Perspectives podcast: Fraud isn’t going away – here’s how you can protect yourself

Armina Ligaya: Most of us know someone who has been scammed. Or maybe we fell for a scam ourselves. Whether it's a text message about a supposed delivery or a company's website that looks nearly authentic until you notice a missing letter, fraudsters are becoming increasingly sophisticated. Some are even making a business out of their techniques, selling their methods to other scammers.

Chris Lynam: You could be a low-end cybercriminal fraudster, and by paying this monthly subscription, you could create really realistic bank login pages or lots of different businesses, and then you'd spam those out to Canadians.

AL: That's Chris Lynam, the Director General of the National Cybercrime Coordination Centre and the Canadian Anti-Fraud Centre with the Royal Canadian Mounted Police. Innovation is just one of many reasons that fraud isn't going away.

CL: I wish they, sometimes, would use their skills for good because they are some of the most innovative people on the planet and unfortunately they are targeting Canadians at a record pace.

AL: Then there's artificial intelligence, which is used to clone websites or create deepfake videos.

Aaron McAllister: We are seeing examples of that already and it's only going to get more sophisticated.

AL: That's Aaron McAllister, Vice President of Fraud Threat Management at Scotiabank. He says impersonation scams, such as posing as a bank employee are increasingly common.

AM: So, we're seeing a high volume of those types of imposter scams, even impersonating friends or family in some cases.

AL: March is Fraud Prevention Month, and Aaron and Chris are our guests this episode to talk about the latest scams, how to protect yourself and what to do if you've been scammed. I'm Armina Ligaya and this is Perspectives.

Aaron, Chris, welcome to the show.

AM: Thanks for having us.

CL: Yeah, thank you for having us.

AL: Chris, let's start with you. Why don’t you tell us a little bit about your job and what you do.

CL: Yeah, thanks. So, Chris Lynam, I’m the Director General of the National Cybercrime Coordination Centre. I also lead the Canadian Anti-Fraud Centre here at the RCMP. Two units that really focus on reducing the impact of cybercrime and fraud on Canadians. So that ranges from working with a whole bunch of police partners to go after these cyber criminals and fraudsters, to trying to help keep people safe online or when they're doing their financial transactions. And we also try as much as possible to work with the private sector and other partners because it really collectively takes a bunch of different organizations and people working together, if we're going to stop the level of victimization we're seeing across Canada.

AL: For sure. And your numbers from the Canadian Anti-Fraud Centre show that losses resulting from fraud – and those numbers are staggering – and scams continue to increase. Can you tell me a bit more about that?

CL: Yeah, unfortunately, you're absolutely correct. In 2024, we saw almost $650 million in losses that were reported to the Canadian Anti-Fraud Centre. So that's only when someone reports to us, whether it's an individual or business. You know, ‘I've sent this money to a fraudster’ or ‘this money was stolen out of my bank account’ or ‘I paid a ransom, in terms of cybercrime.’ We haven't completely finished the numbers for 2025, but we think it's going to be in the neighborhood about 730 million. So you're correct, it's going up and I'm sure we'll get into the reasons behind that. But it really just reinforces how we need at the individual and business level for people to do as much as they can to prevent being victimized and then others working in terms of what I call the fraud ecosystem to take action and really having that collaborative approach to come up with innovative ways to go after some of these fraudsters, I wish they, sometimes, would use their skills for good because they are some of the most innovative people that we're facing on the planet, and unfortunately they are targeting Canadians at a record pace.

AL: We'll definitely get into the kind of trends and the kind of scams that we're seeing more and more of. But maybe over to you, Aaron. Why are we seeing such a rise not only in the numbers, but to me it just seems like we're hearing about it more?

AM: Yeah, I think we're hearing about it more because it is happening more. Chris’ numbers reflect that. And I think that the numbers are only going to increase as the efficacy of report collection improves. Why is it happening? I think that we've actually seen a shift as well with more multinational organized crime participating in scams and fraud, including in Canada. And so it's being run more like a business, and that is increasing the amount of people that are affected by it. The types of scams that we're seeing and the technical sophistication that's involved.

AL: Let's look at what we saw over the past year. Chris, what kind of trends did you see when it came to scams in 2025?

CL: Yeah, so similar to what Aaron said, a follow up is we saw a trend where you see this industrialization, that's a great way of portraying it, Aaron, where you see fraud-as-a-service where you have a core group of cybercriminals or fraudsters who create a way that other lower-end fraudsters can leverage that service. And they don't need very much technical knowledge to do that. A project we worked on with financial institutions and a lot of law enforcement partners was against some phishing-as-a-service platforms. So what these platforms would offer is for a low monthly subscription, you could be a low-end cybercriminal fraudster and it would allow you, by paying this monthly description, you could create really realistic bank login pages or lots of different businesses and then you'd spam those out to Canadians, you know, in all those SMS texts we get or emails and they were falling for it at an incredible rate. And there’s no shame in that – these look like legitimate pages. And so we spent a lot of our effort trying to address those types of threats. We also saw another trend around investment or crypto themed scams where there's an advertisement or something you see online or maybe you're in a WhatsApp group where someone approaches you like, ‘Hey, do you want to make some easy money?’ Only start with $250. Maybe financially you're looking to get a quick win. You give that money. Overnight, you get a response that your money has doubled and there's a very sophisticated fake platform that shows you how much money you've made overnight. And then the fraudsters contact you again and say, ‘there's even more opportunity here. How about another 250?’ And before you know it, people are thousands, if not tens of thousands into this platform before they try and take the money out or something like that. And then they realize it was all a scam. So of the financial losses that we see reported to us that crypto and investment themed type of fraud is the highest loss, almost half of what we see in terms of the losses. People are losing their life savings to that. One more theme is very relevant to you folks. We see a lot around bank investigator or impersonating a bank employee. It has become very sophisticated. It's not where people are just calling or contacting individuals out of the blue. They present legitimate information about the client to the victim. So it sort of makes it more realistic. And that, unfortunately, is a result of so much data has been stolen over the years. And whether it's credentials or just personal information about people, cybercriminals have become very good at harvesting that data and then making it for sale that others can then exploit to do things like the bank impersonation or the bank investigators scams.

AL: Those scams really reflect how sophisticated fraud has become, especially that first one. Not only are they defrauding people now, it's a business of helping others to defraud people. That's mind boggling.

CL: I agree. And it's, for our perspective, it is scary in the fact that, again, you don't need almost any technical ability to do this. So it just means more people who want to get into this line of criminality can do it. So again, just reinforcing, if we're going to stop this, we have to have a very multi-faceted approach to doing that, where we work very closely with financial institutions, other domestic and international law enforcement. To come up with these strategies, we're going to go after cybercriminals and fraudsters, but we're also going to try and do efforts to prevent so they don't become victimized. And then even in some cases, have the ability to engage victims right when they're in the middle of some kind of fraud incidents. Sometimes we call victims because we get intelligence information that like it is a scam. And they don't know that. We call them out of the blue. And sometimes they don't take our calls because they don't believe us, they think we are trying to scam them. But when we do get through to them and unfortunately, many horror stories of like they have this aha moment, like, ‘oh my God.’ And sometimes it's very hard to convince them that it is not legitimate.

AL: Aaron, over to you. You talked a little bit of some of the trends we've been seeing. But what are the more prominent ones? What are the scams you're seeing over and over again?

AM: I'd say there's a lot of overlap between what Chris described and what we're seeing. So the biggest loss events or the biggest loss drivers are the investment scams and the crypto scams. It's often other types of scams and fraud, including, as Chris mentioned, this impersonator type scams, whether it's bank impersonator that's been unfortunately popular as well as impersonating government agencies, impersonating employers or recruiting agencies, that's been quite popular as well. So we're seeing a high volume of those types of imposter scams, even impersonating friends or family in some cases as part of what's referred to as an emergency scam. That is continuing in our data as well.

AL: Oh, absolutely. I actually just, personally, I think I've received texts or messages or like some of these very, very realistic looking websites. And then you go to the URL, you're like, ‘Oh, that's not actually the official one.’ And in fact, a bit of an anecdote: my cousin's teenage daughter actually got scammed. They got a text and, you know, they said, ‘Oh, we're in trouble. I need money.’ So she sent what she had. She had $30. But, you think about who are typically the victims. Maybe they're seniors and they're not digitally savvy. But my niece is quite savvy. And so is that evolving too, the types of victims who are also falling for this?

AM: Yeah, Scotiabank did a survey in January and found that four out of five Canadians said that they had been targeted in a scam from a variety of different channels. 19% said that they had fallen for a scam or fraud of some kind. And the age category, it doesn't matter what age group you're in, there are different types of scams for you. And so there is not a defense just because you're younger or older. It's important to know about the different types of scams that are out there. And as Chris mentioned, there's a whole criminal ecosystem around building components of scams that can be used by less sophisticated criminals.

