Les cybercriminels visent de plus en plus souvent les Américains de plus de 60 ans, attirés par leurs comptes de retraite bien garnis, signale le média. Leurs techniques se raffinent. Ils sévissent sur les sites de rencontre, les réseaux sociaux, les applications de messagerie ou par le biais de logiciels malveillants. Une fois l’arnaque réalisée, il est quasiment impossible pour les victimes de récupérer l’argent disparu, car les fonds sont souvent transférés à l’étranger ou blanchis via des portefeuilles de cryptomonnaies.

Les arnaques sont dignes de scénarios de film, selon l’auteure. Les escrocs se font passer pour des fonctionnaires, des techniciens d’assistance technique ou des prétendants amoureux. Ils enseignent aux victimes comment contourner les mesures de prévention des fraudes des institutions financières, tout en utilisant des tactiques de manipulation psychologique comme l’isolement, le sentiment d’urgence ou l’exploitation de la confiance.

Pris dans une fausse enquête

Les problèmes de Barry Heitin ont commencé en septembre 2023 lorsqu’il n’a pas réussi à se connecter à son compte de retraite. Plus tard, quand il a essayé de nouveau, un message à l’écran l’a invité à appeler un numéro, censé être celui du service antifraude de son fournisseur.

Il a alors été mis en contact avec une personne prétendant être un agent d’enquête sur la fraude. Celle-ci l’a informé que quelqu’un tentait d’accéder à son compte et l’a dirigé vers un complice se faisant passer pour un employé de la banque où il détenait ses comptes.

Cet individu lui a dit que deux transactions de 10 000 $ avaient été effectuées sur ses comptes pour l’achat d’images d’abus sexuels sur des enfants via un site en Chine. Il a convaincu le retraité qu’il pouvait aider à arrêter un réseau de criminels tout en protégeant ses économies, à condition d’agir rapidement. Le retraité, pensant faire le bon choix, a donné aux escrocs l’accès à son ordinateur, leur permettant ainsi de vider progressivement ses comptes bancaires.

Le déclin de ses économies

Après avoir retiré 113 000 $ de ses comptes courants et d’épargne, Barry Heitin a été incité à transférer ses économies dans des comptes où il pourrait, soi-disant, plus facilement effectuer des transactions. Pour retirer des fonds de son compte de pension et de son compte de courtage, il a prétexté l’achat d’une propriété au Canada pour ses enfants. Cependant, son conseiller, suspectant une fraude, a contacté la banque, qui a confirmé qu’aucune transaction immobilière n’avait été effectuée. Sous la pression des escrocs, le retraité a alors prétendu avoir besoin de cet argent pour acheter de l’or, mais la banque, flairant une arnaque, a refusé de lui remettre les fonds.

Finalement, il a transféré son compte de retraite vers une institution financière moins vigilante. En moins de deux semaines, il a retiré 834 000 $ et transféré l’argent dans divers comptes bancaires. Selon Robert Rabinowitz, l’avocat de la victime, cette activité aurait dû alerter la banque, car elle présente les signes classiques d’un potentiel blanchiment d’argent.

Le cauchemar du retraité a duré trois mois. Finalement, en novembre, des agents du FBI l’ont informé qu’il était l’une des sept victimes d’une arnaque basée en Inde. En plus de la perte de ses économies, le retraité floué doit aussi payer une facture de près de 285 000 $ en impôts sur les retraits effectués de ses comptes de retraite.

Aujourd’hui, Barry Heitin reconnaît qu’il aurait dû agir autrement. Avec le soutien de sa famille, il tente de tourner la page et de récupérer une partie de l’argent perdu de sa retraite.

L’article Un retraité se fait voler 740 000 $ en croyant aider la justice est apparu en premier sur Finance et Investissement.

C’était la saison des REER et tout le monde était occupé, raconte Noah Billick, qui a été responsable de la conformité pour plusieurs institutions financières et qui est maintenant associé et directeur de la réglementation, des fonds et de la conformité pour le cabinet d’avocats Renno & Co., à Montréal.

Le criminel a piraté le courriel de la fille d’un client et a demandé un transfert d’argent en se faisant passer pour celle-ci. La fille du client vivait à l’étranger et ce dernier lui avait déjà transféré des fonds, de sorte que le conseiller a accédé à la demande du criminel. Ils se sont rendu compte de l’erreur lorsque le conseiller a essayé d’effectuer un deuxième transfert et qu’un membre du personnel l’a signalé.

Le conseiller a reçu une amende de la part d’un régulateur et de la société. Le client a été dédommagé, mais l’expérience a été négative pour le conseiller et l’entreprise.

Les sociétés de gestion de patrimoine mettent souvent en œuvre des politiques de sécurité strictes qui peuvent réduire la marge de manœuvre des conseillers. Mais il est « beaucoup moins gênant » d’avoir des mesures de cybersécurité que de subir une violation, tempère Noah Billick.

