{"id":22988,"date":"2025-07-31T16:29:25","date_gmt":"2025-07-31T14:29:25","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22988"},"modified":"2025-07-31T16:29:25","modified_gmt":"2025-07-31T14:29:25","slug":"employee-handbook-phishing-scheme","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/employee-handbook-phishing-scheme\/22988\/","title":{"rendered":"Nouvelle escroquerie de phishing : des utilisateurs pi\u00e9g\u00e9s par de fausses mises \u00e0 jour des politiques RH"},"content":{"rendered":"

Nous observons depuis un certain temps d\u00e9j\u00e0 des tentatives d\u2019utilisation \u00e0 grande \u00e9chelle de techniques de phishing cibl\u00e9<\/a>. Ces tentatives se limitent g\u00e9n\u00e9ralement \u00e0 un style d\u2019email un peu plus soign\u00e9 que d\u2019habitude, imitant une entreprise sp\u00e9cifique, falsifiant l\u2019exp\u00e9diteur par du ghost spoofing<\/a>, et personnalisant le message, ce qui, au mieux, consiste \u00e0 appeler la victime par son nom. Cependant, en mars de cette ann\u00e9e, nous avons commenc\u00e9 \u00e0 remarquer une campagne particuli\u00e8rement intrigante dans laquelle non seulement le corps de l\u2019email, mais aussi le document joint \u00e9taient personnalis\u00e9s. Le stratag\u00e8me lui-m\u00eame \u00e9tait \u00e9galement quelque peu inhabituel\u00a0: il consistait \u00e0 inciter les victimes \u00e0 communiquer leurs identifiants de messagerie professionnelle sous pr\u00e9texte d\u2019un changement de politique RH.<\/p>\n

Une fausse demande de consultation des nouvelles directives RH<\/h2>\n

Voici le stratag\u00e8me. La victime re\u00e7oit un email, semblant provenir du service des ressources humaines, qui s\u2019adresse \u00e0 elle par son nom. L\u2019email informe la personne de changements apport\u00e9s \u00e0 la politique des ressources humaines concernant les protocoles de travail \u00e0 distance, les avantages disponibles et les normes de s\u00e9curit\u00e9. Il va de soi que tout employ\u00e9 s\u2019int\u00e9resse \u00e0 ce type de changements et que son attention se porte naturellement sur le document joint, dont le titre comporte d\u2019ailleurs le nom du destinataire. En outre, l\u2019email comporte une banni\u00e8re convaincante indiquant que l\u2019exp\u00e9diteur est v\u00e9rifi\u00e9<\/a> et que le message provient d\u2019une liste d\u2019exp\u00e9diteurs s\u00fbrs. L\u2019exp\u00e9rience montre que c\u2019est pr\u00e9cis\u00e9ment le type d\u2019email qui m\u00e9rite une attention particuli\u00e8re.<\/p>\n

\"Un<\/a>

Un email de phishing con\u00e7u pour attirer les victimes avec de fausses mises \u00e0 jour de la politique RH<\/p><\/div>\n

Pour commencer, l\u2019int\u00e9gralit\u00e9 du contenu de l\u2019email, y compris la banni\u00e8re verte rassurante et le message d\u2019accueil personnalis\u00e9, est une image. Il est facile de s\u2019en rendre compte en essayant de mettre en \u00e9vidence une partie du texte \u00e0 l\u2019aide de la souris. Un exp\u00e9diteur l\u00e9gitime s\u2019y prendrait autrement \u2013 ce genre d\u2019email est tout simplement peu pratique. Imaginez qu\u2019un service des ressources humaines doive enregistrer et envoyer des images individuelles \u00e0 chaque employ\u00e9 pour une annonce d\u2019une telle ampleur\u00a0! La seule raison d\u2019incorporer du texte sous forme d\u2019image est de contourner les filtres anti-spam ou anti-phishing.<\/p>\n

D\u2019autres indices, plus subtils, pr\u00e9sents dans l\u2019email peuvent trahir les pirates informatiques. Par exemple, le nom et m\u00eame le format du document joint ne correspondent pas \u00e0 ce qui est mentionn\u00e9 dans le corps du message. Mais par rapport \u00e0 l\u2019email \u00a0\u00bb\u00a0imag\u00e9\u00a0\u00ab\u00a0, il s\u2019agit de d\u00e9tails secondaires.<\/p>\n