AL: So we've talked a little bit about what we saw in 2025, what could we see in 2026? Is there anything sort of cutting edge, anything new that's just emerging in terms of scams? Chris, we'll start with you.

CL: Yeah, I think we almost went 15 minutes of chatting without mentioning artificial intelligence, but artificial intelligence of many types being leveraged by fraudsters and scammers. So now, I go back to that phishing-as-a-service where you could choose the bank login page that that you wanted to spoof. Now, those cybercrime-as-a-service have artificial intelligence in the background, so you don't even need to select from a menu. You just tell them what type of web page or login page you want to spoof and it will generate it for you on the fly. So you see that. I worry a lot around where technology and industry is going in terms of the use of AI agents. These are going to be great for helping Canadians, you know, book a reservation at dinner. But at the same time we’re seeing evidence where they're being used, these agents are being used and modified by fraudsters and cyber criminals to go and do the type of victimization I've mentioned, almost completely automated. So, you know, going to an agent, an AI agent, and saying, ‘I want you to create a marketing campaign for Aaron that based on his social media profile of what you can find in the web about him, that he will click on this link for to buy this product.’ And so and then do that in almost completely automated way. And so I think unfortunately, we’re only seeing the start of how much artificial intelligence is going to be leveraged by fraudsters and that even reinforces even more the importance of people being very wary of how they operate online.

AL: And Aaron, what are you what are you seeing in 2026?

AM: Yeah, continuing technology enabled scams for sure. The use of AI, as Chris mentioned, we are seeing examples of that already and it's only going to get more sophisticated. This includes a combination of synthetic speech like voice cloning, deepfake video integration into how these messages are sent to people on social media through digital advertising. One of the times where Chris and I first got connected was a couple of years ago on one of those phishing-as-a-service platforms. And as Chris mentioned, those types of platforms now include AI components for design. We see a future where these pieces get more and more connected, both the development of the lure, if you will, as well as finding the victims to target and the communication channels for reaching them, including getting the responses, even exploitation. We see indications that more and more of that is getting automated. It's being enhanced through AI and these components are being connected together for a more effective scam ecosystem.

AL: How do you combat this ever-evolving threat, Chris? What are the biggest challenges for Canadian law enforcement in combating these frauds and scams?

CL: Yeah,  we are facing a lot of challenges in terms of just the sheer volume is one thing, whether it's us at the national level or local police services. People are reporting this at a record rate. We still think they're only reporting it about 5-10% of the time. So most of the time Canadians don't report. So that's a challenge just dealing with the sheer volume. The other aspect is there is a huge international part of this. So some of this is fraudsters in Canada, but so much of this is, it's global. So it could be the person or the couple individuals who design and operate that phishing-as-a-service platform. They may be in another country. Some of the users are in different countries. And so for law enforcement, which traditionally is operated by very defined physical jurisdictional boundaries, that makes it really challenging for us. And that is one of the main roles of my organization, is to bring all those entities together to chart a path forward about how you go after certain criminals or certain criminal groups in the most effective manner. And tie in private sector and other pieces to that. I think I would also mention that the sophistication that that is going to increase. I would say, in terms of like law enforcement and other entities, they are starting to use more advanced technologies too, like it's all going to be about trying to share as much information as legally as entities can so that this stuff could be detected before a transaction goes through or before someone gets victimized. So I think that's a positive trend, is that the community is adopting more technology to do things at greater scale and faster. But we're sort of focusing as much as possible on having these big impact results against these cybercrime-as-a-service platforms or phishing-as-a-service platforms and as much as possible, at the same time helping Canadians so that they don't fall victim. And then if they're in the midst of an incident, trying to help them as well.

AL: Aaron, obviously the bank also plays a role in preventing scams. What are financial institutions doing and what are some of the challenges there?

AM: Yeah, so there's a lot of things that we're working on. One of the most effective is the public private partnership that have been increasing in its reach and in the number of participants. You know, in 2024 there was Project NOVA looking at some of the phishing, a particular phishing-as-a-service platform and seeing what disruption can be brought forward there by having Scotiabank and other financial institutions sharing information with law enforcement and getting appropriate information shared back with us to be able to disrupt this type of activity. We were very happy to participate in the National Crime Coordination Centre and Canadian Anti-Fraud Centre's Maple Disruption 2025, which was another initiative aimed at bringing many organizations together across technology, telcos, financial institutions, others involved in Internet services with law enforcement to identify and disrupt fraud and scams as they're occurring.

AL: So this Maple Disruption operation, can you tell me a bit more about that?

CL: Yes, that was a operation that we hosted with law enforcement partners, private sector entities like financial institutions and even some other sectors to disrupt the activities of fraudsters. So what this was about was figuring out ways to share information about those fraud entities that are often used to victimize Canadians. So phone numbers, emails, malicious links or malicious websites, and then figure a way of reviewing those. So we at the RCMP reviewed that information that was shared by partners, and then we got that information out to some partners who could take some action against that. So whether was flagging or suspending an account or looking into it further to reduce that further victimization. And over the course of this three-day operation in December, we ended up accomplishing over 3000 disruptive actions. And so that was a success on its own. But the other piece of this was that we were able to prove that this could work as a concept to bring all the partners together. And now we want to see how can we scale this and do even more to go after the cyber criminals and keep Canadians safe.

AM: And those types of engagements really help build the partnerships that are needed to work across jurisdictions and across sectors and to develop the muscle memory to combat this in a way that is not just one organization, because the criminals that are attacking our clients are not siloed in that manner. And so we have to make sure that we're not siloed in that manner. It's also about education. So in our January survey, that was something that we saw as well is that Canadians are looking to the banks to provide information about the types of scams that are occurring and how they can best protect themselves, including in email education. And so we do that. We'll send out email information about what's occurring and how to protect yourself. We'll certainly update content on our website, but we look to go well beyond that as well with regular posts on social media sharing key messages in different formats, including this, and participating in other organizations. So Scotiabank was a founding member of the Canadian Anti-Scam Coalition. This is a coalition that was recently launched, partnering with telcos, with technology companies and other financial institutions to make sure that we are working together with a common message for education and awareness. But beyond education and awareness, it's also about sharing information and sharing intelligence within the bounds of the law and advocating where appropriate for policy changes that help our organizations better protect consumers and businesses.

AL: Yeah, clearly a multipronged effort from many partners, many partnerships, but also just raising awareness in any way possible. Chris, I wanted to talk to you about what some other jurisdictions are doing and what Canada can learn from them.

CL: Yeah, unfortunately there are a number of jurisdictions that are facing similar type challenges that we are just high volumes of fraud impacting their citizens and what have you. There's some great lessons to learn from what Australia has done and what they are doing. They've done some really great work to increase sharing amongst financial institutions and others and law enforcement. Some of the laws in Canada do limit that. And so they've really looked at tackling that and then just how they come together to go after cybercriminals and fraudsters is quite impressive. And we worked very closely with them on a number of files. Also, I would say in Europe there is what's known as Europol, which is the European Union's coordination body for policing activities. We have we have representatives there, Canada as a third party is very tied into that, and they've done some great work of creating these multi-national operations to go after cyber criminals and fraudsters. Canada, the RCMP, we have we have two people full time who sit at what we call the Joint Cybercrime Action Task Force in The Hague in the Netherlands, in a big room with most of the other countries of the EU, and they can turn to one another to share information and help move investigations forward. So, and a good example that would be a project, and Aaron alluded to it as well, against one of these phishing-as-a-service platforms known as LabHost. So LabHost was a platform that victimized a huge number of Canadians. We think at one point maybe a million Canadians fell victim to these fake bank and other types of login pages. So there was a multinational operation that took down that site and the infrastructure behind that. And then we were we were part of that to a certain degree. And then we started we started looking and working with those law force partners about the users and who was actually on this platform. And we found a significant number of users here in Canada. So we started working with a bunch of domestic police partners as well as financial institutions and others, to say, ‘Hey, let's go after some of these users.’ So ideally we can pursue investigations that lead to arrests, and search warrants, to prosecutions. And we did that in April 2025, worked with a bunch of partners and a week of action. We had we had over 100 different police actions happening during that week. And it not only went over, some went after some of the highest end users of that platform, but what we saw in the data, there were a lot of folks, including relatively young Canadians, who were using the platform, and maybe they were just starting to dabble in this in this type of criminality. And so what we did is we worked with police partners and say, can you go to this person's residence, knock on their door and say, like, ‘it's probably in the best interest that you cease and desist this type of activity.’ So we did that over 30 times. And why highlight that is, yes, we want where we can to prosecute criminals but if we've got this issue of people, you know, it's too easy to get involved in this type of criminality. We want to get young people particularly early on and divert them before they become a really hardened hacker or fraudster. And so we built that into this Project NOVA that went after the LabHost platform and the users. So that was a really successful one great aspect was we worked really close with the financial institutions on this. They shared some threat information early on, and then even as we saw this, we were able to uncover the victimization. We engage the banks and say, ‘Hey, did you see this on your end? Did your clients report it to you?’ And that just opened up so much more operational collaboration. And it was a great example of what's possible when public and private come together and have some trust and work within the legal confines that exist.