Et les atteintes à la cybersécurité peuvent causer des dommages durables à la réputation, prévient Maria Flores, présidente de Carte Wealth Management, à Mississauga, en Ontario. Par exemple, les gens parlent encore d’une faille de sécurité survenue en 2023 dans le service de partage de fichiers GoAnywhere, qui a affecté plusieurs entreprises canadiennes de services financiers.

Pour s’acquitter de leur obligation légale de protéger les données de leurs clients, les entreprises ont besoin de politiques adéquates, d’une formation de suivi et d’une installation technique sécurisée. Si les politiques telles que l’authentification multifactorielle sont courantes, certaines entreprises vont plus loin.

L’authentification à deux facteurs et l’obligation d’ouvrir une nouvelle session après un changement de lieu sont des pratiques courantes en matière de cybersécurité, rapporte Maria Flores. Chez Carte Wealth, le partage de fichiers entre les conseillers et les clients se fait à l’aide de Docusign et de SideDrawer, un service de partage de fichiers cryptés.

Les conseillers disent : « Vous savez quoi ? Je suis un peu fatigué de cette authentification à deux facteurs ». Et je leur réponds : « Vous savez quoi ? Désolé, mais c’est la politique. Je ne peux pas la supprimer », affirme Maria Flores.

L’authentification multifactorielle peut être mise en place pour minimiser les perturbations pour les conseillers, explique Larry Keating, PDG de NPC DataGuard, une société d’intervention en cybersécurité située à Markham, en Ontario. L’une des options consiste à demander moins de reconnexions entre les sessions si l’utilisateur reste actif. Carte Wealth est un client de NPC et utilise cette méthode pour ses courriels et ses appareils gérés par NPC.

Carte Wealth a également mis en place une méthode simplifiée pour signaler les courriels d’hameçonnage. Lorsque quelqu’un repère un courriel suspect, il peut en informer les autres via la plateforme de messagerie interne de l’entreprise, Microsoft Teams, et le transférer à une adresse électronique « phishing 911 », ce qui entraîne le blocage de l’expéditeur par le système de l’entreprise pour tout le monde.

Carte Wealth encourage également les conseillers à souscrire une assurance cybersécurité, et invite des tiers à fournir des formations aux conseillers. Maria Flores assure que son personnel avait trouvé les séances de formation utiles.

La société Sterling Mutuals, basée à Windsor (Ontario), impose également une authentification à deux facteurs et verrouille les comptes après un trop grand nombre de tentatives infructueuses, informe Nelson Cheng, fondateur et PDG de la société. Chaque fichier téléchargé dans la base de données de l’entreprise est analysé par un logiciel antivirus, et les utilisateurs ne peuvent télécharger que certains types de fichiers.

Cependant, Nelson Cheng souligne que les attaques par ingénierie sociale sont devenues plus fréquentes. Il exprime une plus grande préoccupation quant au risque que des conseillers cliquent sur un lien malveillant plutôt qu’un pirate informatique ne parvienne à contourner un pare-feu.

« Si je voulais m’introduire dans notre système, je vous enverrais un document avec un lien, et vous cliqueriez dessus au moment d’ouvrir un document, explique-t-il. C’est à peu près la seule façon de s’introduire dans le système. »

Pour réduire la vulnérabilité de Sterling Mutuals à de telles attaques, le personnel est tenu de participer à une formation en ligne sur différents types de cyberattaques, notamment l’ingénierie sociale et l’identification des courriels suspects.

Le personnel reçoit périodiquement des courriels simulant des hameçonnages, indique Nelson Cheng. Ces courriels sont plus ou moins difficiles à repérer et plus ou moins sophistiqués. Si un employé clique sur un lien, il est averti qu’il doit suivre une nouvelle formation.

De même, le personnel de Carte Wealth visionne chaque mois une courte vidéo sur un sujet différent relatif à la cybersécurité, suivie d’un quiz, explique Maria Flores. Le système envoie également des courriels simulant des tentatives d’hameçonnage. Les personnes qui cliquent sur le lien reçoivent une formation supplémentaire.

La simulation d’hameçonnage fait partie d’un bon programme de formation à la cybersécurité, dit Larry Keating. Il est important d’enseigner aux employés les erreurs qu’ils ont commises, mais cela ne doit pas être fait de manière punitive.

« Je ne pense pas qu’il soit nécessaire de donner à l’employé l’impression que vous essayez de l’attraper », souligne-t-il. Les responsables peuvent expliquer à leur personnel qu’« il vaut mieux découvrir que nous ne faisons pas ce qu’il faut lorsque nous le faisons, plutôt que lorsque les méchants le font », précise-t-il.

Si les sociétés de gestion de patrimoine sont victimes d’une infraction, elles font appel à des avocats comme Noah Billick, dont le travail consiste notamment à communiquer avec les régulateurs pour « faire baisser la température », déclare-t-il. Les régulateurs s’intéressent à la formation à la cybersécurité de l’entreprise, aux incidents antérieurs et à la manière dont elle gère les comportements problématiques.

