Des fraudeurs ciblent les employés et les clients d’une institution financière pour obtenir des renseignements personnels

Résumé d’incident no 13

Le 18 février 2016

Leçons apprises

  • Il est important que les organisations mettent au courant leurs employés de première ligne des techniques d’usurpation d’identité utilisées par les individus qui tentent d’obtenir les renseignements personnels d’autres personnes. En cas de doute, les employés doivent consulter un superviseur avant de communiquer des renseignements personnels à une personne inconnue.
  • Il faut se montrer prudent lorsqu’on nous demande de divulguer des renseignements personnels au téléphone, en particulier lorsqu’il s’agit de renseignements financiers de nature sensible, et ce, même à une personne qui affirme représenter notre institution financière. Dans ce cas, il ne faut pas hésiter à prendre des mesures, comme communiquer directement avec un représentant que l’on connaît.

Incident

En janvier 2016, une institution financière canadienne a signalé au Commissariat à la protection de la vie privée du Canada qu’une personne inconnue avait utilisé des techniques d’usurpation d’identité pour tenter de convaincre des employés du centre de services à la clientèle de lui fournir les coordonnées des derniers appelants. L’institution financière estime que les coordonnées d’environ 100 clients ont été divulguées.

L’individu a ensuite communiqué avec certains de ces clients et a réussi à leur soutirer directement d’autres renseignements personnels, notamment de l’information de nature sensible pouvant les exposer au vol d’identité.

Résultat

Après avoir pris connaissance de l’incident, l’institution financière a pris les mesures suivantes :

  • Informer le Commissariat de l’atteinte à la sécurité des renseignements personnels de ses clients;
  • Mener une enquête pour déterminer la portée de l’incident et réduire le risque de répétition;
  • Communiquer avec toutes les personnes susceptibles d’avoir été victimes de la fraude et leur offrir gracieusement de confier la surveillance de la protection de leur crédit à une tierce partie;
  • Conseiller ces mêmes personnes sur la façon d’empêcher toute tentative de fraude, notamment leur expliquer comment déterminer si un appelant tente de se faire passer pour un employé de la banque. Parallèlement, les personnes ont également été strictement avisées de ne pas communiquer de renseignements personnels au téléphone;
  • Prendre des mesures de contrôle améliorées afin de réduire le risque de répétition;
  • Présenter des séances de formation supplémentaires aux employés pour éviter que le problème ne se reproduise.

Selon les représentants de l’institution financière, malgré le risque de fraude et de vol d’identité, aucune fraude n’a été signalée concernant les cartes de crédit ou de débit des clients concernés à la suite de l’incident.  

Date de modification :