AL: That's amazing to be able to coordinate those efforts on that many levels, but also to stop it before the problem gets even bigger. That's really impactful.

AM: And if I if I can, even reflecting and thinking back to what Chris said there, to know that there may be may have been thousands of users in Canada paying a monthly subscription to a service that allows them to defraud others in Canada – like that's what we're up against and they're getting more sophisticated. So the types of disruption activity that we can get from working together between the public-private partnerships is something that no one organization could achieve alone.

AL: And Chris, over to you. I wanted to go back to something you were talking about, just about reporting. You have to know the scale of the problem and most of it still, even as much as we're talking about it, goes unreported. And the Canadian Anti-Fraud Centre recently launched a revamped online report portal. Can you talk about why that's important?

CL: Yes. So the main challenge I did get into is that we have this under-reporting problem. So, you know, I mentioned we think for 2025 that we think the losses will be in the neighborhood of $730 million. We only think that represents maybe between 5-10% of the actual thing. And that's not even sort of if it's a cybercrime attack of rebuilding systems or business interruption losses. That's just money or cryptocurrency being stolen or being sent. One large reason people don't report is shame. They feel they got duped. Some folks, senior folks, don't want to tell their children that they fell for something. And what we try and do is take the shame out of this like everybody can be hacked and fall for this. It's not one group that's more prone to falling for it than others. It's also people don't think police could do anything about it. That is another reality of this. They think, well, you know, I lost $500. What are police going to do about it? And so to make it easier for Canadians to do that, we recently launched a new online reporting system. We refer to it as reportcyberandfraud.canada.ca, Report Cyber Fraud. And what we've done is made it about as user friendly and easy as possible for Canadians to report. So and we've done it in a way that if you're a business, you can report there's a there's a line, a workflow for that. If you’re an individual who is victimized, you can report as well. But maybe you need or want to report on someone on their behalf, maybe your parents or what have you. So we've got that function and then we even added a ‘I witnessed something.’ So you maybe didn't get victimized, but you got an email or text with that malicious link and you're like, ‘I just want I want somebody to do something about this or at least know about that.’ So that the real benefit is that when we get that data, we ingest it and then we can see linkages, how it connects to other incidents that report it, or maybe a file that one of our European partners is working on. And so through that reporting, it really helps us paint a picture of what's happening not only nationally, the trends of what's the latest scam. We can see the latest trends or the latest type of scams that are impacting Canadians and then quickly pivot to either get information out to partners to watch out for this or to the Canadian public in general through social media or working with the coalition against scams, the Canadian Anti-Scam Coalition. So reporting is immensely important. It will help us address fraud.

AL: Let's switch gears slightly just to talk about prevention. Hopefully you just never get to that point where you have to report something. So, Aaron, what are your biggest tips for helping people avoid falling victim.

AM: Being armed with information on what type of scams are out there. How they happen is really helpful in making sure that people can recognize them when they're happening. So it's useful to understand that there's a lot of information about us individually that's already out there and potentially in the hands of those that would try to scam us. Chris talked about all the breached data that exists and how that gets pieced together. We're seeing a lot of that. And so that's important to know as part of prevention that just because somebody has some information about you, they may call or send an email and that includes some information that about you personally, about a residence, about a phone number, you know, part of a bank card number. And that alone shouldn't any longer confer credibility. So prevention means recognizing that a lot of that information is compromised and still being skeptical. I would say that there's the best practices around using multifactor authentication wherever it's available. Prevention includes talking to friends and family about what you've seen. You did that, you described during earlier in the session some of what your family has experienced, and being able to share those stories with others helps them recognize that that helps remove some of the stigma that Chris talked about and make sure that people understand that the criminal activity is the negativity. But somebody having experienced this, whether they were targeted or whether they fell victim, there shouldn't be shame in discussing that. And that does help with prevention because other people learn from what they hear in those experiences.

AL: A population that is unfortunately often targeted are seniors. Can you tell me a bit more about that?

AM: Yeah. One aspect of that is making sure that we're providing information in appropriate formats and tailoring our response, including if there has been a fraud claim or as we're sharing fraud prevention information in formats that are most appropriate for a senior audience. Some of that may include information sessions at senior living centres, providing information in branches that is easily accessible to seniors.

AL: And Chris, how about you? You've seen it all. What are some tips for listeners, things that you know, you wish people knew or would do?

CL: I'm going to give some advice from two perspectives. One is what I'll say is some technical or safeguards, which they're actually not that complicated to do. And then I'm also going to give some advice from a behavioral perspective. As Aaron mentioned, really important to have things like multifactor authentication. When you log into your bank now, most types of log in services or services have that built in, which is great. Passwords. Passwords are challenging. Everything requires a password nowadays. There's actually a move where we can move to another technology called passkeys, which eliminates the need for multiple passwords. If you are going to stick with a password, you need an individual password for each login that you do. You do not want one password for all your services because with one breach of that, you do not want that data being out there. One other I would say is having good just general cybersecurity and cyber-hygiene practices. I won't get into it too much, but there's great resources either on the Canadian Anti-Fraud Centre website or Get Cyber Safe, which is run by the Canadian Centre for Cybersecurity. Great resources and a lot of them are not really hard to implement. I would say for listeners out there who might be a business, I think one thing you have to say is you need to think about some training for your employees. That's probably already happening. You need to have probably a higher level of cybersecurity just generally in protecting your networks and then even make sure that you've got some of the right processes in place that maybe before maybe you had a process of like one person could authorize a transfer of a large sum of money. We know fraudsters will do what we call a business email compromise, where they will convince they will hack in or use a spoofed email to convince one employee of the company that they're the chief accounting officer or what have you, and that they need to send that money, you know, by the end of the day, with some urgency involved. So, have the right processes in place that that one person isn't just the single point of failure on the behavior side. A lot of what the fraudsters do is they try to leverage some kind of emotional response for us to act really quickly or scare us. So just think about it. No bank or someone who's being impersonated is going to force you to do something really urgently. So we always advise people, just take a breath, just take some time, take five minutes, don't react right away, and maybe you'll be able to figure it out. Trust your gut if something doesn't seem right, trust your gut. If not, talk to someone. Call a family member, maybe call the bank. Call the Canadian Fraud Centre if you really think it's fraudulent. Take a little bit more time and think things through. And then finally, report it. If we can get more Canadians to report what's happening, even if they don't fall victim, we're just going to be more overall prepared as a country. Everyone's got a role in this. If listeners can do those kind of things, they're going to be way more prepared and able to defend themselves.

AM: If I may, too, I think that it's important to recognize where something might be in progress so that you can disrupt it earlier. So things like paying attention to notifications that you might receive from your financial institution that describe changes to limits or transactions that are occurring on your account. And if those are concerning, then contacting your financial institution at the number on the back of the card to make sure that those can be reported. So reviewing financial activity both as you get alerts as it's happening, but also on a regular basis, can help minimize damage if there's already a scam or fraud that's started to impact someone. One more thing to add is if you receive a phone call claiming to be from an organization, whether it claims to be from your bank, a government organization or anyone else, you can't trust the call display. So even if the call display suggests that you're getting a call, for example, from Scotiabank, you can't trust that call display. So it's important to know not to provide any information on that call that is sensitive, not to provide OTP codes, not to provide banking credentials or other personal information. If there's any question that you've got regarding the call that you're receiving, it's best to simply hang up and call that organization back at a number that you know to be valid.

AL: And OTP is… one time password?

AM: That's right. That's a one time password sometimes referred to as a one time password, OTP, or one time code, OTC, that someone uses to verify themselves.

CL: So I’d add one more, and a very simple thing, but it can be incredibly impactful is I would encourage families to have what I call a safe word or a confirmation word, something that you don't use readily in your day-to-day discussions. You need to really validate that it's a family member at the other end of a text or over a phone call that you have a safe word that only you and your family would know. I would encourage families to have that, including with like with senior parents. That could go a long way to reducing things like the emergency scam and what have you.

AL: Definitely. And back to you, Aaron. Is there a place that the Bank has set up for resources on fraud and what you can do?

AM: Yes, Scotiabank.com/security there's lots of information. We update it fairly regularly to make sure that there's content on what scams are happening now, what fraud is happening now, what prevention tips can people be aware of? What steps can people take to reduce the likelihood that they'll fall victim, so that content is there.

