{"id":12406,"date":"2019-10-15T16:19:12","date_gmt":"2019-10-15T16:19:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12406"},"modified":"2019-11-22T08:45:59","modified_gmt":"2019-11-22T08:45:59","slug":"performance-appraisal-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/performance-appraisal-spam\/12406\/","title":{"rendered":"Hame\u00e7onnage d’entreprise d\u00e9guis\u00e9 en entretien d’\u00e9valuation"},"content":{"rendered":"

En qu\u00eate d\u2019identifiants de comptes professionnels, les cybercriminels ont mis au point de nouvelles techniques pour rediriger les employ\u00e9s vers des sites d\u2019hame\u00e7onnage. Les campagnes de spam ant\u00e9rieures se sont servies d\u2019invitations SharePoint<\/a> ainsi que de messages vocaux<\/a> comme app\u00e2ts.<\/p>\n

Nos experts ont r\u00e9cemment d\u00e9couvert un autre proc\u00e9d\u00e9 d\u2019hame\u00e7onnage\u00a0: les cybercriminels tentent d\u2019imiter le processus d\u2019entretien d\u2019\u00e9valuation de l\u2019entreprise cibl\u00e9e. Cette attaque est double\u00a0: les destinataires pensent que ce bilan (a) est obligatoire et (b) qu\u2019il peut mener \u00e0 une augmentation de salaire. Il convient de signaler que, pour certaines entreprises, ces bilans sont une pratique courante lorsqu\u2019il s\u2019agit de r\u00e9viser les salaires. C\u2019est pourquoi ils n\u2019\u00e9veillent aucun soup\u00e7on.<\/p>\n

Comme d\u2019habitude, tout commence avec un e-mail. Les employ\u00e9s re\u00e7oivent un message provenant suppos\u00e9ment des ressources humaines pour effectuer un entretien d\u2019\u00e9valuation. Le message contient un lien qui redirige l\u2019employ\u00e9 vers un site Internet sur lequel il doit remplir un \u00a0\u00bb\u00a0formulaire d\u2019\u00e9valuation\u00a0\u00ab\u00a0.<\/p>\n

Cibler les non-initi\u00e9s<\/strong><\/h2>\n

Si l\u2019utilisateur d\u00e9cide de suivre les instructions, il devra cliquer sur le lien, se connecter, attendre de recevoir un e-mail avec plus d\u2019informations puis choisir une des trois options propos\u00e9es. Cette s\u00e9rie d\u2019\u00e9tapes peut para\u00eetre convaincante pour un nouvel employ\u00e9 qui ne connait pas l\u2019entreprise et ses proc\u00e9d\u00e9s d\u2019\u00e9valuation. Seule l\u2019adresse du site Internet, qui n\u2019a aucun rapport avec les ressources de l\u2019entreprises, pourrait \u00e9veiller les soup\u00e7ons.<\/p>\n

Si les employ\u00e9s ouvrent le lien, ils arriveront sur une page les invitant \u00e0 se connecter au \u00a0\u00bb\u00a0portail ressources humaines\u00a0\u00ab\u00a0. Contrairement aux ressources d\u2019hame\u00e7onnage g\u00e9n\u00e9ralement utilis\u00e9es et cens\u00e9es ressembler aux pages de connexion des services de l\u2019entreprise, celle-ci est assez primitive. Le fond d\u2019\u00e9cran est en noir et blanc, ou d\u00e9grad\u00e9, et les champs de saisie des donn\u00e9es occupent toute la page. Par souci d\u2019authenticit\u00e9, les arnaqueurs invitent les utilisateurs \u00e0 accepter la politique de confidentialit\u00e9, et ce sans m\u00eame avoir fourni le lien qui m\u00e8ne \u00e0 ce document.<\/p>\n

\"\"<\/p>\n

\"\"<\/p>\n

La victime doit saisir son nom d\u2019utilisateur, son mot de passe ainsi que son adresse e-mail. Dans certains cas, les arnaqueurs lui demandent d\u2019entrer son adresse e-mail professionnelle. En cliquant sur le bouton Connexion ou \u00c9valuation, l\u2019employ\u00e9 permet en r\u00e9alit\u00e9 aux cybercriminels d\u2019acc\u00e9der \u00e0 ses donn\u00e9es.<\/p>\n

\u00c0 partir de ce moment, il est fort probable que cette \u00a0\u00bb\u00a0\u00e9valuation\u00a0\u00a0\u00bb prenne fin brutalement. L\u2019employ\u00e9 va attendre, en vain, la r\u00e9ception de cet e-mail qui devait contenir plus de d\u00e9tails. Dans le meilleur des cas, il se rendra compte que quelque chose ne va pas, ou enverra un message au d\u00e9partement des ressources humaines pour lui rappeler qu\u2019il n\u2019a pas encore re\u00e7u l\u2019autre e-mail\u00a0; le d\u00e9partement s\u2019occupera de le notifier au service de s\u00e9curit\u00e9 informatique. Dans le cas contraire, plusieurs mois pourraient s\u2019\u00e9couler avant que l\u2019entreprise ne se rende compte qu\u2019elle a \u00e9t\u00e9 vol\u00e9e.<\/p>\n

Les dangers du vol de comptes d\u2019entreprise<\/strong><\/h3>\n

Tout d\u00e9pend, bien \u00e9videmment, des technologies utilis\u00e9es par l\u2019entreprise en question. Une fois les coordonn\u00e9es d\u2019un employ\u00e9 obtenues, le cybercriminel pourrait commettre certains actes malveillants et envoyer, par exemple, des e-mails d\u2019hame\u00e7onnage au nom de la victime \u00e0 d\u2019autres entreprises, employ\u00e9s, partenaires ou clients.<\/p>\n

Le cybercriminel pourrait \u00e9galement avoir acc\u00e8s aux messages ou documents internes et confidentiels de l\u2019entreprise, ce qui augmenterait les chances de r\u00e9ussite de l\u2019attaque. Les messages pr\u00e9tendument envoy\u00e9s par la victime ont plus de chance de non seulement passer au travers des filtres anti-spams mais \u00e9galement de donner un faux sentiment de s\u00e9curit\u00e9 aux destinataires. Les informations vol\u00e9es pourront aussi \u00eatre utilis\u00e9es ult\u00e9rieurement pour diff\u00e9rents types d\u2019attaques cibl\u00e9es contre l\u2019entreprise elle-m\u00eame, incluant la fraude par e-mail (BEC).<\/p>\n

De plus, les documents internes ainsi que les messages des employ\u00e9s peuvent \u00eatre utilis\u00e9s \u00e0 d\u2019autres fins, comme du chantage ou pour \u00eatre vendus \u00e0 des concurrents.<\/p>\n

Comment se prot\u00e9ger des attaques par hame\u00e7onnage<\/strong><\/h3>\n

Ces attaques exploitent essentiellement le facteur humain. Par cons\u00e9quent, il est primordial que les employ\u00e9s connaissent les proc\u00e9dures et les processus de cybers\u00e9curit\u00e9 de l\u2019entreprise.<\/p>\n