La période des impôts est une occasion en or pour les cybercriminels de voler identité et argent aux particuliers et aux entreprises. Avec le temps, les stratagèmes se raffinent; il faut donc redoubler de prudence.

«Les cybercriminels peuvent se bâtir une campagne d’hameçonnage et avoir comme cible la population au complet parce que tout le monde doit produire une déclaration de revenus en même temps», avertit l’expert en cybersécurité David Ferland, directeur de l’ingénierie pour l’est du Canada chez Fortinet.

Maintenant que les déclarations de revenus ont été envoyées, la période des remboursements d’impôt est commencée et c’est le moment où les appels, courriels et messages textes frauduleux circulent le plus. Même sur les réseaux sociaux, comme Messenger ou WhatsApp, vous pourriez voir passer des messages frauduleux identifiés à Revenu Québec ou à l’Agence du revenu du Canada (ARC).

«Les particuliers et les entreprises sont autant à risque. Les moins de 25 ans et les personnes âgées de plus de 60 ans sont plus vulnérables parce que les cybercriminels partent du principe que ces personnes peuvent être moins bien informées des politiques fiscales et donc plus vulnérables à la manipulation émotionnelle», remarque M. Ferland.

Selon le Centre antifraude du Canada (CAFC), l’arnaque principale consiste à faire croire qu’une prestation ou un montant d’argent est disponible après une révision de la déclaration de revenus. D’autres fois, les criminels jouent sur le sentiment d’urgence pour faire accomplir des actions à leurs victimes. Par exemple, ils feront croire qu’une échéance fiscale a été dépassée et que des conséquences graves peuvent s’ensuivre. Vous serez invité à cliquer sur un lien ou à donner des informations.

Entreprises aussi à risque

Dans les entreprises, les victimes sont bien ciblées, car les cybercriminels auront recoupé des informations prises sur le darkweb ou les médias sociaux et l’internet. Cela leur permet d’écrire des messages qui paraissent très crédibles. Petit à petit, ils vont amener un employé à divulguer des informations critiques, comme des mots de passe ou des accès à des comptes bancaires.

«L’ingénierie sociale est aujourd’hui combinée à des techniques de piratage et à la distribution de logiciels malveillants, comme des rançongiciels, pour mener des attaques de plus en plus destructrices», prévient David Ferland.

Comment se protéger?

«Quand vous recevez une communication qui semble venir de l’Agence du revenu du Canada, faites attention. Tant pour les particuliers que pour les entreprises, le maillon le plus faible de la cybersécurité, c’est l’humain», rappelle l’expert de Fortinet.

Sachez que l’ARC n’utilise jamais de messages textes ou de messagerie instantanée comme Messenger pour entamer une conversation au sujet des impôts, des prestations ou de votre dossier, et elle n’utilisera pas plus ces moyens de communication pour vous demander des renseignements. Elle n’envoie pas non plus de courriel avec un lien vers une page où on vous demande de divulguer des renseignements personnels ou financiers. L’Agence ne demande pas d’effectuer un paiement par carte de crédit prépayée ni par carte cadeau. Elle n’exige pas et ne verse pas de paiements en bitcoins. Elle ne fait pas de menaces.

Si l’ARC doit vous téléphoner, elle vous aura écrit au préalable, lorsque vous devez de l’impôt ou de l’argent à un programme gouvernemental ou que vous n’avez pas encore produit votre déclaration de revenus ou si elle a des questions sur des documents que vous avez envoyés. En cas de doute, téléphonez à l’Agence avant de communiquer des renseignements et si vous percevez une communication suspecte, signalez-la au Centre antifraude du Canada.

En 2022, plus de 1000 signalements reliés à l’ARC ont été signalés au CAFC, mais on sait que beaucoup de fraudes et de tentatives de fraudes ne sont jamais rapportées.

Exemples de messages frauduleux:

Téléphone:

Un appel pour vous informer qu’une affaire criminelle a été enregistrée contre vous en cour fédérale concernant une évasion fiscale. On vous invite à appeler à l’Agence du revenu de façon urgente pour en savoir davantage, sous peine de conséquences légales, et on vous donne un numéro de rappel.

Courriel:

INTERAC e-Transfer Reminder: «Vous avez reçu de l’argent de l’ARC.» Le virement, qui indiquera une somme quelconque, aura une apparence crédible et vous serez invité à cliquer sur un lien pour déposer vos fonds. L’ARC n’envoie jamais d’argent par virement Interac.

Ou

Un message avec le logo du gouvernement du Canada vous dit que l’ARC ne peut vous rembourser un certain montant puisque des informations ne concordent pas. Vous êtes invité à vérifier les informations en cliquant sur un bouton vers un «compte de l’ARC».

Message texte:

On vous informe que vous avez droit à un remboursement d’impôt et on vous invite à cliquer sur un lien.