AL: So, in general, for tips to avoid falling victim: good cybersecurity hygiene like passwords, two factor authentication, make sure you educate yourself, take a beat, if it's too urgent, it doesn't need to be, just take a moment and think it through. And lastly, have a plan with your family to just make sure that if there's any confusion, there's a way to verify it.

CL: Yes, I think those are all great. And I would say talk about this, talk about this regularly. If you asked me a couple of years ago, was this a dinner table conversation? I would say probably not. Now it is. I hear people talking about fraud impacting themselves or their loved ones all the time. And the more we talk about it, the more how we combat it becomes more commonplace. There was a time in this in most countries where people didn't wear seatbelts or it was sort of optional, and now almost every individual doesn't think twice about it when they get in the car and seatbelts go on. So we need to have that equivalent of like how we prepare ourselves and make ourselves safe in addressing fraud.

AL: I think that's a good place to leave it. Thank you both, Aaron and Chris, for walking us through the ever-changing fraud landscape and helping our listeners with some useful tips to avoid being a victim.

AM: Thanks for having me on.

CL: Thank you for having me.

AL: I've been speaking with Aaron McAllister, Vice President of Fraud Threat Management at Scotiabank, and Chris Lynam, the Director General of the National Cybecrime Coordination Centre and the Canadian Anti-Fraud Centre with the Royal Canadian Mounted Police.

La transcription suivante a été générée à l'aide de la traduction automatique.
 

Armina Ligaya : La plupart d'entre nous connaissent quelqu'un qui s'est fait arnaquer. Ou peut-être qu'on est tombés dans une arnaque nous-mêmes. Qu'il s'agisse d'un texto concernant une livraison supposée ou d'un site web d'entreprise qui semble presque authentique jusqu'à ce que vous remarquez une lettre manquante, les fraudeurs deviennent de plus en plus sophistiqués. Certains font même une entreprise à partir de leurs méthodes, vendant leurs méthodes à d'autres arnaqueurs.

Chris Lynam : Vous pourriez être un fraudeur cybercriminel de bas de gamme, et en payant cet abonnement mensuel, vous pourriez créer des pages de connexion bancaires très réalistes ou de nombreuses entreprises différentes, puis vous les envoyeriez en spam aux Canadiens.

AL : C'est Chris Lynam, directeur général du Centre national de coordination de la cybercriminalité et du Centre canadien antifraude à la Gendarmerie royale du Canada. L'innovation n'est qu'une des nombreuses raisons pour lesquelles la fraude ne disparaîtra pas.

CL : J'aimerais parfois qu'ils utilisent leurs compétences pour le bien, car ce sont parmi les personnes les plus innovantes sur la planète et malheureusement, ils ciblent les Canadiens à un rythme record.

AL : Ensuite, il y a l'intelligence artificielle, qui sert à cloner des sites web ou à créer des vidéos deepfake.

Aaron McAllister : On en voit déjà des exemples et ça ne fera que devenir plus sophistiqué.

AL : Voici Aaron McAllister, vice-président de la gestion des menaces de fraude chez Scotiabank. Il affirme que les arnaques d'usurpation d'identité, comme se faire passer pour un employé de banque, sont de plus en plus courantes.

AM : Donc, on voit un grand nombre de ces types d'arnaques d'imposteur, parfois même en se faisant passer pour des amis ou de la famille.

AL : Mars est le Mois de la prévention de la fraude, et Aaron et Chris sont nos invités dans cet épisode pour parler des dernières arnaques, comment se protéger et quoi faire si vous vous faites arnaquer. Je suis Armina Ligaya et voici Perspectives.

Aaron, Chris, bienvenue à l'émission.

AM : Merci de nous recevoir.

CL : Oui, merci de nous recevoir.

AL : Chris, commençons par toi. Pourquoi ne pas nous parler un peu de ton travail et de ce que tu fais.

CL : Oui, merci. Alors, Chris Lynam, je suis le directeur général du Centre national de coordination de la cybercriminalité. Je dirige aussi le Centre canadien anti-fraude ici à la GRC. Deux unités qui se concentrent vraiment sur la réduction de l'impact de la cybercriminalité et de la fraude sur les Canadiens. Cela va de travailler avec tout un groupe de partenaires policiers pour traquer ces cybercriminels et fraudeurs, à essayer d'aider les gens à rester en sécurité en ligne ou lors de leurs transactions financières. Et nous essayons aussi autant que possible de travailler avec le secteur privé et d'autres partenaires, car cela nécessite collectivement plusieurs organisations et personnes différentes qui travaillent ensemble, si nous voulons arrêter le niveau de victimisation que nous voyons partout au Canada.

AL : Bien sûr. Et vos chiffres du Centre canadien antifraude montrent que les pertes résultant de la fraude – et ces chiffres sont stupéfiants – et que les arnaques continuent d'augmenter. Pouvez-vous m'en dire un peu plus à ce sujet?

CL : Oui, malheureusement, vous avez tout à fait raison. En 2024, nous avons enregistré près de 650 millions de dollars de pertes qui ont été signalées au Centre canadien antifraude. Donc, c'est seulement quand quelqu'un nous rend compte, que ce soit un individu ou une entreprise. Vous savez, « J'ai envoyé cet argent à un fraudeur » ou « cet argent a été volé sur mon compte bancaire » ou « J'ai payé une rançon, en termes de cybercriminalité ». Nous n'avons pas encore complètement finalisé les chiffres pour 2025, mais nous pensons que ce sera autour de 730 millions. Donc tu as raison, ça va augmenter et je suis sûr qu'on va expliquer les raisons derrière ça. Mais cela renforce vraiment la nécessité qu'au niveau individuel et commercial les gens fassent tout ce qu'ils peuvent pour éviter d'être victimes, et que d'autres, travaillant dans ce que j'appelle l'écosystème de la fraude, passent à l'action et ont cette approche collaborative pour trouver des moyens innovants de s'en prendre à certains de ces fraudeurs,  J'aimerais qu'ils utilisent parfois leurs compétences pour le bien, car ce sont parmi les personnes les plus innovantes que nous affrontons sur la planète, et malheureusement, ils ciblent les Canadiens à un rythme record.

AL : Nous allons certainement aborder les tendances et les arnaques que nous voyons de plus en plus. Mais peut-être à toi, Aaron. Pourquoi voyons-nous une telle augmentation non seulement des chiffres, mais pour moi, on en entend parler davantage?

AM : Oui, je pense qu'on en entend parler plus parce que ça arrive plus souvent. Les chiffres de Chris le reflètent. Et je pense que les chiffres ne feront qu'augmenter à mesure que l'efficacité de la collecte de rapports s'améliorera. Pourquoi cela arrive-t-il? Je pense que nous avons aussi assisté à un changement avec plus de multinations du crime organisé participant à des arnaques et des fraudes, y compris au Canada. Donc c'est géré davantage comme une entreprise, ce qui augmente le nombre de personnes affectées. Les types d'arnaques que nous voyons et la sophistication technique que cela implique.

AL : Regardons ce que nous avons vu au cours de la dernière année. Chris, quelles tendances as-tu observées en matière d'arnaques en 2025?