Un examen aidera également l’entreprise à définir des politiques pour éviter qu’un tel incident ne se reproduise, rapporte Noah Billick. Par exemple, le conseiller qui avait envoyé 120 000 $ sur le compte d’un criminel à l’étranger avait enfreint plusieurs règles, mais l’entreprise n’avait pas interdit aux conseillers de recevoir des instructions de leurs clients par courrier électronique. (L’incident était antérieur aux exigences de l’Organisme canadien de réglementation des investissements en matière de cybersécurité).

La société exige désormais que les conseillers confirment verbalement les transactions avec les clients.

Mesures de prévention de l’ingénierie sociale

• Formation périodique à la cybersécurité
• Simulation de tentatives d’hameçonnage afin d’identifier les membres du personnel devant bénéficier d’une formation supplémentaire
• Rationalisation des rapports sur l’hameçonnage
• Politiques interdisant d’accepter les instructions des clients par courrier électronique
• Phrases de passe et questions de vérification
• Filtres anti-spam équilibrés pour réduire les faux positifs
• Authentification basée sur la localisation afin que les courriels ne puissent être lus qu’à partir des lieux où le conseiller exerce normalement ses activités.

L’article Réfléchissez à deux fois avant de cliquer sur ce lien est apparu en premier sur Finance et Investissement.

L’innovation numérique transforme nos façons de faire, mais présente tout de même un risque pour notre système financier. Les cryptomonnaies semblent personnifier les risques des innovations financières non réglementées. Pour rendre cet environnement plus sain, il faut davantage de transparence, pouvoir comparer des données, ainsi qu’une discipline de marché, autant de choses possibles grâce à une bonne communication publique d’informations.

Alors que le Comité de Bâle sur le contrôle bancaire (CBCB) sollicite actuellement des commentaires de la part des multinationales bancaires dans le cadre de sa propre consultation, le BSIF estime que l’occasion est parfaite pour consulter les professionnels du milieu et les pousser à s’exprimer sur les propositions formulées par le CBCB afin de veiller à ce que les lignes directrices du BSIF soient adaptées au contexte canadien.

« La communication publique d’informations est déterminante dans la gestion des risques auxquels sont confrontés les banques et les assureurs, à plus forte raison quand il s’agit des expositions sur cryptoactifs. Nous vous invitons donc à formuler des commentaires à ce sujet en vue d’adapter les attentes en matière de communication au contexte canadien », encourage Peter Routledge, surintendant des institutions financières.

Le BSIF publiera des versions à l’étude des lignes directrices sur la communication publique d’informations d’ici à l’automne 2024. Une synthèse des commentaires reçus, sans mention de leur auteur, sera publiée au même moment.

Les versions finales seront diffusées au plus tard début 2025 et entreront en vigueur au quatrième trimestre de la même année. Veuillez faire parvenir vos commentaires à l’adresse Pillar3-Pilier3@osfi-bsif.gc.ca d’ici le 31 janvier 2024.

L’article Cryptoactifs : le BSIF sollicite des commentaires est apparu en premier sur Finance et Investissement.

Le lendemain, vous parlez de cet appel à votre patron qui vous assure n’avoir jamais donné votre nom à qui que ce soit pour recueillir ce type d’informations. Vous réalisez — trop tard — être tombé dans le piège d’un cyberpirate.

Bien que cela soit peu réconfortant, sachez que vous êtes loin d’être la seule personne dans cette situation. Vous avez été victime de l’ingénierie sociale, une méthode de manipulation efficacement utilisée par des pirates informatiques et qui est au cœur de nombreuses cybermenaces, dont l’hameçonnage par téléphone.

Cette réalité a été mise en évidence lors du Hackfest, une conférence dédiée au piratage informatique. L’événement d’octobre dernier a inclus un concours où les organisateurs ont simulé des attaques d’ingénieurs sociaux contre des entreprises sélectionnées aléatoirement.

Le concours a une fois de plus démontré que même les firmes dotées de systèmes de sécurité avancés peuvent être déjouées par un simple appel téléphonique. « Toutes les cibles ont cliqué sur un lien internet fourni par l’attaquant. Comme ce n’était pas de vrais pirates, il n’y a pas eu de conséquences, mais s’ils avaient eu affaire à un esprit malicieux, leur système aurait pu être infecté par un logiciel malveillant entraînant le vol de données sensibles », affirme Patrick R. Mathieu, cofondateur du Hackfest.

Les statistiques recueillies durant le concours sont alarmantes : dans une forte proportion (de 60 % à 100 %) les victimes ont révélé des détails compromettants qui pourraient être exploités lors d’attaques futures. La divulgation d’informations allait de détails sur le réseau Wi-Fi à des données précises sur les navigateurs internet et les systèmes d’exploitation utilisés.

