Compte tenu de l'incertitude générale suscitée par la pandémie du coronavirus/COVID-19, on observe un nombre croissant de criminels qui tentent de tirer profit de la situation. Par conséquent, vous risquez de recevoir des e-mails d'hameçonnage (phishing), des appels non sollicités, des SMS ou des messages sur les réseaux sociaux concernant des mises à jour sur le coronavirus/COVID-19 ou des avis prétendant provenir du Credit Suisse ou d'agences gouvernementales telles que l'Organisation mondiale de la santé (OMS). Ces criminels utilisent souvent des arguments émotionnels, des menaces ou vous pressent de prendre des mesures immédiates.

Les escroqueries énumérées ci-dessous peuvent non seulement inclure des informations trompeuses, mais également vous demander d'indiquer des informations personnelles telles que des chèques ou prêts COVID-19. Souvent, ces escroqueries peuvent inclure des liens ou des pièces jointes malveillantes qui ne doivent en aucun cas être ouverts.

• Les escroqueries à l'usurpation d'identité d'institutions gouvernementales telles que les messages frauduleux via SMS, e-mail ou réseaux sociaux, prétendant provenir du gouvernement, des autorités fiscales et des organismes de réglementation, les prétendus communiqués de presse officiels sur le coronavirus/COVID-19 ou les prétendus avis de l'Organisation mondiale de la santé (OMS) contenant des informations trompeuses sur les fermetures d'écoles, le confinement, les plans de relance (prêts garantis par le gouvernement) ou des recommandations destinées aux voyageurs.
• Des offres pouvant porter sur des investissements qui garantissent des rendements irréalistes sur le marché actuel ou des opportunités d'investissement dans des masques, des kits de test, des désinfectants pour les mains ou des produits qui prétendent faussement prévenir, détecter ou guérir le coronavirus/COVID-19.
• De faux dons qui sont sollicités pour financer les efforts déployés dans la lutte contre la pandémie en se faisant passer pour des organisations caritatives ou gouvernementales, par exemple NHS, CDC, GoFundMe, etc.

Les victimes se font démarcher par des escrocs, qui leur font miroiter des opportunités de placement en actions, dans l'immobilier ou dans d'autres types d'actifs par téléphone, e-mail ou sur des médias sociaux, puis leur envoient un e-mail de suivi avec une pièce jointe ou un lien Docusign.

Les escrocs proposent des documents financiers factices comme des obligations d'entreprise à revenu fixe prétendument émises par le Credit Suisse. Les escroqueries de ce type sont envoyées par courrier électronique ou directement via des médias sociaux, en utilisant abusivement l'image de marque du Credit Suisse, par exemple en usurpant l'identité d'un employé ou en créant de faux sites web ou comptes.

Bien qu'il n'existe aucune garantie d'être à 100% à l'abri des cyberattaques, voici nos 9 conseils pour vous aider à protéger vos informations personnelles et à mieux vous protéger vous-même:

1. Évitez de cliquer sur des liens ou des pièces jointes: les cybercriminels sont très habiles pour inciter les gens à cliquer sur des liens supposés provenir de leur banque, de leur opérateur de télécommunications, de leur société d'approvisionnements en eau/gaz/électricité, de leurs services fiscaux et d'autres organisations légitimes. Réfléchissez avant de cliquer – Attention aux fautes d'orthographe, adresses e-mail qui ne semblent pas correctes et communications inattendues d'amis, elles doivent être traitées avec la plus grande prudence. Il est préférable d'entrer manuellement l'URL de l'organisation en question pour vous connecter à votre compte afin de vérifier les communications avant de cliquer. En cas de doute, appelez l'organisation ou votre ami pour vérifier avant de cliquer.
2. Les mots de passe sont les clés de votre «royaume numérique»: utilisez des mots de passe uniques et complexes combinant des lettres majuscules et minuscules, des chiffres et des symboles et n'utilisez pas le même mot de passe pour tous vos comptes.
3. Protégez votre identité. Ne partagez pas vos mots de passe et ne choisissez pas de mots de passe faciles à deviner. Veillez à les modifier souvent. Si possible, utilisez une authentification à deux facteurs ou une authentification forte qui combine une chose connue (nom d'utilisateur et mot de passe) avec une chose possédée (un justificatif d'identité tel qu'une carte, un jeton physique ou un téléphone portable) pour vérifier une identité ou une transaction.
4. Sauvegardez vos données – Si votre ordinateur est infecté par un logiciel rançonneur, un logiciel malveillant ou s'il tombe en panne, la seule façon de vous assurer que vous pourrez récupérer vos données perdues est de les sauvegarder et de le faire régulièrement. Cela signifie également que si vous perdez ou effacez par mégarde des données, vous pourrez toujours les récupérer.
5. Assurez-vous de disposer d'un kit de sécurité Internet robuste et à jour – Les menaces en ligne devenant de plus en plus sophistiquées et les cybercriminels étant prêts à suivre toutes les tendances sociales afin de pouvoir diffuser des logiciels malveillants, le paysage des menaces en ligne évolue radicalement de minute en minute. Un logiciel de sécurité d'une marque reconnue est la meilleure et la plus sûre option lorsqu'il s'agit d'empêcher l'installation de logiciels malveillants sur votre ordinateur, car il empêche ces derniers de prendre le contrôle ou de ralentir votre système.
6. Tenez tous les logiciels de votre PC à jour, avec les dernières mises à jour et les derniers correctifs – En tenant vos logiciels à jour, les vulnérabilités potentielles (y compris les failles «zero-day») peuvent être corrigées et contribuent à tenir les cybercriminels et les pirates informatiques à distance.
7. Assurez-vous que le site web sur lequel vous vous trouvez est sûr – Avant d'entrer vos données de paiement sur un site web, vérifiez que l'URL commence par https («s» pour «sécurisé»). Si un site comporte des erreurs typographiques évidentes, ou s'il n'y a aucun indice d'informations de sécurité ou de symboles reconnus, évitez ce site. En cas de doute, cliquez sur la coche VeriSign pour vérifier l'identité d'un site et, si possible, utilisez un navigateur web haute sécurité qui affiche la barre d'adresse verte SSL EV.
8. Une fois en ligne, toujours en ligne: tout ce que vous publiez en ligne sera visible par n'importe qui. Faites donc attention aux informations d'identification que vous utilisez dans votre profil sur les médias sociaux et aux sites auxquels vous vous inscrivez. Évitez de publier des informations qui pourraient être utilisées par des pirates informatiques pour vous soutirer des réponses aux questions de sécurité des banques (par exemple, les posts FB indiquant «votre surnom de quarantaine – le prénom est le nom de votre animal de compagnie et le nom de famille est la rue où vous avez grandi».
9. Changez le mot de passe de votre routeur personnel. En raison de l'accroissement du travail à distance et des informations confidentielles liées au travail qui transitent par les réseaux domestiques, il existe un risque élevé que des pirates informatiques tentent d'accéder aux mots de passe du routeur par défaut et de les utiliser comme points d'attaque.

L'hameçonnage (phishing) est le moyen le plus simple pour les cybercriminels de lancer leur attaque. Les criminels utilisent des e-mails frauduleux pour vous convaincre de cliquer sur un lien suspect ou d'ouvrir une pièce jointe pour installer un logiciel malveillant ou vous rediriger vers une page d'accueil en vue d'y voler vos données personnelles et vos identifiants de connexion.

Les pirates recréent des sites web connus pour saisir vos identifiants d'utilisateur, tels que les mots de passe, les numéros de sécurité sociale, les informations relatives aux cartes de crédit, pour n'en citer que quelques-uns. Ils utilisent ensuite ces informations volées pour accéder à vos comptes bancaires et autres.

Les supports de phishing utilisés semblent souvent authentiques et paraissent émaner de véritables personnes, organisations, institutions ou sites web. Bien qu'il n'y ait aucune garantie d'être à 100% à l'abri des cyberattaques, il convient de prendre les précautions suivantes afin de mieux vous protéger:

• Définissez un niveau de sécurité moyen ou supérieur dans les paramètres de votre navigateur.
• Assurez-vous que l'adresse web de tout site que vous consultez commence par «https://». Certains navigateurs affichent une icône de cadenas à côté de «https://» pour indiquer que la connexion est sécurisée.
• Déconnectez-vous après avoir utilisé un service bancaire sur Internet ou un service de commerce électronique pour vous assurer que votre session est fermée.
• Effacez les cookies et le cache de votre navigateur pour éviter que des pirates informatiques n'accèdent à votre historique et obtiennent ainsi des informations.
• N'oubliez pas que les pirates informatiques ciblent de plus en plus les enfants sur les réseaux sociaux et les sites de jeux.
• Soyez vigilants quant aux sites que vous consultez: ne consultez pas les sites qui proposent des téléchargements ou des contenus illégaux (partage de fichiers, par exemple). Même si vous ne téléchargez aucun fichier, vous êtes vulnérable aux virus qui peuvent infecter votre ordinateur.
• Bloquez les fenêtres contextuelles et les publicités, et ne répondez jamais aux questions de fenêtres contextuelles vous demandant de soumettre ou de resoumettre vos informations de connexion.
• Méfiez-vous de tout e-mail vous invitant à exécuter une action urgente (p. ex. «contrôle de sécurité», «activation», «vérification» ou toute requête de virement de fonds ou d'exécution d'un paiement).
• N'incluez pas d'informations personnelles sensibles dans des e-mails. Il est recommandé d'appeler directement l'expéditeur.
• Changez le mot de passe de votre routeur personnel. En raison de l'accroissement du travail à distance et des informations confidentielles liées au travail qui transitent par les réseaux domestiques, il existe un risque élevé que des pirates informatiques tentent d'accéder aux mots de passe du routeur par défaut et de les utiliser comme points d'attaque.