CL : Oui, donc, comme ce qu'Aaron a dit, un suivi est que nous avons vu une tendance où l'industrialisation, c'est une excellente façon de la représenter, Aaron, où vous voyez la fraude en tant que service, où un groupe central de cybercriminels ou de fraudeurs créent un moyen pour que d'autres fraudeurs de bas niveau puissent tirer parti de ce service. Et ils n'ont pas besoin de beaucoup de connaissances techniques pour cela. Un projet sur lequel nous avons travaillé avec des institutions financières et de nombreux partenaires des forces de l'ordre visait certaines plateformes de phishing en tant que service. Donc, ce que ces plateformes offriraient, c'est que pour un abonnement mensuel bas, vous pourriez être un fraudeur cybercriminel de bas de gamme et cela vous permettrait, en payant cette description mensuelle, de créer des pages de connexion bancaires très réalistes ou de nombreuses entreprises différentes, puis vous les envoyiez aux Canadiens, vous savez, dans tous ces textos SMS ou courriels qu'on recevait, et ils tombaient dans le panneau à un rythme incroyable. Et il n'y a aucune honte à cela – ces pages ressemblent à de vraies pages. Nous avons donc consacré beaucoup d'efforts à essayer de répondre à ce genre de menaces. On a aussi vu une autre tendance autour des arnaques à thème d'investissement ou de crypto, où il y a une pub ou quelque chose que tu vois en ligne, ou peut-être que tu es dans un groupe WhatsApp où quelqu'un vient te dire : « Hé, tu veux faire de l'argent facilement? » Commence seulement avec 250 $. Peut-être que financièrement tu cherches à gagner rapidement. Tu donnes cet argent. Du jour au lendemain, vous recevez une réponse disant que votre argent a doublé et il y a une plateforme fausse très sophistiquée qui vous montre combien d'argent vous avez gagné du jour au lendemain. Et puis les fraudeurs vous recontactent et disent : « il y a encore plus d'opportunités ici. Que dirais-tu de 250 de plus? » Et avant même de s'en rendre compte, les gens sont déjà des milliers, voire des dizaines de milliers sur cette plateforme avant d'essayer de retirer l'argent ou quelque chose du genre. Et puis ils réalisent que tout cela n'était qu'une arnaque. Donc, parmi les pertes financières que nous avons rapportées, la fraude à thème crypto et d'investissement est la plus forte perte, soit presque la moitié de ce que nous voyons en termes de pertes. Les gens perdent toutes leurs économies à cause de ça. Un autre thème est très pertinent pour vous. On voit beaucoup d'enquêteurs bancaires ou d'usurpation d'identité d'employé de banque. C'est devenu très sophistiqué. Ce n'est pas là que les gens appellent ou contactent des gens sans prévenir. Ils présentent des informations légitimes sur le client à la victime. Ça rend ça un peu plus réaliste. Et cela, malheureusement, est le résultat de tant de données volées au fil des ans. Et que ce soit les identifiants ou simplement des informations personnelles sur les gens, les cybercriminels sont devenus très doués pour récolter ces données puis les mettre en vente afin que d'autres puissent ensuite exploiter pour faire des choses comme l'usurpation d'identité bancaire ou les arnaques des enquêteurs bancaires.

AL : Ces arnaques reflètent vraiment à quel point la fraude est devenue sophistiquée, surtout la première. Non seulement ils escroquent les gens maintenant, mais c'est aussi une affaire d'aider les autres à les escroquer. C'est déconcertant.

CL : Je suis d'accord. Et, de notre point de vue, c'est effrayant dans le fait que, encore une fois, on n'a presque pas besoin de compétences techniques pour faire ça. Donc, ça veut juste dire que plus de gens qui veulent se lancer dans ce genre de criminalité peuvent le faire. Donc, encore une fois, pour renforcer, si nous voulons arrêter cela, nous devons adopter une approche très multifacette, en travaillant très étroitement avec les institutions financières, d'autres forces de l'ordre nationales et internationales. Pour élaborer ces stratégies, nous allons s'attaquer aux cybercriminels et aux fraudeurs, mais nous allons aussi essayer de faire des efforts pour les prévenir afin qu'ils ne deviennent pas victimes. Et même dans certains cas, ils ont la capacité d'engager les victimes au moment où elles sont au milieu d'un incident de fraude. Parfois, on appelle des victimes parce qu'on obtient des renseignements qui semblent être une arnaque. Et ils ne le savent pas. On les appelle sans prévenir. Et parfois, ils ne prennent pas nos appels parce qu'ils ne nous croient pas, ils pensent qu'on essaie de les arnaquer. Mais quand on arrive à les atteindre, malheureusement, il y a beaucoup d'histoires d'horreur où ils ont ce moment « aha », genre, « oh mon Dieu. » Et parfois, il est très difficile de les convaincre que ce n'est pas légitime.

AL : Aaron, à toi. Vous avez parlé un peu de certaines tendances que nous avons observées. Mais quelles sont les plus marquantes? Quelles sont les arnaques que vous voyez sans cesse?

AM : Je dirais qu'il y a beaucoup de chevauchement entre ce que Chris a décrit et ce que nous voyons. Donc, les plus grands événements ou moteurs de perte sont les arnaques à l'investissement et les arnaques crypto. C'est souvent d'autres types d'arnaques et de fraudes, y compris, comme Chris l'a mentionné, ce type d'arnaques d'usurpateur d'imposteur, que ce soit un usurpateur de banque qui a malheureusement été populaire, ainsi que d'usurpation d'identité d'agences gouvernementales, d'employeurs ou d'agences de recrutement, qui a aussi été très populaire. Nous voyons donc un grand nombre de ce type d'arnaques aux imposteurs, allant même jusqu'à se faire passer pour des amis ou de la famille dans certains cas, dans le cadre de ce qu'on appelle une arnaque d'urgence. Cela se poursuit aussi dans nos données.

AL : Oh, absolument. En fait, personnellement, je pense avoir reçu des textos ou des messages ou certains de ces sites qui ont l'air très, très réalistes. Et puis tu vas sur l'URL, tu te dis : « Oh, ce n'est pas vraiment la version officielle. » Et en fait, une petite anecdote : la fille adolescente de mon cousin s'est vraiment fait arnaquer. Ils ont reçu un texto et, tu sais, ils ont dit : « Oh, on est dans le trouble. J'ai besoin d'argent. » Alors elle a envoyé ce qu'elle avait. Elle avait 30 $. Mais, on pense à qui sont généralement les victimes. Peut-être qu'ils sont des finissants et qu'ils ne sont pas à l'aise avec le numérique. Mais ma nièce est assez futée. Et est-ce que cela évolue aussi, les types de victimes qui tombent dans le panneau?

AM : Oui, la Banque Scotia a fait un sondage en janvier et a révélé que quatre Canadiens sur cinq ont déclaré avoir été ciblés dans une arnaque provenant de divers canaux. 19% ont dit qu'ils étaient tombés dans une arnaque ou une fraude quelconque. Et la catégorie d'âge, peu importe dans quel groupe d'âge vous appartenez, il y a différents types d'arnaques pour vous. Donc il n'y a pas de défense juste parce que vous êtes plus jeune ou plus âgé. Il est important de connaître les différents types d'arnaques qui existent. Et comme Chris l'a mentionné, il existe tout un écosystème criminel autour de la création de composantes d'arnaques qui peuvent être utilisées par des criminels moins sophistiqués.

AL : On a parlé un peu de ce qu'on a vu en 2025, de ce qu'on pourrait voir en 2026? Y a-t-il quelque chose de vraiment à la fine pointe, quelque chose de nouveau qui vient d'émerger en termes d'arnaques? Chris, on commence avec toi.

CL : Oui, je pense qu'on a presque passé 15 minutes à discuter sans mentionner l'intelligence artificielle, mais l'intelligence artificielle de plusieurs types est exploitée par des fraudeurs et des escrocs. Maintenant, je reviens à ce système d'hameçonnage en tant que service où tu pouvais choisir la page de connexion bancaire que tu voulais usurper. Maintenant, ces cybercrimes en tant que service ont de l'intelligence artificielle en arrière-plan, donc vous n'avez même pas besoin de choisir dans un menu. Il suffit de leur dire quel type de page web ou de page de connexion vous voulez usurper et il le générera à la volée. Alors tu vois ça. Je m'inquiète beaucoup de la direction que prennent la technologie et l'industrie en ce qui concerne l'utilisation des agents d'IA. Elles seront parfaites pour aider les Canadiens, vous savez, à réserver une réservation au souper. Mais en même temps, on voit des preuves où ils sont utilisés, ces agents sont utilisés et modifiés par des fraudeurs et des cybercriminels pour faire le type de victimisation que j'ai mentionné, presque entièrement automatisé. Donc, vous savez, aller voir un agent, un agent IA, et lui dire : « Je veux que vous créiez une campagne marketing pour Aaron qui, basée sur son profil sur les réseaux sociaux, de ce que vous pouvez trouver sur le web à son sujet, qu'il cliquera sur ce lien pour acheter ce produit. » Et ainsi de suite, de façon presque entièrement automatisée. Donc, malheureusement, nous ne faisons que voir le début de la quantité d'intelligence artificielle exploitée par les fraudeurs, ce qui renforce encore plus l'importance que les gens soient très méfiants quant à leur fonctionnement en ligne.

AL : Et Aaron, qu'est-ce que vous voyez en 2026?

AM : Oui, la technologie continue a permis les arnaques, c'est certain. L'utilisation de l'IA, comme Chris l'a mentionné, nous en voyons déjà des exemples et cela ne fera que devenir plus sophistiqué. Cela inclut une combinaison de parole synthétique comme le clonage vocal, l'intégration de vidéos deepfake dans la façon dont ces messages sont transmis aux gens sur les réseaux sociaux via la publicité numérique. Une des premières fois où Chris et moi nous sommes connectés, c'était il y a quelques années sur une de ces plateformes de phishing en tant que service. Et comme Chris l'a mentionné, ce type de plateformes inclut maintenant des composantes d'IA pour la conception. Nous voyons un avenir où ces éléments deviendront de plus en plus connectés, à la fois dans le développement de l'appât, si on veut, ainsi que dans la recherche des victimes à cibler et des canaux de communication pour les atteindre, y compris obtenir les réponses, voire l'exploitation. Nous voyons des signes que cela devient de plus en plus automatisé. Elle est améliorée grâce à l'IA et ces composants sont connectés ensemble pour un écosystème d'arnaques plus efficace.