« Ces statistiques sont similaires à celles des concours précédents. Force est de constater qu’il n’y a pas d’amélioration au sein des entreprises », se désole Patrick R. Mathieu.

Des méthodes bien huilées

Les tactiques utilisées par ces ingénieurs sociaux sont minutieusement élaborées. Loin de l’improvisation, leur plan d’action commence par une collecte approfondie d’informations sur les entreprises ciblées via des sources publiques — telles que le site Internet de l’entreprise, des articles de médias, des forums de discussion, des communiqués, etc. — exploitées pour préparer le terrain avant l’attaque. Patrick R. Mathieu souligne que, sans s’en rendre compte, les entreprises divulguent en ligne une multitude de données utiles à ces criminels.

Dans le cadre du concours, les faux pirates ont utilisé les mêmes façons de faire. Durant leur cueillette d’information, Ils devaient également trouver le numéro de téléphone d’employés de différents niveaux hiérarchiques des entreprises ciblées. Ce sont ces personnes qu’ils ont contactées le jour J. Comme astuce pour les faire parler, ils se sont présentés sous une fausse identité à l’apparence crédible et ont utilisé souvent un ton pressant.

Le type d’information demandée n’éveille pas tout de suite les soupçons de leurs cibles. Par exemple, en quoi se renseigner sur le déchiquetage des documents peut être utile aux cyberpirates ? « En connaissant le fournisseur et le calendrier de collecte, les pirates peuvent se présenter sur place, en portant un uniforme aux couleurs de ce fournisseur, pour récupérer le contenu des boîtes et mettre la main sur des données sensibles ou s’infiltrer dans le réseau de l’entreprise », explique Patrick R. Mathieu.

Ces méthodes démontrent la sophistication et la précision des attaques orchestrées par ces cybercriminels. Il devient impératif pour les entreprises de renforcer leur première ligne de défense en misant sur la formation et la sensibilisation des employés. Il leur faut développer une culture de la prudence où chaque appel suspect est immédiatement signalé. « Les employés doivent avoir le réflexe de raccrocher, de vérifier et de rappeler avant de fournir la moindre information », conseille Patrick R. Mathieu.

L’article Comment les pirates informatiques tentent-ils de déjouer votre vigilance est apparu en premier sur Finance et Investissement.

Diverses études, y compris celles menées par le FBI en 2022, ont mis en évidence une augmentation préoccupante du nombre de cyberattaques pendant les jours fériés, les fins de semaine ainsi que pendant les vacances.

Le CISA (Cybersecurity and Infrastructure Security Agency) rappelle donc aux entreprises, surtout celles qui ont des possèdent des sensibles, de demeurer vigilantes pendant les vacances, car « les adversaires ne prennent pas de repos eux-mêmes ».

La raison est évidente : les pirates informatiques profitent des périodes où les entreprises sont moins bien préparées pour se protéger, que ce soit en raison d’un manque de personnel ou d’une baisse de vigilance des utilisateurs.

La fraude au président, c’est quoi ?

Connaissez-vous la fraude au président ? Je vous explique…

La fraude au président est un type de tentative d’hameçonnage où le fraudeur se fait passer pour le président ou pour un autre supérieur hiérarchique en usurpant son identité. L’objectif est de miser sur ce lien hiérarchique – et souvent en mettant de l’avant un sentiment d’urgence pour accomplir une tâche donnée – afin d’inciter la victime à agir rapidement.

Le fraudeur met tout en œuvre pour gagner la confiance de la victime en lui demandant de réaliser une action donnée, par exemple un virement d’argent en ligne. De manière générale, le fraudeur ne frappe pas au hasard et sélectionne soigneusement sa cible, visant un employé qui possède les autorisations nécessaires pour être en mesure d’accomplir sa demande.

En résumé, la fraude au président repose sur la duplicité du fraudeur qui se fait passer pour une personne influente et utilise cette position supposée pour manipuler la victime et l’inciter à agir contre ses propres intérêts.

Comment le fraudeur choisit-il sa cible ?

• Il consulte le site Internet de l’entreprise et les comptes de médias sociaux afin de collecter de l’information
• Il peut tenter d’entrer en contact avec la personne ciblée via un réseau social spécifique, ou par courriel
• Il engage une conversation avec cette personne pour étayer sa mise en scène virtuelle et obtenir des informations de manière à rendre ses courriels frauduleux plus crédibles

Comme quoi, même en vacances, les cyberattaques et les fraudeurs ne prennent pas de repos !

L’article Connaissez-vous la fraude au président ? est apparu en premier sur Finance et Investissement.

En février, l’AMF terminait une consultation concernant l’assurance responsabilité professionnelle et les activités externes des représentants inscrits selon la Loi sur la distribution de produits et services financiers. Celle-ci vise à accroître la protection tant des consommateurs que des inscrits et en même temps à assouplir certains contrôles de suivi et de conformité des polices d’assurance de responsabilité professionnelle.

