Dénoncer la fraude au recrutement : se faire passer pour des entreprises réputées

Selon les dernières recherches menées par Cofense, une société américaine spécialisée dans la sécurité des e-mails et la prévention des fraudes en ligne, les pirates informatiques se font passer pour des recruteurs de prestigieuses sociétés du Fortune 500, telles que Meta, Coca-Cola et PayPal, pour approcher leurs victimes.

Ils envoient de faux e-mails de recrutement contenant des offres d'emploi attrayantes, exploitant le désir de progresser dans le secteur du marketing et des médias sociaux.

Lorsque les victimes font confiance à de faux formulaires de demande et les remplissent, elles fournissent sans le savoir des informations personnelles importantes, notamment leurs antécédents professionnels, leur formation et leurs coordonnées, ce qui permet aux pirates de commettre un vol d'identité ou de lancer des attaques de phishing plus sophistiquées à l'avenir.

L'appât parfait : les motsinviterrecrutementutiliservapeurguide

Cette campagne d’escroquerie a émergé à la fin de l’été 2024 et ciblait les professionnels salariés, notamment dans les secteurs de la finance, des assurances, de la vente au détail et de la fabrication.

Des pirates informatiques sophistiqués se font passer pour des recruteurs d'entreprises du Fortune 500, envoyant des e-mails proposant des opportunités d'emploi intéressantes avec des salaires compétitifs et de bons avantages.

Ce qui distingue cette campagne des escroqueries par hameçonnage classiques, c'est qu'au lieu de se concentrer uniquement sur le vol de mots de passe, les pirates informatiques cherchent à collecter des données personnelles précieuses.

Ils demandent aux victimes de remplir de fausses demandes, qui incluent des détails sur leur expérience professionnelle, leur formation, leurs compétences professionnelles et même leurs coordonnées personnelles.

Non seulement ces données peuvent être vendues sur le marché noir pour commettre des fraudes financières, mais elles peuvent également aider les pirates à créer de faux profils personnels pour mener des attaques ciblées à l’avenir, telles que des fraudes financières ou des attaques sur les systèmes d’entreprise où travaille la victime.

Informationpoissonpersonne : entrepôttrésorappartiennent àcroirepirate

Les données collectées à partir des CV, également appelées « informations personnelles identifiables » (PII), sont particulièrement précieuses sur le marché noir.

Contrairement aux informations de base telles que les adresses e-mail ou les numéros de téléphone, ce type de données comprend l'historique professionnel, l'éducation, les compétences professionnelles et d'autres informations personnelles détaillées, permettant aux pirates de mener des fraudes plus sophistiquées.

Cofense prévient que ces informations peuvent être exploitées pour contourner les questions de sécurité ou tromper les systèmes de vérification d'identité des banques et d'autres services en ligne.

Par exemple, si une plateforme demande aux utilisateurs de confirmer « le nom de l’entreprise pour laquelle vous avez travaillé en 2015 » ou « l’université que vous avez fréquentée », les pirates peuvent facilement répondre correctement en utilisant des données collectées à partir de fausses candidatures à un emploi.

De plus, les attaquants peuvent également profiter des informations volées pour réinitialiser les mots de passe et prendre le contrôle des comptes importants des victimes, notamment les comptes bancaires, les e-mails professionnels, les profils personnels sur les réseaux sociaux ou même les plateformes financières numériques.

Cela peut entraîner de graves conséquences telles que la fuite de données personnelles, la perte d’accès aux actifs financiers et l’exploitation pour commettre d’autres actes frauduleux.

Stratégietromperîle : CourrielindividuelchimiqueHaut

Cofense a déclaré que la campagne utilisait divers types d'e-mails pour atteindre les victimes, allant du simple et direct au très détaillé et personnalisé. Les chercheurs pensent que les pirates informatiques ont pu recueillir des informations sur les victimes via des sources de données publiques telles que les sites de recrutement LinkedIn, les réseaux sociaux ou les sites web d'entreprises.

Ces e-mails de phishing contiennent souvent des informations relatives au poste et aux responsabilités spécifiques de la victime et utilisent un jargon du secteur tel que « gestion de la relation client (CRM) », « exploration de données » ou « amplification de marque » pour accroître la crédibilité.

Après avoir ouvert l'e-mail, les victimes sont invitées à cliquer sur un lien qui les redirige vers un faux site web où elles doivent renseigner leurs informations personnelles pour postuler. Certains sites web utilisent même des tests CAPTCHA automatisés pour éviter la détection des systèmes de sécurité, ou créent des sous-domaines d'apparence légitime, ce qui rend encore plus difficile pour les victimes de se rendre compte qu'elles ont été victimes d'une arnaque.

Campagne « Fast and Furious »compact

Les sites de phishing de cette campagne se caractérisent par leur durée de vie extrêmement courte, ce qui les rend plus difficiles que jamais à détecter et à bloquer.

Selon l'analyse de Cofense, la plupart des faux sites ont été actifs pendant moins de 24 heures avant d'être fermés, certains restant même en ligne pendant seulement trois heures.

Cela signifie que les systèmes de sécurité et les experts en cybersécurité ont très peu de temps pour détecter, analyser et avertir les utilisateurs avant que ces sites ne disparaissent.

Outre Meta, la marque la plus usurpée dans cette campagne, les e-mails de phishing se faisant passer pour Coca-Cola et Red Bull ont également montré une grande efficacité.

Grâce à leur solide réputation et à leur forte présence dans le secteur de la publicité, ces noms gagnent facilement la confiance des victimes, les incitant à baisser leur garde et à fournir sans le vouloir des informations personnelles importantes.

Comment protégergardecopiefermeravantastuceéveillétromperîle

Cofense recommande aux professionnels des médias sociaux et du marketing d'être particulièrement vigilants face aux e-mails de recrutement non sollicités, même s'ils semblent provenir d'entreprises réputées. Voici quelques conseils pour les éviter :

Vérifiez à nouveau l’adresse e-mail de l’expéditeur :Assurez-vous que l'e-mail provient du domaine officiel de l'entreprise et non d'une variation subtile.

Ne cliquez pas sur les liens suspects :Si l'e-mail contient un lien de candidature, visitez le site Web officiel de l'entreprise pour vérifier les informations.

Ne fournissez pas d’informations personnelles sans vérification :Si l'on vous demande de remplir une demande d'emploi, confirmez ces informations auprès du service de recrutement officiel de l'entreprise.

Utilisez l’authentification à deux facteurs (2FA) :Cela permet de protéger les comptes personnels contre le piratage, même si les informations de connexion sont divulguées.

En bref, les campagnes d'hameçonnage deviennent de plus en plus sophistiquées, surtout lorsqu'elles ciblent des personnes détenant des informations personnelles précieuses. Soyez toujours vigilant et vérifiez les informations avant de les partager. Ne laissez pas des offres d'emploi alléchantes se transformer en pièges mettant en danger votre identité et vos biens.