AL : Comment combattez-vous cette menace en constante évolution, Chris? Quels sont les plus grands défis pour les forces de l'ordre canadiennes dans la lutte contre ces fraudes et arnaques?

CL : Oui, nous faisons face à beaucoup de défis simplement en termes de volume, que ce soit au niveau national ou aux services de police locaux. Les gens rapportent cela à un rythme record. Nous pensons toujours qu'ils ne le rapportent qu'environ 5 à 10% du temps. Donc, la plupart du temps, les Canadiens ne signalent pas. C'est donc un défi de gérer le volume énorme. L'autre aspect, c'est qu'il y a une grande part internationale dans tout ça. Donc, une partie vient des fraudeurs au Canada, mais une grande partie est mondiale. Cela pourrait donc être la personne ou les quelques personnes qui conçoivent et exploitent cette plateforme d'hameçonnage en tant que service. Ils peuvent être dans un autre pays. Certains utilisateurs se trouvent dans différents pays. Et donc, pour les forces de l'ordre, qui sont traditionnellement gérées par des limites juridictionnelles physiques très définies, cela rend la tâche vraiment difficile pour nous. Et c'est l'un des rôles principaux de mon organisation : rassembler toutes ces entités pour tracer une voie à suivre sur la façon de s'attaquer à certains criminels ou groupes criminels de la manière la plus efficace. Et relier le secteur privé et d'autres éléments à cela. Je pense que je mentionnerais aussi que la sophistication que cela va augmenter. Je dirais, en ce qui concerne les forces de l'ordre et d'autres entités, ils commencent aussi à utiliser des technologies plus avancées, comme si tout consistait à essayer de partager autant d'informations que légalement possible pour que ces informations puissent être détectées avant qu'une transaction ne soit conclue ou avant que quelqu'un ne soit victime. Donc je pense que c'est une tendance positive : la communauté adopte plus de technologies pour faire les choses à plus grande échelle et plus rapidement. Mais nous nous concentrons autant que possible sur ces gros impacts contre ces plateformes de cybercrime en tant que service ou d'hameçonnage en tant que service, tout en aidant les Canadiens pour qu'ils ne tombent pas victimes. Et ensuite, s'ils sont en plein milieu d'un incident, j'essaie aussi de les aider.

AL : Aaron, évidemment la banque joue aussi un rôle dans la prévention des arnaques. Que font les institutions financières et quels sont certains des défis à ce sujet?

AM : Oui, donc il y a beaucoup de choses sur lesquelles on travaille. L'un des plus efficaces est le partenariat public-privé, qui a augmenté en portée et en nombre de participants. Vous savez, en 2024, il y a eu le projet NOVA qui a examiné certains de l'hameçonnage, une plateforme particulière d'hameçonnage en tant que service, et qui a vu quelles perturbations pouvaient être provoquées par le partage d'informations par la Banque Scotia et d'autres institutions financières avec les forces de l'ordre et pour obtenir des informations appropriées afin de pouvoir perturber ce type d'activité. Nous avons été très heureux de participer au programme Maple Disruption 2025 du Centre national de coordination de la criminalité et du Centre canadien antifraude, une autre initiative visant à rassembler de nombreuses organisations de la technologie, des télécoms, des institutions financières et d'autres acteurs des services Internet avec les forces de l'ordre afin d'identifier et de perturber la fraude et les arnaques au fur et à mesure qu'elles se produisent.

AL : Alors, cette opération Maple Disruption, pouvez-vous m'en dire un peu plus?

CL : Oui, c'était une opération que nous avons organisée avec des partenaires policiers, des entités du secteur privé comme des institutions financières et même d'autres secteurs pour perturber les activités des fraudeurs. Donc, il s'agissait de trouver des moyens de partager des informations sur ces entités frauduleuses souvent utilisées pour victimiser les Canadiens. Donc, numéros de téléphone, courriels, liens malveillants ou sites web malveillants, puis trouvez un moyen de les examiner. Donc, à la GRC, nous avons examiné l'information partagée par les partenaires, puis nous l'avons transmise à certains partenaires qui pourraient prendre des mesures à ce sujet. Donc, que ce soit pour signaler, suspendre un compte ou enquêter dessus pour en déduire afin de réduire cette victimisation supplémentaire. Et au cours de cette opération de trois jours en décembre, nous avons accompli plus de 3 000 actions perturbatrices. Et donc, c'était un succès en soi. Mais l'autre aspect, c'est que nous avons pu prouver que ce concept pouvait fonctionner pour rassembler tous les partenaires. Et maintenant, nous voulons voir comment nous pouvons étendre cela et faire encore plus pour s'attaquer aux cybercriminels et protéger les Canadiens.

AM : Et ce genre d'engagements aide vraiment à bâtir les partenariats nécessaires pour travailler entre juridictions et secteurs, et à développer la mémoire musculaire pour combattre cela d'une manière qui ne concerne pas une seule organisation, car les criminels qui attaquent nos clients ne sont pas isolés de cette façon. Il faut donc s'assurer de ne pas être isolés de cette façon. C'est aussi une question d'éducation. Donc, dans notre sondage de janvier, nous avons aussi constaté que les Canadiens se tournent vers les banques pour fournir de l'information sur les types d'arnaques qui se produisent et comment elles peuvent le mieux se protéger, y compris dans l'éducation par courriel. Et c'est ce qu'on fait. Nous enverrons par courriel des informations sur ce qui se passe et comment vous protéger. Nous mettrons certainement à jour le contenu sur notre site web, mais nous cherchons aussi à aller bien au-delà, avec des publications régulières sur les réseaux sociaux partageant des messages clés sous différents formats, y compris celui-ci, et participant à d'autres organisations. Ainsi, la Banque Scotia était membre fondateur de la Coalition canadienne anti-arnaque. Il s'agit d'une coalition récemment lancée, en partenariat avec les télécoms, les entreprises technologiques et d'autres institutions financières afin de s'assurer que nous travaillons ensemble avec un message commun d'éducation et de sensibilisation. Mais au-delà de l'éducation et de la sensibilisation, il s'agit aussi de partager de l'information, de l'intelligence dans le cadre de la loi et de défendre, lorsque c'est approprié, des changements de politiques qui aident nos organisations à mieux protéger les consommateurs et les entreprises.

AL : Oui, clairement un effort à multiples volets de la part de nombreux partenaires, de nombreux partenariats, mais aussi de sensibiliser de toutes les façons possibles. Chris, je voulais te parler de ce que font d'autres juridictions et de ce que le Canada peut en tirer.