Merci de signaler tous les e-mails d'hameçonnage (phishing) et les-têtes d'e-mails liés au Credit Suisse à security@credit-suisse.com.

Bien qu'il n'y ait aucune garantie d'être à 100% à l'abri des cyberattaques, voici quelques conseils pour vous protéger lors de vos achats en ligne.

• Vérifiez régulièrement l'historique de vos transactions bancaires et de vos cartes de crédit ainsi que vos relevés, afin de détecter toute transaction suspecte.
• Utilisez l'authentification en deux étapes ou multi-facteurs lorsqu'elle est disponible – vous confirmez votre identité en deux étapes chaque fois que vous utilisez un distributeur automatique – avec une carte de débit et un code NIP. Faites de même en ligne.
• Activez le mode de navigation privée chaque fois que cela est possible – évitez que des cookies et l'historique de navigation ne soient stockés/enregistrés sur votre appareil.
• Pour les sites importants, n'utilisez que des favoris fiables – pas de liens d'e-mail ou de pop-ups.
• Fermez les fenêtres contenant des fenêtres contextuelles ou des avertissements inattendus en utilisant le X dans le coin supérieur droit.
• N'achetez pas ce dont il est fait la publicité dans un courrier indésirable – même s'il s'agit d'une entreprise légitime, votre achat encourage le spamming.
• N'oubliez pas que chaque appareil comporte un risque. Les ordinateurs portables, les tablettes et les téléphones mobiles sont tous susceptibles d'être victimes de violations de sécurité sans fil. Ne vous connectez pas à des sites que vous ne connaissez pas ou que vous ne reconnaissez pas. Ne considérez pas qu'un lien Wi-Fi soit légitime; les pirates créent des points d'accès frauduleux qui semblent identiques à un point d'accès légitime. Utilisez plutôt un réseau privé virtuel (VPN), qui ne permet qu'aux utilisateurs autorisés d'accéder au réseau afin que les données ne puissent pas être interceptées.

Étant donné que nous sommes de plus en plus interconnectés via l'utilisation de nos appareils, vous trouverez ci-dessous des conseils pour mieux vous protéger. Veuillez noter que si ces conseils vous permettent de réduire les risques de cyberattaques, ils ne garantissent pas à 100% votre sécurité.

Meilleures pratiques pour vos appareils personnels

• Ajustez vos paramètres de sécurité pour limiter l'accès à vos données via les connexions sans fil et Bluetooth. Désactivez le Bluetooth lorsque vous n'avez pas besoin de la connexion; votre appareil sera moins vulnérable aux cyberattaques et vous économiserez votre batterie. Pour les appareils Apple, vos paramètres Bluetooth seront réinitialisés quotidiennement.
• Gardez votre téléphone ou votre ordinateur verrouillé – assurez-vous qu'il est protégé à tout moment par un mot de passe ou un code NIP.
• Désactivez les fenêtres contextuelles de notification pour les SMS qui peuvent afficher votre code d'authentification à deux facteurs à l'écran.
• Mettez à jour le logiciel du système d'exploitation de votre appareil pour vous assurer de disposer des derniers correctifs de sécurité.
• Mettez à jour les applications de votre appareil lorsque de nouvelles versions sont disponibles, car elles comportent souvent des correctifs de sécurité.
• Évitez de cliquer sur les annonces publicitaires sur Internet: il existe des applications de blocage des publicités pour les appareils Android et Apple, et les paramètres du navigateur peuvent être ajustés pour limiter le suivi des publicités.
• Installez une application de sécurité pour scanner et supprimer les applications infectées par des logiciels malveillants.
• Cryptez les informations sensibles – si votre appareil mobile ou votre ordinateur portable dispose de fonctions de cryptage des données, utilisez-les.
• Surveillez le comportement des applications sur votre téléphone – gardez une trace des accès/demandes de permission des applications installées sur votre appareil. Utilisez un programme contre les logiciels malveillants/anti-virus réputé et mettez-le à jour régulièrement. Les appareils mobiles sont exposés aux mêmes risques que vos ordinateurs personnels ou de bureau. Si vous pensez que votre appareil a été infecté par un logiciel malveillant, contactez le fabricant de l'appareil ou votre opérateur de téléphonie mobile pour obtenir de l'aide.
• Choisissez un smartphone doté de fonctions de sécurité antivol. En cas de perte ou de vol de votre téléphone, mettez en place un accès à distance vous permettant de le verrouiller, d'effacer les données qui y sont stockées et d'identifier son emplacement.
• Sauvegardez régulièrement vos appareils sur votre ordinateur personnel ou le cloud afin d'avoir accès aux informations si votre appareil est perdu, volé ou endommagé.
• N'essayez pas de contourner les contrôles de sécurité dans le système d'exploitation de l'appareil (par le débridage du téléphone (jailbreak/rooting), par exemple).
• Effacez toutes vos données personnelles avant de vendre ou de recycler votre appareil.