La « faute lourde » est explicitement exclue dans « certaines polices d’assurance », relève l’AMF, une telle faute dénotant « une insouciance, une imprudence ou une négligence grossière ». Le nouveau règlement demande « que la couverture d’assurance s’étende également à la faute lourde ».

La plupart des cinq mémoires soumis à l’AMF émettent des réserves à l’endroit de cette proposition. Le Bureau d’assurance du Canada (BAC) fait ressortir la proximité inconfortable entre « faute lourde » et « faute intentionnelle ».

En effet, « la jurisprudence a été très défavorable à l’endroit des assureurs; c’est pourquoi ils n’ont jamais voulu couvrir la faute lourde », rappelle Robert Plante, président de la firme d’experts en sinistres RPMXPERT. Selon ce spécialiste, dans de nombreuses causes célèbres (Norbourg, Thibault, Mount Real) où la « faute lourde » avait plutôt l’air d’une « faute intentionnelle », les tribunaux du Québec ont toujours forcé les assureurs à indemniser.

« Puisqu’une faute lourde, de par sa nature, est susceptible d’augmenter de façon considérable le risque à assumer par l’assureur, nous croyons que les primes à payer pour cette couverture augmenteront de façon [notable] et pourraient être excessives », appréhende MICA. C’est un jugement que partage Robert Plante : « Ce sont tous les conseillers qui font honneur à leur profession qui subiront presque inévitablement les augmentations de prime pour le risque accru par les assureurs. »

« Peu d’assureurs sont présents dans le marché québécois et les primes sont déjà élevées pour les cabinets de courtage hypothécaire, fait ressortir le mémoire des Professionnels hypothécaires du Canada. Déjà, pour s’assurer dans notre industrie, c’est compliqué et cher. Tout ajout au risque des assureurs ne peut que hausser les primes déjà élevées ou inciter les assureurs à se retirer de ce marché, ce qui serait une catastrophe pour l’industrie. »

Ayant mis de l’avant cette proposition, le document de l’AMF s’étend sur une série de considérations ayant trait à la période de protection des polices d’assurance dont la couverture devrait s’étendre sur cinq ans. Le document porte sur certaines considérations plus précises, par exemple l’idée que cette prolongation s’applique peu importe que la société ou le cabinet ait été dissous ou que la personne physique soit décédée. Ce sont des éléments auxquels aucun des mémoires ne s’objecte.

L’Autorité met de l’avant le 1er juin 2023 comme date d’entrée en vigueur pour l’inclusion de la « faute lourde » au libellé des contrats. Bien qu’il s’agisse d’une échéance très proche, elle ne suscite aucune objection; ni l’Association canadienne des compagnies d’assurances de personnes (ACCAP) ni le BAC n’y voit un problème. Par contre, il n’en est pas de même pour l’autre volet majeur de la consultation qui traite des activités externes de conseillers.

L’AMF introduit certains accommodements qui, sans susciter de commentaires en particulier, devraient eux aussi être reportés d’un an. Par exemple, les représentants et inscrits qui souscriraient ou renouvelleraient leur contrat d’assurance entre le 1er juin et le 30 septembre 2023 seraient tenus de se conformer aux nouvelles exigences seulement 12 mois après leur souscription ou renouvellement. Ultimement, affirme l’AMF, tout le monde devrait être conforme au plus tard le 1er juin 2024 – date ultime qu’il faudrait alors repousser d’un an.

La réglementation actuelle impose que, pour maintenir une inscription, l’inscrit doit transmettre annuellement à l’AMF une preuve de maintien de son assurance responsabilité; le cabinet doit aussi fournir une preuve. Le nouveau règlement prévoit que cette preuve serait remplacée par une déclaration de l’inscrit dans le formulairedemaintiend’inscription confirmant que la police est conforme.

L’AMF présente ce changement comme un « assouplissement » susceptible de « diminuer le nombre de rappels transmis, de demandes documentaires, d’échanges de documents et de suivis ». L’ACCAP salue cet aspect de l’initiative de l’AMF, qui « allégera grandement le processus, tant pour les inscrits que pour l’Autorité ».

Assurer les cyber-risques ?

L’avis de consultation profite de l’occasion pour mettre de l’avant l’idée de créer une couverture contre les cyber-risques à même l’assurance responsabilité des inscrits. À ce sujet, elle pose une série de questions, notamment sur le bénéfice d’une telle exigence.

Certains mémoires qui l’abordent s’y objectent, au premier chef MICA. Celle-ci fait ressortir que « plusieurs compagnies d’assurance qui offraient une couverture pour les cyber-risques ont décidé de se retirer de ce marché ». Les assureurs qui en offrent encore affichent « des coûts très élevés, avec des franchises très élevées et parfois des protections partielles qui ne couvrent pas tous les risques existants ».

