Remain vigilant about impersonation attempts

With the back-to-school season upon us, we’re noticing an increase in the number of impersonation emails targeting Concordia faculty and staff, as well as students.

These emails claim to be from a wide variety of senior executives, faculty members, or researchers at the university but are in fact bad actors phishing for information. 

What is email impersonation?

This deceptive technique is used by cybercriminals to trick recipients into believing they are receiving a legitimate email from a trusted source.

These fraudulent emails often mimic official communication from organizations, including universities. The goal is to deceive unsuspecting individuals into revealing sensitive information, engaging in financial transactions or downloading malicious attachments. The consequences of falling victim to these scams can be severe, ranging from financial loss to identity theft.

How to protect yourself

To protect yourself against impersonation attempts (phishing), please follow these seven basic rules

1. Be suspicious of unrecognized senders, unexpected emails, and generic greetings. 
   
2. Pay particular attention to email originating from outside Concordia.
   
   These will contain the following messaging: "Attention This email originates from outside the concordia.ca domain. // Ce courriel provient de l'extérieur du domaine de concordia.ca"
3. Never reply to an official business email sent from a non-official address (eg. from a Gmail, Hotmail, or other free email provider). 
   
4. Don’t click on links or attachments in emails unless you are expecting them. 
   
5. Hover over a sender’s email address with a cursor. It can reveal inconsistencies with the name of the sender. 
   
6. Only open emails from trusted senders. 
   
7. Watch for mistakes in titles or in the content. 

If you are contacted by an individual, company, or funding agency with which you do not have an established relationship, consider that the email may be phishing or spam.

When in doubt, forward the suspicious email to help@concordia.ca and wait for instructions before proceeding.

Other ways to stay safe

Cybersecurity is everyone’s responsibility. On top of remaining vigilant when opening your email, good cyber-hygiene practices also include secure document storage, using strong and unique passwords, enabling multi-factor authentication and keeping your devices and software up to date.

In order to protect yourself and the Concordia community, we encourage students to brush up on your cybersecurity knowledge with these short information capsules. Faculty and staff can complete our impersonation awareness training as well as phishing training (which is mandatory for all Concordia employees).

For questions or concerns about the legitimacy of an email or other digital communication can, please contact IITS. 

--

Faites preuve de vigilance à l’égard des tentatives d’usurpation d’identité

Avec la rentrée, nous observons une hausse du nombre de courriels d’usurpation d’identité ciblant les membres du corps professoral, du personnel et de l’effectif étudiant.

Ces messages sont présentés comme venant de divers membres de la direction supérieure, du corps professoral ou du personnel de recherche de l’Université, mais proviennent en réalité d’hameçonneurs en quête d’information.

Qu’est-ce qu’un courriel d’usurpation d’identité?

Il s’agit d’une technique de fraude utilisée par des cybercriminels pour duper leurs destinataires et leur faire croire qu’un message est légitime et provient d’une source fiable.

Souvent, ces courriels frauduleux imitent des communications officielles émanant d’une organisation, par exemple une université. Ils visent à tromper des personnes peu averties pour les inciter à transmettre des renseignements sensibles, à effectuer des transactions financières ou à télécharger des pièces jointes malveillantes. Les victimes de ces fraudes s’exposent à de graves conséquences, allant de la perte financière au vol d’identité.

Comment se protéger

Voici sept règles de base à suivre pour vous protéger contre les tentatives d’usurpation d’identité (hameçonnage) :

1. Méfiez-vous des expéditeurs que vous ne reconnaissez pas, des courriels inattendus et des formules d’appel vagues. 
   
2. Prêtez une attention particulière aux courriels provenant de l’extérieur de Concordia.
   
   Ceux-ci contiennent la mention "Attention This email originates from outside the concordia.ca domain. // Ce courriel provient de l'extérieur du domaine de concordia.ca"
3. Ne répondez jamais à un courriel d’affaires officiel envoyé d’une adresse non officielle (par exemple, d’un compte Gmail, Hotmail ou d’un autre fournisseur de compte de courriel gratuit). 
   
4. Ne cliquez que sur les pièces jointes et les liens que vous vous attendez à recevoir. 
   
5. Placez votre curseur au-dessus de l’adresse courriel de l’expéditeur. Celle-ci peut comporter des différences avec le nom de cette personne. 
   
6. Ouvrez seulement les courriels provenant d’expéditeurs en qui vous avez confiance. 
   
7. Méfiez-vous si les titres ou le contenu comportent des erreurs. 
   

Si vous recevez une sollicitation d’une personne, d’une entreprise ou d’un organisme de collecte de fonds avec qui vous n’avez pas de relation établie, considérez qu’il peut s’agir d’une tentative d’hameçonnage, ou à tout le moins d’un pourriel.

En cas de doute, faites suivre le courriel suspect à l’adresse help@concordia.ca et ne faites rien avant d’avoir reçu des consignes.

Autres mesures de sécurité

La cybersécurité est l’affaire de tous. En plus de faire preuve de vigilance lorsque vous ouvrez vos courriels, adoptez de bonnes pratiques de cyberhygiène, par exemple en stockant les documents de manière sécuritaire, en choisissant des mots de passe uniques et robustes, en activant l’authentification multifacteur et en effectuant les mises à jour sur vos appareils et logiciels.

Afin de vous protéger ainsi que la communauté de Concordia, nous encourageons les étudiants à consulter ces courtes capsules informatives. Les employés peuvent suivre nos formations sur l’usurpation et sur l’hameçonnage (qui est obligatoire pour l’ensemble des employés de l’Université).

Pour toute question ou préoccupation au sujet de la légitimité d’un courriel ou d’une autre communication numérique, contactez IITS.