Le Credit Suisse reconnaît le rôle précieux que jouent les chercheurs en sécurité indépendants dans la cybersécurité et la sécurité de l'information. En conséquence, nous encourageons le signalement responsable de toute vulnérabilité constatée dans les applications et systèmes en ligne.

Le Credit Suisse s'engage à collaborer avec les chercheurs en sécurité pour vérifier et traiter toute vulnérabilité potentielle qui sera signalée au Credit Suisse.

Veuillez lire nos conditions avant de tester et/ou de signaler une vulnérabilité quelconque. Le Credit Suisse s'engage à ne pas intenter d'action en justice contre les chercheurs qui pénètrent ou tentent de pénétrer dans nos systèmes pour autant qu'ils respectent cette politique.

Le Credit Suisse n'autorise pas les types de recherche de sécurité suivants:

Bien que nous vous encouragions à nous signaler toute vulnérabilité que vous trouvez de manière responsable, les comportements suivants sont interdits:

• Effectuer des actions susceptibles d'avoir un effet négatif sur le Credit Suisse ou ses clients (courrier indésirable, attaque par force brute, attaque par déni de service, etc.)
• Accéder ou tenter d'accéder à des données ou des informations qui ne vous appartiennent pas
• Détruire ou endommager, ou tenter de détruire ou d'endommager des données ou des informations qui ne vous appartiennent pas
• Mener toute sorte d'attaque physique ou électronique contre le personnel, les biens, les bâtiments ou les centres de données du Credit Suisse
• Influencer via l'ingénierie sociale tout centre d'assistance, collaborateur ou prestataire de services (contractor) du Credit Suisse
• Effectuer des tests de vulnérabilité des services participants en utilisant autre chose que vos propres données afin de minimiser le risque pour les données de nos clients
• Violation de toute loi ou de tout accord afin de découvrir des vulnérabilités

Signaler une éventuelle vulnérabilité:

• Partagez en privé les détails de la vulnérabilité présumée du Credit Suisse en envoyant un e-mail à: security@credit-suisse.com. 
• Veuillez fournir tous les détails de la vulnérabilité présumée afin que l'équipe de sécurité du Credit Suisse puisse valider et reproduire le problème.

L'engagement de l'équipe de sécurité du Credit Suisse:

Nous vous demandons de ne pas partager ou rendre publique une vulnérabilité non résolue avec/à des tiers. Si vous soumettez un rapport de vulnérabilité de manière responsable, l'équipe de sécurité du Credit Suisse et les organisations de développement s'efforceront, dans la mesure du raisonnable:

• de répondre en temps utile, en accusant réception de votre rapport de vulnérabilité
• de fournir une estimation du temps nécessaire pour traiter le rapport de vulnérabilité
• de vous informer lorsque la vulnérabilité aura été corrigée

Nous tenons à remercier chaque chercheur individuel qui soumet un rapport de vulnérabilité nous aidant à améliorer l'état global de la sécurité du Credit Suisse.

Veuillez cliquer sur les liens ci-dessous pour obtenir de plus amples informations:

Singapour:

• Singapore Cyber Security Awareness Alliance (créée par l'IDA et des entreprises des secteurs public et privé)

Suisse:

• Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI (Administration fédérale suisse)
• Association Suisse des banquiers (PDF)

Royaume-Uni:

• Prudential Regulation Authority (PRA)
• Financial Conduct Authority (FCA)
• UK Finance (anciennement British Bankers' Association (BBA))

États-Unis:

• Financial Industry Regulatory Authority (FINRA)
• Federal Trade Commission (FTC)
• U.S. Computer Emergency Readiness Team (US-CERT)