CL : Oui, malheureusement il y a plusieurs juridictions qui font face à des défis similaires où nous sommes simplement des volumes élevés de fraude qui affectent leurs citoyens et autres. Il y a de belles leçons à tirer de ce que l'Australie a fait et de ce qu'elle fait. Ils ont fait un excellent travail pour augmenter le partage entre les institutions financières, d'autres et les forces de l'ordre. Certaines lois au Canada limitent cela. Ils ont donc vraiment examiné comment s'attaquer à cela et comment ils s'unissent pour s'attaquer aux cybercriminels et aux fraudeurs, c'est assez impressionnant. Et nous avons travaillé très étroitement avec eux sur plusieurs dossiers. Aussi, je dirais qu'en Europe, il existe ce qu'on appelle Europol, qui est l'organisme de coordination de l'Union européenne pour les activités policières. Nous avons des représentants là-bas, le Canada, en tant que tiers, est très impliqué là-dedans, et ils ont fait un excellent travail en créant ces opérations multinationales pour traquer les cybercriminels et les fraudeurs. Le Canada, la GRC, nous avons deux personnes à temps plein qui siègent à ce que nous appelons le Groupe de travail conjoint d'action contre la cybercriminalité à La Haye, aux Pays-Bas, dans une grande salle avec la plupart des autres pays de l'UE, et ils peuvent se tourner les uns vers les autres pour partager des informations et aider à faire avancer les enquêtes. Donc, un bon exemple serait un projet, et Aaron en a fait allusion aussi, contre l'une de ces plateformes de phishing en tant que service connues sous le nom de LabHost. LabHost était donc une plateforme qui a victimisé un grand nombre de Canadiens. Nous pensons qu'à un moment donné, peut-être un million de Canadiens ont été victimes de ces fausses banques et autres types de pages de connexion. Il y a donc eu une opération multinationale qui a démoli ce site et l'infrastructure qui s'y trouvait. Et puis, on faisait partie de ça dans une certaine mesure. Ensuite, on a commencé à regarder et à travailler avec ces partenaires de la police sur les utilisateurs et sur qui était réellement sur cette plateforme. Et nous avons trouvé un nombre important d'utilisateurs ici au Canada. Nous avons donc commencé à travailler avec plusieurs partenaires policiers nationaux ainsi que des institutions financières et d'autres, pour dire : « Hé, allons chercher certains de ces utilisateurs. » Donc, idéalement, nous pourrions mener des enquêtes qui mènent à des arrestations, puis des mandats de perquisition, puis des poursuites. Et nous l'avons fait en avril 2025, travaillé avec plusieurs partenaires et une semaine d'action. Nous avons eu plus de 100 actions policières différentes durant cette semaine. Et non seulement ça a été reçu, certains ont visé certains des utilisateurs les plus haut placés de cette plateforme, mais ce que nous avons vu dans les données, c'est qu'il y avait beaucoup de gens, y compris des Canadiens relativement jeunes, qui utilisaient la plateforme, et peut-être qu'ils commençaient tout juste à s'intéresser à ce genre de criminalité. Donc, ce qu'on a fait, c'est qu'on a travaillé avec des partenaires policiers pour leur demander : pouvez-vous aller chez cette personne, frapper à sa porte et dire, genre, « c'est probablement dans l'intérêt que vous arrêtiez ce genre d'activité. » On l'a fait plus de 30 fois. Et la raison de souligner cela, c'est que oui, on veut où on peut poursuivre les criminels, mais si on a ce problème de gens, tu sais, c'est trop facile de s'impliquer dans ce genre de criminalité. Nous voulons attirer les jeunes particulièrement tôt et les détourner avant qu'ils ne deviennent des hackers ou des fraudeurs vraiment endurcis. Nous avons donc intégré cela dans ce projet NOVA qui s'en prenait à la plateforme LabHost et aux utilisateurs. Donc, ça a vraiment réussi, un excellent aspect : on a travaillé en étroite collaboration avec les institutions financières là-dessus. Ils ont partagé des informations sur les menaces dès le début, et même en voyant cela, nous avons pu découvrir la victimisation. On interagit avec les banques et on leur dit : « Hé, t'as vu ça de ton côté? Vos clients vous l'ont-ils signalé? » Et ça a ouvert beaucoup plus de collaboration opérationnelle. Et c'était un excellent exemple de ce qui est possible quand public et privé se réunissent, ont un peu de confiance et de travail dans les limites légales existantes.

AL : C'est incroyable de pouvoir coordonner ces efforts à autant de niveaux, mais aussi de les arrêter avant que le problème ne s'aggrave encore. C'est vraiment impactant.

AM : Et si je peux, même en réfléchissant et en repensant à ce que Chris a dit là-bas, savoir qu'il y a peut-être eu des milliers d'utilisateurs au Canada qui paient un abonnement mensuel à un service qui leur permet de frauder d'autres au Canada – c'est ce à quoi on fait face et ils deviennent de plus en plus sophistiqués. Ainsi, les types d'activités de perturbation que nous pouvons obtenir en travaillant ensemble entre les partenariats public-privé sont quelque chose qu'aucune organisation ne pourrait accomplir seule.

AL : Et Chris, à toi. Je voulais revenir à quelque chose dont tu parlais, juste à propos du reportage. Il faut connaître l'ampleur du problème et la plupart, même si on en parle, ne sont pas rapportées. Et le Centre canadien anti-fraude a récemment lancé un portail de rapports en ligne remanié. Pouvez-vous expliquer pourquoi c'est important?

CL : Oui. Donc, le principal défi que j'ai rencontré, c'est que nous avons ce problème de sous-déclaration. Alors, vous savez, j'ai mentionné que pour 2025, nous pensons que les pertes seront autour de 730 millions de dollars. On pense que cela représente peut-être entre 5 et 10% de la réalité. Et ce n'est même pas en partie une attaque cybercriminelle liée à la reconstruction des systèmes ou des pertes d'interruption d'activité. C'est juste de l'argent ou de la cryptomonnaie volés ou envoyés. Une grande raison pour laquelle les gens ne signalent pas, c'est la honte. Ils ont l'impression de s'être fait avoir. Certaines personnes, les personnes âgées, ne veulent pas dire à leurs enfants qu'elles sont tombées amoureuses. Et ce qu'on essaie de faire, c'est d'enlever la honte de tout ça, comme si tout le monde pouvait être piraté pour ça. Ce n'est pas un groupe qui est plus enclin à tomber dans le panneau que d'autres. C'est aussi que les gens pensent que la police ne pourrait rien faire. C'est une autre réalité de la situation. Ils pensent, ben, tu sais, j'ai perdu 500 $. Qu'est-ce que la police va faire à ce sujet? Pour faciliter cela aux Canadiens, nous avons récemment lancé un nouveau système de déclaration en ligne. Nous appelons cela reportcyberandfraud.canada.ca, Signaler la fraude cybernétique. Et ce qu'on a fait, c'est que ce soit aussi convivial et facile que possible pour les Canadiens à signaler. Donc, et on l'a fait de façon à ce que, si vous êtes une entreprise, vous pouvez dire qu'il y a une limite, un flux de travail pour ça. Si vous êtes une personne victime, vous pouvez aussi le signaler. Mais peut-être que tu as besoin ou envie de faire un rapport sur quelqu'un en son nom, peut-être tes parents ou autre. Donc on a cette fonction et on a même ajouté un « J'ai été témoin de quelque chose ». Donc peut-être que tu n'as pas été victime, mais tu as reçu un courriel ou un texto avec ce lien malveillant et tu te dis : « Je veux juste, je veux que quelqu'un fasse quelque chose à ce sujet ou au moins que ce soit au courant. » Donc, le vrai avantage, c'est que lorsque nous obtenons ces données, nous les ingérons, puis nous pouvons voir les liens, comment elles se connectent à d'autres incidents qui les signalent, ou peut-être à un fichier sur lequel un de nos partenaires européens travaille. Et donc, à travers ces reportages, cela nous aide vraiment à dresser un portrait de ce qui se passe non seulement à l'échelle nationale, mais aussi des tendances de la dernière arnaque. Nous pouvons voir les dernières tendances ou les derniers types d'arnaques qui touchent les Canadiens, puis nous nous orientons rapidement pour transmettre de l'information soit aux partenaires pour surveiller cela, soit au public canadien en général via les médias sociaux ou en collaborant avec la coalition contre les arnaques, la Coalition canadienne anti-arnaque. Donc, le reportage est extrêmement important. Cela nous aidera à lutter contre la fraude.

AL : Changeons un peu de sujet pour parler de prévention. J'espère que tu n'arriveras jamais à ce point où tu devrais signaler quelque chose. Alors, Aaron, quels sont tes plus grands conseils pour aider les gens à éviter de devenir victimes?

AM : Être muni d'informations sur le type d'arnaques qui existent. La façon dont elles se produisent aide vraiment à s'assurer que les gens peuvent les reconnaître quand elles arrivent. Il est donc utile de comprendre qu'il y a déjà beaucoup d'informations sur nous individuellement qui sont disponibles et potentiellement entre les mains de ceux qui essaieraient de nous arnaquer. Chris a parlé de toutes les données violées existantes et de la façon dont elles sont rassemblées. On en voit beaucoup. Il est donc important de savoir, dans le cadre de la prévention, que juste parce que quelqu'un a des informations à votre sujet, il peut appeler ou envoyer un courriel, incluant des informations personnelles à votre sujet, sur une résidence, un numéro de téléphone, vous savez, une partie d'un numéro de carte bancaire. Et cela seul ne devrait plus conférer de crédibilité. Donc, prévenir signifie reconnaître qu'une grande partie de cette information est compromise et rester sceptique. Je dirais qu'il y a les meilleures pratiques concernant l'utilisation de l'authentification multifacteur partout où elle est disponible. La prévention inclut de parler à vos amis et à votre famille de ce que vous avez vu. Vous avez fait cela, vous avez décrit plus tôt dans la séance certaines des expériences de votre famille, et pouvoir partager ces histoires avec d'autres les aide à reconnaître que cela aide à éliminer une partie de la stigmatisation dont Chris parlait et à s'assurer que les gens comprennent que l'activité criminelle, c'est la négativité. Mais quelqu'un ayant vécu cela, qu'il ait été ciblé ou victime, il ne devrait pas y avoir de honte à en parler. Et ça aide à la prévention parce que les autres apprennent de ce qu'ils entendent dans ces expériences.

AL : Malheureusement, une population souvent ciblée est celle des aînés. Pouvez-vous m’en dire un peu plus à ce sujet?

