Des cyberpirates réclament une rançon de 1 M$

Les cyberpirates qui ont volé les données d’environ 90 000 clients de BMO et de la banque en ligne Simplii Financial exigent une rançon d’un million de dollars pour ne pas les rendre publiques, rapporte Radio-Canada.

Lundi, la Banque de Montréal et la banque en ligne Simplii Financial, qui appartient à la CIBC, avaient annoncé que des renseignements personnels concernant 90 000 titulaires de comptes avaient été dérobés.

Selon Radio-Canada, les deux institutions financières ont indiqué avoir reçu un courriel qui émanerait des pirates informatiques. Celui-ci aurait notamment comporté la menace suivante : « Nous avons averti BMO et Simplii que nous partagerions les informations de leurs clients s’ils ne coopèrent pas. » Autrement dit, si les deux banques ne leur versaient pas un million dans une cryptomonnaie baptisée Ripple, et ce, « avant mardi » (donc avant-hier).

ALGORITHME MATHÉMATIQUE

Le courriel fournit « une brève explication de la technique employée pour pirater les comptes ». Les voleurs expliquent ainsi avoir pu obtenir un accès partiel aux comptes grâce à « un algorithme mathématique conçu pour valider rapidement des séquences numériques relativement courtes, comme les numéros de carte de crédit et les numéros d’assurance sociale ».

Les pirates précisent également avoir utilisé cet algorithme pour obtenir des numéros de compte. En se faisant passer pour des clients ayant simplement oublié leur mot de passe, ils auraient réussi à réinitialiser les questions de sécurité, ce qui leur aurait permis d’accéder aux données contenues dans les comptes.

Dans leur courriel, les cyberpirates soutiennent que, grâce à ce stratagème, ils sont parvenus à copier diverses informations confidentielles, notamment les noms des clients, leurs numéros de compte, leurs mots de passe, leurs questions et réponses de sécurité ainsi que leurs numéros d’assurance sociale et leurs soldes de compte.

LES RECOMMANDATIONS DE L’ACFC

Dans un communiqué émis juste après ces attaques, l’Agence de la consommation en matière financière du Canada (ACFC) rappelle qu’en cas de vol de données personnelles, les consommateurs doivent réagir très rapidement.

Pour réduire autant que possible les risques de préjudice, ils doivent par exemple prendre les mesures suivantes :

• changer de mot de passe immédiatement;
• examiner leurs relevés de compte bancaire et de cartes de crédit afin de s’assurer qu’il n’y a pas d’opérations non autorisées;
• signaler tout de suite les transactions non autorisées à leur institution financière;
• demander et examiner leur dossier de crédit le plus vite possible. En effet, s’il y a des comptes qu’ils ne reconnaissent pas, cela peut signifier que quelqu’un a demandé une carte de crédit, une marge de crédit, une hypothèque ou un autre type de prêt en leur nom.

L’ACFC recommande par ailleurs aux personnes victimes d’une fraude de :

• communiquer avec leur institution financière et toutes autres entreprises où leurs comptes ont été compromis;
• contacter les deux bureaux de crédit du Canada, Equifax et TransUnion, pour leur demander d’ajouter une alerte à la fraude afin que les prêteurs communiquent avec eux en vue de confirmer leur identité avant d’approuver toute demande de crédit;
• déposer un rapport à la police;
• communiquer avec le Centre antifraude du Canada (1-888-495-8501).

La rédaction vous recommande :

• BMO et Simplii ont été la cible de cyberpirates
• Tentative d’extorsion contre Revenu Québec
• Le secteur financier vulnérable aux cyberattaques