Une pi\u00e8ce jointe qui imite les directives RH<\/h2>\n

Bien entendu, le document ci-joint ne contient pas de v\u00e9ritables directives RH. Vous y trouverez une page de titre avec un petit logo d\u2019entreprise et un en-t\u00eate \u00a0\u00bb\u00a0Manuel de l\u2019employ\u00e9\u00a0\u00a0\u00bb bien visible. Il comprend \u00e9galement une table des mati\u00e8res avec des \u00e9l\u00e9ments surlign\u00e9s en rouge comme pour indiquer des changements, suivie d\u2019une page avec un code QR (comme pour acc\u00e9der au document complet). Enfin, il y a une instruction \u00e9l\u00e9mentaire sur la fa\u00e7on de scanner les codes QR avec votre t\u00e9l\u00e9phone. Bien entendu, le code m\u00e8ne \u00e0 une page o\u00f9 l\u2019utilisateur est invit\u00e9 \u00e0 entrer ses identifiants d\u2019entreprise, ce qui est le but recherch\u00e9 par les cybercriminels.<\/p>\n

\"Un<\/a>

Le document des escrocs utilis\u00e9 comme leurre<\/p><\/div>\n

Le document est parsem\u00e9 de phrases destin\u00e9es \u00e0 convaincre la victime qu\u2019il s\u2019agit d\u2019un document qui lui est sp\u00e9cifiquement destin\u00e9. M\u00eame son nom est mentionn\u00e9 deux fois\u00a0: une fois dans la formule de politesse et une autre fois dans la ligne \u00a0\u00bb\u00a0Cette lettre est destin\u00e9e \u00e0\u2026\u00a0\u00a0\u00bb qui pr\u00e9c\u00e8de l\u2019instruction. Ah, et oui, le nom du fichier comprend \u00e9galement son nom. Mais la premi\u00e8re question que ce document devrait susciter est\u00a0: \u00e0 quoi sert-il\u00a0?<\/p>\n

En r\u00e9alit\u00e9, toutes ces informations auraient pu \u00eatre pr\u00e9sent\u00e9es directement dans l\u2019email sans cr\u00e9er de fichier personnalis\u00e9 de quatre pages. Pourquoi un employ\u00e9 des RH se donnerait-il tant de mal pour cr\u00e9er ces fichiers sans int\u00e9r\u00eat, un par un, pour chaque personne\u00a0? Pour \u00eatre francs, nous pensions au d\u00e9but que des escrocs ne se donneraient jamais autant de mal. Or, nos outils confirment que tous les emails de phishing de cette campagne contiennent effectivement des pi\u00e8ces jointes diff\u00e9rentes, chacune d\u2019entre elles \u00e9tant rattach\u00e9e au nom du destinataire. Il s\u2019agit probablement d\u2019un nouveau m\u00e9canisme d\u2019envoi automatis\u00e9 qui g\u00e9n\u00e8re un document et une image d\u2019email pour chaque destinataire\u2026 ou peut-\u00eatre simplement de cybercriminels extr\u00eamement d\u00e9vou\u00e9s.<\/p>\n

Comment se prot\u00e9ger<\/h2>\n

Une solution de s\u00e9curit\u00e9 sp\u00e9cialis\u00e9e<\/a> peut bloquer la plupart des messages de phishing sur le serveur de messagerie de l\u2019entreprise. En outre, tous les appareils utilis\u00e9s par les employ\u00e9s de l\u2019entreprise dans le cadre de leur travail, y compris les t\u00e9l\u00e9phones portables, devraient \u00e9galement \u00eatre prot\u00e9g\u00e9s<\/a>.<\/p>\n

Nous recommandons \u00e9galement de sensibiliser les employ\u00e9s aux tactiques modernes d\u2019escroquerie, par exemple en partageant les publications de notre blog, et de les informer r\u00e9guli\u00e8rement sur la cybers\u00e9curit\u00e9 en g\u00e9n\u00e9ral. Des plateformes comme Kaspersky Automated Security Awareness<\/a> peuvent vous aider dans ce sens.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Un \u00e9trange cas d’utilisation \u00e0 grande \u00e9chelle de techniques de phishing cibl\u00e9 par email.<\/p>\n","protected":false},"author":2598,"featured_media":22992,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[906,89,4545,4432],"class_list":{"0":"post-22988","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-email","11":"tag-phishing","12":"tag-phishing-cible","13":"tag-signes-de-phishing"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/employee-handbook-phishing-scheme\/22988\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/employee-handbook-phishing-scheme\/29164\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/24357\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/12596\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/employee-handbook-phishing-scheme\/29201\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/28334\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/employee-handbook-phishing-scheme\/31169\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/employee-handbook-phishing-scheme\/29847\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/employee-handbook-phishing-scheme\/40117\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/employee-handbook-phishing-scheme\/13584\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/53836\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/employee-handbook-phishing-scheme\/24017\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/employee-handbook-phishing-scheme\/32458\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/employee-handbook-phishing-scheme\/29399\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/employee-handbook-phishing-scheme\/35134\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/employee-handbook-phishing-scheme\/34774\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22988"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22988\/revisions"}],"predecessor-version":[{"id":22993,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22988\/revisions\/22993"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22992"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}