C’est un constat que reprend Mathieu Dufresne, vice-président au développement des affaires à La Turquoise Cabinet en assurance de dommages. « Les conditions sont de plus en plus contraignantes ; les taux sont plutôt à la hausse, et les protections, à la baisse. L’accessibilité pourrait devenir un enjeu. »

L’ACCAP va dans le même sens. « Il existe peu de produits d’assurance contre les cyber-risques et ceux qui sont disponibles sont très coûteux, souvent trop coûteux pour une petite ou moyenne entreprise. Il faudrait d’abord s’assurer que des produits abordables sont disponibles et qu’ils sont suffisamment diversifiés pour répondre aux besoins des entreprises de différentes tailles. »

En fait, le besoin d’une assurance cyber-risques n’est peut-être pas nécessaire.

« Certains cabinets traitent avec des tiers en matière de technologie, note l’ACCAP. Ceux-ci peuvent détenir une assurance à l’égard des cyber-risques ou avoir adopté d’autres moyens pour gérer ces risques. »

Plutôt qu’une assurance cyber-risques, MICA propose la création d’un fonds de protection auquel contribueraient, d’une part, les intervenants du milieu financier et, d’autre part, le gouvernement du Québec. En cas d’incident informatique, les indemnités serviraient à payer, par exemple, les dommages liés à un événement de type rançongiciel ou extorsion, les frais d’experts ou les dommages accordés à un client par un tribunal.

L’article Hausse de primes crainte est apparu en premier sur Finance et Investissement.

Certains clients de Placements Mackenzie ont vu des renseignements personnels, mais pas des avoirs ou des soldes de comptes, être révélés à des pirates informatiques lors d’une cyberattaque plus tôt cette année, a déclaré la société le 2 mai.

En janvier, Fortra LLC, basée au Minnesota, a découvert que des pirates informatiques avaient créé des comptes d’utilisateurs non autorisés avec des clients de son service de transfert de fichiers géré, GoAnywhere, qui est présenté comme un moyen sécurisé d’envoyer des données sensibles. L’un de ces clients était le fournisseur de logiciels torontois InvestorCOM Inc., un fournisseur de Placements Mackenzie.

Les pirates ont pu télécharger des fichiers, a déclaré Fortra dans un article de blog en avril. The Logic a rapporté l’incident lundi.

« Après avoir reçu un avis d’InvestorCOM, nous avons immédiatement pris des mesures pour commencer une enquête judiciaire complète », a écrit un porte-parole de Placements Mackenzie dans un courriel envoyé à Investment Executive. « Grâce à notre enquête, nous avons récemment découvert que des renseignements personnels d’investisseurs actuels et d’anciens investisseurs étaient concernés partie de cet incident. Les informations financières, telles que les avoirs des clients et les soldes des comptes n’ont pas été exposées.

Lire également : Avez-vous chiffré le coût d’une cyberattaque ?

L’incident n’a pas affecté les avoirs des investisseurs dans les fonds Mackenzie, a déclaré la société, et elle n’a constaté aucune preuve d’utilisation inopportune des données.

« Nous avons commencé à envoyer des avis aux investisseurs touchés avec des informations plus détaillées, incluant les mesures complètes que nous prenons et le soutien que nous fournissons pour les protéger. Cela comprend la surveillance du crédit pour une période de deux ans qui inclue des alertes de surveillance du crédit, des services de protection contre le vol d’identité, de l’aide aux victimes de fraude et une assurance contre le vol d’identité », a déclaré Mackenzie.

InvestorCOM a refusé de commenter la situation au-delà du communiqué de presse émis le 1er mai, qui indiquait que la société avait récemment pris connaissance de l’incident de cybersécurité de Fortra, qui a été contenu.

Fortra a appris l’incident pour la première fois le 30 janvier, a déclaré le fournisseur dans un courriel envoyé par l’intermédiaire de son agence de presse.

« Nous avons immédiatement pris plusieurs mesures pour remédier à cette vulnérabilité, y compris la mise en œuvre d’une interruption de service temporaire pour empêcher toute autre activité non autorisée », indique le communiqué. « À mesure que nous progresserons à la suite de cet événement, nous examinerons nos pratiques opérationnelles et notre programme de sécurité pour nous assurer d’en sortir plus forts en tant qu’organisation. »

Le Commissariat à la protection de la vie privée du Canada a déclaré mardi qu’il était au courant de l’affaire et qu’il « communiquait avec les organisations pour obtenir plus d’informations et déterminer les prochaines étapes ».

Le nouvel organisme d’autoréglementation observe également la situation. « À notre connaissance, aucun autre cabinet membre est un client direct de GoAnywhere. Cependant, nous surveillons la situation et examinons la portée potentielle de la violation qui a été commise », a déclaré Stephanie Teodoridis, spécialiste principale des affaires publiques et des communications d’entreprise au sein du nouvel OAR, dans un courriel.

L’article Placements Mackenzie : des données personnelles compromises  est apparu en premier sur Finance et Investissement.

