Hameçonnage d’entreprise déguisé en entretien d’évaluation

Des arnaqueurs poussent les employés à réaliser un entretien d’évaluation pour en réalité extirper les mots de passe de leur compte professionnel.

En quête d’identifiants de comptes professionnels, les cybercriminels ont mis au point de nouvelles techniques pour rediriger les employés vers des sites d’hameçonnage. Les campagnes de spam antérieures se sont servies d’invitations SharePoint ainsi que de messages vocaux comme appâts.

Nos experts ont récemment découvert un autre procédé d’hameçonnage : les cybercriminels tentent d’imiter le processus d’entretien d’évaluation de l’entreprise ciblée. Cette attaque est double : les destinataires pensent que ce bilan (a) est obligatoire et (b) qu’il peut mener à une augmentation de salaire. Il convient de signaler que, pour certaines entreprises, ces bilans sont une pratique courante lorsqu’il s’agit de réviser les salaires. C’est pourquoi ils n’éveillent aucun soupçon.

Comme d’habitude, tout commence avec un e-mail. Les employés reçoivent un message provenant supposément des ressources humaines pour effectuer un entretien d’évaluation. Le message contient un lien qui redirige l’employé vers un site Internet sur lequel il doit remplir un  » formulaire d’évaluation « .

Cibler les non-initiés

Si l’utilisateur décide de suivre les instructions, il devra cliquer sur le lien, se connecter, attendre de recevoir un e-mail avec plus d’informations puis choisir une des trois options proposées. Cette série d’étapes peut paraître convaincante pour un nouvel employé qui ne connait pas l’entreprise et ses procédés d’évaluation. Seule l’adresse du site Internet, qui n’a aucun rapport avec les ressources de l’entreprises, pourrait éveiller les soupçons.

Si les employés ouvrent le lien, ils arriveront sur une page les invitant à se connecter au  » portail ressources humaines « . Contrairement aux ressources d’hameçonnage généralement utilisées et censées ressembler aux pages de connexion des services de l’entreprise, celle-ci est assez primitive. Le fond d’écran est en noir et blanc, ou dégradé, et les champs de saisie des données occupent toute la page. Par souci d’authenticité, les arnaqueurs invitent les utilisateurs à accepter la politique de confidentialité, et ce sans même avoir fourni le lien qui mène à ce document.

La victime doit saisir son nom d’utilisateur, son mot de passe ainsi que son adresse e-mail. Dans certains cas, les arnaqueurs lui demandent d’entrer son adresse e-mail professionnelle. En cliquant sur le bouton Connexion ou Évaluation, l’employé permet en réalité aux cybercriminels d’accéder à ses données.

À partir de ce moment, il est fort probable que cette  » évaluation  » prenne fin brutalement. L’employé va attendre, en vain, la réception de cet e-mail qui devait contenir plus de détails. Dans le meilleur des cas, il se rendra compte que quelque chose ne va pas, ou enverra un message au département des ressources humaines pour lui rappeler qu’il n’a pas encore reçu l’autre e-mail ; le département s’occupera de le notifier au service de sécurité informatique. Dans le cas contraire, plusieurs mois pourraient s’écouler avant que l’entreprise ne se rende compte qu’elle a été volée.

Les dangers du vol de comptes d’entreprise

Tout dépend, bien évidemment, des technologies utilisées par l’entreprise en question. Une fois les coordonnées d’un employé obtenues, le cybercriminel pourrait commettre certains actes malveillants et envoyer, par exemple, des e-mails d’hameçonnage au nom de la victime à d’autres entreprises, employés, partenaires ou clients.

Le cybercriminel pourrait également avoir accès aux messages ou documents internes et confidentiels de l’entreprise, ce qui augmenterait les chances de réussite de l’attaque. Les messages prétendument envoyés par la victime ont plus de chance de non seulement passer au travers des filtres anti-spams mais également de donner un faux sentiment de sécurité aux destinataires. Les informations volées pourront aussi être utilisées ultérieurement pour différents types d’attaques ciblées contre l’entreprise elle-même, incluant la fraude par e-mail (BEC).

De plus, les documents internes ainsi que les messages des employés peuvent être utilisés à d’autres fins, comme du chantage ou pour être vendus à des concurrents.

Comment se protéger des attaques par hameçonnage

Ces attaques exploitent essentiellement le facteur humain. Par conséquent, il est primordial que les employés connaissent les procédures et les processus de cybersécurité de l’entreprise.

  • Rappelez régulièrement à vos employés de faire attention aux liens envoyés par e-mail et de ne les ouvrir que si leur authenticité est sûre ;
  • Expliquez à votre personnel qu’il ne faut pas saisir les détails de comptes professionnels sur des sites Internet externes ;
  • Interceptez les e-mails d’hameçonnage avant même qu’ils ne puissent atterrir dans la boîte de réception d’un de vos employés. Pour cela, installez une solution de sécurité au niveau du serveur e-mail. Kaspersky Security for Mail Server ou Kaspersky Endpoint Security for Business Advanced se chargeront de tout.
Conseils