faire si je reçois un courriel que je crois frauduleux?

R. Si vous recevez un courriel vous demandant de mettre à jour vos données personnelles (numéro de carte de débit, mot de passe AccèsD, numéro d’assurance sociale et date de naissance), sous prétexte que votre compte AccèsD arrive à expiration ou pour toute autre raison, ne répondez pas à ce courriel, ne cliquez pas sur les liens affichés et n’ouvrez pas les pièces jointes au courriel.

Pour nous transmettre des renseignements concernant la réception d’un courriel que vous croyez être frauduleux, faites suivre le courriel et l’adresse du site à : hameconnage@desjardins.com. Veuillez noter que vous recevrez une réponse automatisée uniquement lorsque vous soumettrez un cas à cette adresse. Attention! Ne mentionnez aucune information confidentielle dans ce courriel (numéro de compte ou NIP).Pour obtenir de l’assistance, communiquez sans tarder avec un conseiller des Services AccèsD en composant le 1 866-779-COOP (1 866-779-2667), du lundi au vendredi de 16 h à 21 h et les samedis et dimanches de 8 h à 20 h.

Q. Est-ce que je dois craindre pour la sécurité des renseignements détenus à ma Caisse ?

R. Non, les mesures de sécurité déjà en place n’ont jamais permis aux fraudeurs de s’introduire dans les systèmes informatiques de la Caisse. C’est pourquoi les fraudeurs tentent par l’hameçonnage (phishing) d’obtenir vos codes d’accès, mots de passe, votre numéro d’assurance sociale et votre date de naissance auprès de vous plutôt qu’à travers nos systèmes. Le site Internet de la Caisse demeure sécuritaire et la confidentialité de vos renseignements personnels est assurée.

Q. Puis-je me protéger contre ces tentatives d’hameçonnage (phishing)?

R. Il est malheureusement probable que vous receviez occasionnellement ce type de courriel, en provenance apparente de la Caisse Alliance, de ses caisses membres, de Desjardins ou d’une autre institution financière.

Votre meilleure protection demeure votre vigilance.

• Ne répondez jamais à un courriel qui vous demande des renseignements personnels, et ce, peu importe qui en est l’expéditeur.
• Ne fournissez jamais d’information personnelle par téléphone, telle que votre numéro de carte de débit, votre date de naissance ou votre numéro d’assurance sociale, sauf lorsque c’est vous qui avez pris l’initiative de la communication.
• Ne divulguez jamais votre mot de passe à personne; ni à un employé de la Caisse ni à une autorité policière. Les vrais employés et les vrais policiers savent qu’ils n’ont pas le droit de vous demander ces renseignements.
• Ne cliquez jamais sur un hyperlien à l’intérieur d’un courriel pour ouvrir le site AccèsD ou tout autre site transactionnel qui vous demande un code d’accès ou un mot de passe.
• N’ouvrez jamais les pièces jointes d’un courriel dont vous ignorez la provenance.
• Utilisez toujours votre navigateur Internet en tapant www.caissealliance.com pour accéder à la page d’accueil d’AccèsD ou d’AccèsD Affaires.
• Assurez-vous d’être dans un environnement Internet sécurisé en vérifiant la présence d’un cadenas fermé dans la barre d’état de votre navigateur. Assurez-vous que le « http » de l’adresse qui s’affiche comporte un « s » (https). Vous devriez également être capable de visualiser les certificats numériques du site, en double-cliquant sur le petit cadenas verrouillé dans la barre d’état de votre navigateur.

Vous pouvez également vous assurer que votre ordinateur personnel est adéquatement protégé :

• Installez les mises à jour de sécurité des logiciels de votre ordinateur.
• Installez un logiciel antivirus qui comporte une fonction de mise à jour automatique.
• Installez un antiespiogiciel (anti-logiciel espion).
• Installez un logiciel antipourriel.
• Effacez la mémoire cache de votre navigateur chaque fois que vous fermez une session AccèsD, car elle pourrait renfermer une copie des dernières pages que vous avez consultées.

Pour en savoir plus, consultez la section Comment vous protéger.

Q. Qu’est-ce qu’un fraudeur peut faire avec mes renseignements personnels?

R. Avec votre numéro de carte de débit et votre mot de passe, le fraudeur peut accéder à votre compte et procéder à des virements entre personnes, à partir soit de votre compte. Le bénéficiaire de ces sommes est généralement un complice. Si, en plus, vous avez fourni votre date de naissance et votre numéro d’assurance sociale, le fraudeur peut usurper votre identité et se servir de ces renseignements pour demander, à votre insu, une carte de crédit, un prêt ou une marge de crédit dans une autre institution financière, par exemple.

Q. Est-ce que ce type de fraude vise seulement la Caisse ?

R. Pas du tout. L’hameçonnage est une astuce qui prend de l’ampleur partout dans le monde et qui touche principalement les institutions financières.

Q. Comment transmettre un courriel frauduleux?

R. Pour s’assurer de nous transmettre les bons renseignements sur le site frauduleux, il est important de faire suivre le courriel et l’adresse du site de la façon suivante :

1. Dans le courriel reçu, positionner le curseur sur le lien menant vers le site frauduleux.
   exemple : https:accesd/caissealliance.com
2. Cliquer sur le bouton droit de la souris et sélectionner « Copier le raccourci » (la formulation de cette option peut différer).
3. Dans votre logiciel ou site de messagerie, cliquer sur « Faire suivre ».
4. Au début du courriel, cliquer sur le bouton droit de la souris et sélectionner « Coller ».
5. Adresser et envoyer le courriel à hameconnage@desjardins.com.

Pour en savoir plus, consultez la section La sécurité en ligne.