Selon un rapport d’IBM Security, le coût moyen d’une cyberattaque est évalué à 4,35 M$. La firme informatique a interrogé plus de 550 entreprises entre mars 2021 et mars 2022 pour déterminer cette évaluation. De même, les rançons réclamées par les cyberattaquants sont dorénavant traitées en cryptomonnaies pour la quasi-majorité.

Que devons-nous chiffrer ?

C’est la question à laquelle je dois répondre le plus fréquemment lors de mes interventions en gestion de crise. Afin de réaliser un portrait réaliste de la situation, l’évaluation doit se diviser en deux parties :

Première partie : coûts visibles

• Enquête technique
• Relations publiques et conseils en image
• Communication au sujet de l’incident auprès des clients
• Frais de justice et de rançon
• Mise en conformité réglementaire
• Sécurisation des données corrompues
• Renforcement des moyens de sécurisation

Seconde partie : coûts cachés

• Perte de crédibilité
• Perte de la valeur de la marque commerciale
• Perte de propriété intellectuelle
• Augmentation du coût de la dette
• Perte de confiance de la part des collaborateurs
• Perte de confiance de la part des clients
• Perte de chiffre d’affaires à la suite de l’interruption de l’activité
• Augmentation des primes d’assurance
• Dévalorisation des partenariats
• Difficultés accrues à embaucher

Vecteurs d’attaque initiaux

Toujours selon le rapport d’IBM, l’hameçonnage demeure encore un fléau bien réel au sein des entreprises. À cela s’ajoutent : messagerie compromise, vulnérabilité d’un logiciel tiers, identifiants volés ou compromis, mauvaise configuration de l’infonuagique, perte de données accidentelle ou perte de dispositif.

Cycle de vie

Les entreprises qui vont le mieux s’en sortir et cela, le plus rapidement, seront celles qui auront planifié adéquatement la manière de réagir en cas de violations de données, car cela va leur permettre de gagner du temps et de l’argent. En 2022, il fallait en moyenne 277 jours (environ 9 mois) pour identifier et neutraliser une attaque. La mise en place d’un comité et d’intervenants en gestion de crise qui auront préparé l’entreprise aux risques propres aux cyberattaques permet de réduire à 200 jours ou moins le temps nécessaire pour identifier et neutraliser une violation de données, et ainsi, de réaliser de précieuses économies.

Il faut mentionner que le nombre d’attaques par rançongiciel a augmenté dans les dernières années et que l’aspect destructif de ces attaques est  devenu de plus en plus coûteux. Les violations de données par rançongiciel ont ainsi augmenté de 41 % depuis l’année dernière et il a fallu 49 jours de plus que la moyenne pour les identifier puis les neutraliser. De plus, les attaques destructrices ont coûté 430 000 $ de plus en comparaison des années précédentes.

Réponse aux incidents

Avoir un plan de réponse aux incidents est une bonne chose. Le tester est encore mieux. Le plan de réponse aux incidents (RI) est une première étape importante pour les entreprises. En testant régulièrement ce plan, vous serez en mesure d’identifier les faiblesses de votre cybersécurité de manière proactive et vous permettra de renforcer votre défense. Il s’agit d’un bénéfice certain à plusieurs égards, incluant les économies liées à la gestion d’une cyberattaque. On évalue que les entreprises ayant mis en place une équipe RI effectuent une économie moyenne de 2,6 M$.

Je vous rappelle qu’une bonne préparation en matière de gestion de crise est votre meilleur allié lorsque survient un incident susceptible d’entraîner une perte de réputation.

L’article Avez-vous chiffré le coût d’une cyberattaque ? est apparu en premier sur Finance et Investissement.

En 2022, les fraudeurs ont réussi à soutirer 531 M$ à leurs victimes, un chiffre sûrement en deçà de la réalité, puisque toutes ne portent pas plainte.

Pour aider les citoyens à reconnaître les astuces malveillantes des arnaqueurs et éviter leur piège, l’Association des banquiers canadiens (ABC) lance des trousses de cybersécurité à l’occasion du Mois de la prévention de la fraude.

Les trousses s’adressent à trois clientèles spécifiques : les particuliers, les petites entreprises et les adultes plus âgés.

La trousse de cybersécurité pour particuliers, conçue en collaboration avec la campagne Pensez Cybersécurité du gouvernement fédéral, présente des conseils simples et efficaces pour reconnaître et éviter les arnaques.

Elle propose notamment une liste de vérification pour protéger les renseignements personnels et les appareils des cyberattaques. Installation de logiciels de protection, mises à jour régulières des outils informatiques, sauvegardes périodiques des données sans oublier des mots de passe forts et singuliers ne sont que quelques-unes des bonnes pratiques de sécurité informatique (ou cyberhygiène) à mettre en place pour se protéger contre l’hameçonnage, les arnaques au mot de passe à usage unique, les menaces téléphoniques et vocales, la fraude sentimentale, et bien plus.

