Des pirates informatiques avec des liens en Russie ont imaginé une astucieuse attaque par Internet visant à vider les comptes des clients des Caisses Desjardins et de la Banque de Montréal.

Des pourriels invitant les internautes à participer à un concours ont été envoyés à des dizaines de milliers d�adresses de courriel dans la nuit de mardi à mercredi. En cliquant sur le lien indiqué dans le pourriel, les internautes se retrouvaient sur des copies conformes des sites Desjardins.com et BMO.com.

Les sites frauduleux sont hébergés aux �tats-Unis sur des serveurs où les pirates se sont introduits par effraction virtuelle. D�ailleurs, les propriétaires des serveurs piratés ont tenté de fermer les faux sites, mais les arnaqueurs ont pu les réactiver en fin d�après-midi hier.

L�apparence, les liens et les graphiques des sites fantômes étaient tous identiques à ceux des sites officiels des banques visées.

Infos transmises en Russie
Sur les pages du prétendu concours, on invite les internautes à entrer leur numéro de carte bancaire de même que leur mot de passe afin de s�inscrire à un tirage qui leur permet de remporter 500 $.

Selon les premières constatations de Desjardins, les informations se dirigent ensuite vers la Russie.

Aucun accès illégal n�a été constaté sur les serveurs des institutions financières. Le dossier a été ainsi transféré de la GRC au service des fraudes de la Sûreté du Québec qui n�avait pu commenter l�affaire au moment d�écrire ces lignes.

« Les pirates ne se sont jamais infiltrés dans nos serveurs, explique André Chapleau, porte-parole de Desjardins. En revanche, nous comprenons que certains clients aient pu se laisser prendre car la copie mise en ligne par les pirates était absolument identique à nos pages. »

Adresse dissimulée
Même l�adresse Web incluse dans le courriel débutait par www.desjardins.com ou www.BMO.com.

Les internautes les plus vigilants ont cependant pu apercevoir un @ dans l�adresse Web qui permet de dissimuler la vraie adresse du site consulté.

« Les internautes pouvaient déterminer qu�ils étaient sur un site frauduleux car il n�y a pas de petit cadenas qui apparaît dans le fureteur lorsqu�on accède à la page du faux concours, ajoute M. Chapleau. Toutes les pages où Desjardins demande de l�information à ses clients sont sécurisées. Le petit cadenas apparaît donc. »

Le porte-parole ajoute que selon les indices recueillis par les informaticiens de Desjardins, les pirates ont aussi profité de cette campagne de pourriels pour propager un virus informatique chez les destinataires du courriel.

En soirée hier, les deux institutions financières avaient ajouté sur leur site un avertissement à l’intention des utilisateurs, les enjoignant à la prudence concernant l’envoi d’un pourriel frauduleux qui n’avait rien à voir avec elles.