AM : Oui. Un aspect est de nous assurer que nous fournissons l’information dans des formats appropriés et que nous adaptons notre réponse, y compris s’il y a eu une réclamation pour fraude ou lorsque nous partageons des informations de prévention de la fraude dans des formats les plus appropriés pour un public senior. Une partie de cela peut inclure des séances d’information dans les centres de vie pour aînés, fournissant des informations facilement accessibles aux aînés dans les succursales.

AL : Et Chris, et toi? Tu as tout vu. Quels sont des conseils pour les auditeurs, des choses que vous connaissez, que vous aimeriez que les gens sachent ou qu'elles feraient?

CL : Je vais donner quelques conseils sous deux angles. L'un d'eux, c'est ce que je dirais être des mesures techniques ou de sécurité, ce qui n'est en fait pas si compliqué à faire. Et je vais aussi donner quelques conseils d'un point de vue comportemental. Comme Aaron l'a mentionné, il est vraiment important d'avoir des choses comme l'authentification multifacteur. Quand vous vous connectez à votre banque maintenant, la plupart des services ou services de connexion ont cela intégré, ce qui est excellent. Mots de passe. Les mots de passe sont compliqués. Tout demande un mot de passe de nos jours. Il y a en fait un mouvement qui nous permet de passer à une autre technologie appelée « passkeys », qui élimine le besoin de plusieurs mots de passe. Si tu veux garder un mot de passe, il te faut un mot de passe individuel pour chaque connexion que tu fais. Vous ne voulez pas un seul mot de passe pour tous vos services, car avec une seule brèche, vous ne voulez pas que ces données soient diffusées. Une autre option, je dirais, est d'avoir de bonnes pratiques générales en cybersécurité et en cyberhygiène. Je ne vais pas trop entrer dans les détails, mais il y a d'excellentes ressources soit sur le site du Centre canadien anti-fraude, soit sur Get Cyber Safe, qui est géré par le Centre canadien de cybersécurité. D'excellentes ressources et beaucoup ne sont pas vraiment difficiles à mettre en œuvre. Je dirais aux auditeurs qui pourraient être une entreprise, je pense qu'il faut penser à une formation pour vos employés. C'est probablement déjà en train d'arriver. Vous devez probablement avoir un niveau de cybersécurité plus élevé en général pour protéger vos réseaux, et même vous assurer d'avoir certains des bons processus en place, peut-être qu'avant, une seule personne pouvait permettre un transfert d'une grosse somme d'argent. Nous savons que les fraudeurs feront ce qu'on appelle une compromission par courriel professionnel, où ils vont convaincre qu'ils vont pirater ou utiliser un courriel usurpé pour convaincre un employé de l'entreprise qu'il est chef de la comptabilité ou autre, et qu'il doit envoyer cet argent, vous savez, avant la fin de la journée,  avec une certaine urgence. Alors, ayez les bons processus en place pour que cette personne ne soit pas seulement le point d'échec du côté du comportement. Beaucoup de ce que font les fraudeurs, c'est d'essayer de susciter une sorte de réaction émotionnelle pour que nous agissions rapidement ou nous effrayions. Alors réfléchissez-y. Aucune banque ou personne qui se fait usurper d'identité ne va te forcer à faire quelque chose de vraiment urgent. Alors on conseille toujours aux gens de prendre une respiration, de prendre un peu de temps, de prendre cinq minutes, de ne pas réagir tout de suite, et peut-être que vous pourrez trouver une solution. Fais confiance à ton instinct si quelque chose ne va pas, fais confiance à ton instinct. Sinon, parle à quelqu'un. Appelle un membre de la famille, peut-être la banque. Appelez le Centre canadien de lutte contre la fraude si vous pensez vraiment que c'est frauduleux. Prends un peu plus de temps et réfléchis bien. Et enfin, le signaler. Si nous pouvons faire en sorte que plus de Canadiens rapportent ce qui se passe, même s'ils ne sont pas victimes, nous serons globalement mieux préparés en tant que pays. Tout le monde a un rôle là-dedans. Si les auditeurs peuvent faire ce genre de choses, ils seront beaucoup mieux préparés et capables de se défendre.

AM : Si je peux me permettre, je pense qu'il est important de reconnaître où quelque chose pourrait être en cours afin de pouvoir le perturber plus tôt. Donc, des choses comme porter attention aux notifications que vous pourriez recevoir de votre institution financière décrivant des changements de limites ou des transactions qui ont lieu sur votre compte. Et si cela vous préoccupe, contactez votre institution financière au numéro au dos de la carte pour vous assurer que ces informations peuvent être signalées. Donc, revoir l'activité financière, à la fois lorsque vous recevez des alertes au fur et à mesure, mais aussi régulièrement, peut aider à minimiser les dommages s'il y a déjà une arnaque ou une fraude qui a commencé à affecter quelqu'un. Une chose de plus à ajouter : si vous recevez un appel téléphonique prétendant venir d'une organisation, que ce soit de votre banque, d'un organisme gouvernemental ou de toute autre personne, vous ne pouvez pas faire confiance à l'affichage de l'appel. Donc, même si l'affichage des appels suggère que vous recevez un appel, par exemple, de Scotiabank, vous ne pouvez pas faire confiance à cet affichage d'appel. Il est donc important de savoir qu'il ne faut pas fournir d'informations sensibles sur cet appel, ne pas fournir de codes OTP, ni d'identifiants bancaires ou autres informations personnelles. Si vous avez la moindre question concernant l'appel que vous recevez, il vaut mieux raccrocher et rappeler cette entreprise à un numéro que vous savez valide.

AL : Et OTP, c'est... Mot de passe à usage unique?

AM : C'est exact. C'est un mot de passe à usage unique, parfois appelé mot de passe à usage unique, OTP, ou code à usage unique, OTC, que quelqu'un utilise pour se vérifier.

CL : J'en ajouterais un de plus, et c'est très simple, mais ça peut avoir un impact incroyable, c'est que j'encourage les familles à avoir ce que j'appelle un mot de sécurité ou un mot de confirmation, quelque chose que vous n'utilisez pas facilement dans vos discussions quotidiennes. Tu dois vraiment valider que c'est un membre de la famille à l'autre bout d'un texto ou d'un appel téléphonique, que tu as un mot de sécurité que toi et ta famille seuls connaissez. J'encouragerais les familles à avoir ça, y compris avec des parents aînés. Cela pourrait grandement aider à réduire des choses comme l'arnaque d'urgence et autres.

AL : Absolument. Et à toi, Aaron. Y a-t-il un endroit que la banque a mis en place pour des ressources sur la fraude et ce que vous pouvez faire?

AM : Oui, Scotiabank.com/security il y a beaucoup d'informations. Nous le mettons à jour assez régulièrement pour nous assurer qu'il y a du contenu sur les arnaques actuelles, les fraudes actuelles, quels conseils de prévention les gens peuvent-ils connaître? Quelles mesures les gens peuvent-ils prendre pour réduire la probabilité de devenir victimes, afin que le contenu soit là.

AL : Donc, en général, pour des conseils pour éviter d'être victime : une bonne hygiène en cybersécurité comme les mots de passe, l'authentification à deux facteurs, assurez-vous de vous informer, prenez un moment, si c'est trop urgent, ce n'est pas nécessaire, prenez juste un moment pour réfléchir. Et enfin, ayez un plan avec votre famille pour vous assurer qu'en cas de confusion, il y ait un moyen de la vérifier.

CL : Oui, je trouve que c'est tous excellent. Et je dirais d'en parler, d'en parler régulièrement. Si tu m'avais demandé il y a quelques années, est-ce que c'était une conversation à table? Je dirais probablement pas. Maintenant, c'est le cas. J'entends des gens parler de fraudes qui affectent eux-mêmes ou leurs proches, tout le temps. Et plus on en parle, plus la façon dont on la combat devient courante. Il fut un temps dans la plupart des pays où les gens ne portaient pas de ceinture de sécurité ou c'était en quelque sorte optionnel, et maintenant presque tout le monde n'y pense plus à deux fois quand il monte dans la voiture et que les ceintures sont attachées. Nous devons donc avoir cet équivalent de la façon dont nous nous préparons et nous assurons de notre sécurité dans la gestion de la fraude.

AL : Je pense que c'est un bon point de départ. Merci à vous deux, Aaron et Chris, de nous avoir guidés à travers le paysage de la fraude en constante évolution et d'avoir aidé nos auditeurs avec quelques conseils utiles pour éviter d'être victime.

AM : Merci de m'avoir invité.

CL : Merci de m'avoir invité.

AL : J'ai discuté avec Aaron McAllister, vice-président de la gestion des menaces de fraude à la Banque Scotia, et Chris Lynam, directeur général du Centre national de coordination de la cybercriminalité et du Centre canadien anti-fraude de la Gendarmerie royale du Canada.