La trousse pour les petites entreprises donne aux propriétaires et gestionnaires de PME des renseignements essentiels pour protéger leur organisation des fraudes par courriels compromis (comme la fraude du président, une des arnaques les plus signalées au Centre antifraude du Canada), des rançongiciels et de l’hameçonnage. Une section donne de l’information utile pour les employés, qui sauront ainsi mieux reconnaître les menaces d’intrusion et les prévenir. La trousse donne également des conseils pour la protection des données personnelles des clients.

Quant à la trousse pour les adultes plus âgés, elle a été conçue pour les aider à se protéger de l’exploitation financière et des arnaques qui les visent. Ils sauront mieux reconnaître les arnaques les plus fréquentes, soit la fraude sentimentale, l’arnaque des grands-parents, l’arnaque d’urgence ou les applications et sites web frauduleux, entre autres.

Les trousses sont offertes en français et en anglais.

L’article Des outils pour prévenir la fraude est apparu en premier sur Finance et Investissement.

Des escrocs se faisant passer pour des employés de la banque ont contacté des clients par téléphone et par courriel afin de les inciter à transférer de l’argent vers des comptes frauduleux. Les pirates les orientaient vers des sites web factices qui imitaient à s’y méprendre celui de la banque. Au lieu de virer des fonds à la banque, les clients envoyaient de l’argent vers des comptes bancaires appartenant aux voleurs.

Au moins six clients ont vu leurs comptes débités, pour un montant total s’élevant à plusieurs centaines de milliers de dollars. Le client le plus touché a perdu près de 60 000 $, selon le cofondateur de la start-up, Adrien Touati, qui a déclaré à l’Agence France-Presse avoir signalé le 21 février la fraude à l’Autorité de contrôle prudentiel et de résolution (ACPR), organisme chargé de superviser l’activité des banques.

Google accusé de n’avoir pas « fait son boulot »

Selon Capital.fr, le cofondateur de la banque, qui s’adresse à une clientèle de professionnels et d’entrepreneurs, reproche à Google de ne pas avoir « fait son boulot » en permettant aux fausses publicités créées par les pirates d’apparaître en haut des résultats de recherche sur le mot-clé « Manager one ».fr. Le PDG a déclaré par ailleurs à la chaine de télévision BMFTV dépenser plusieurs dizaines de milliers de dollars en publicité par mois auprès du géant américain.

Pour contrer l’escroquerie, l’entreprise a publié des messages d’alerte sur son site web et sur les réseaux sociaux. Elle a également demandé à Google de supprimer les publicités frauduleuses et collabore avec les autorités pour identifier les responsables de la fraude. Elle a également rappelé à ses clients qu’elle ne demandait jamais de coordonnées bancaires par téléphone ou par courriel.

Dans un communiqué, Google a déclaré avoir supprimé les publicités frauduleuses immédiatement après avoir été informé de leur existence.

La publicité en ligne est une arme de plus en plus utilisée par les fraudeurs pour arnaquer les entreprises et les particuliers. Selon le rapport 2022 de Google sur la sécurité des réseaux publicitaires, la firme a bloqué 3,4 milliards de publicités et a restreint la publication de 5,7 milliards d’annonces l’an dernier pour diverses raisons.

Nouveau processus de vérification des annonces

Pour contrer les fraudeurs, le géant américain a lancé en 2020 un nouveau processus de vérification qui consiste à attester de l’identité de l’entreprise et à valider les activités commerciales de certains comptes Google Ads. Les annonceurs soumis à cette demande de vérification ont trente jours pour montrer patte blanche. S’ils dépassent ce délai, leur compte est suspendu. Le programme, lancé aux États-Unis, s’étend progressivement à l’échelle mondiale.

La firme a également mis à jour en début d’année son règlement sur les produits et services financiers, qui impose notamment aux institutions financières qui veulent annoncer sur le moteur de recherche d’afficher les coordonnées d’un établissement physique, de décrire précisément les frais associés aux services publicisés et d’inclure les liens vers les accréditations ou recommandations mentionnés dans les annonces. Les annonceurs qui ne se soumettent pas à cette demande ne peuvent pas acheter de publicités Google Ads.

Des obligations des firmes

Le Centre antifraude du Canada rappelle que les entreprises sont tenues de mettre en place des mesures de sécurité solides pour contrer les cybermenaces. Elles doivent également informer leurs clients des risques d’escroquerie et d’hameçonnage et les encourager à être vigilants lorsqu’ils effectuent des transactions en ligne.

Les utilisateurs des services financiers en ligne doivent quant à eux également prendre des précautions lorsqu’ils effectuent des transactions via Internet ou des applications mobiles. Ils doivent notamment vérifier que les sites web sont légitimes et sécurisés avant d’effectuer des transactions financières.

L’article Des clients d’une banque en ligne victimes de fausses publicités Google est apparu en premier sur Finance et Investissement.