Signalement d'escroquerie aux ressources humaines

Les cybercriminels continuent d'exploiter les thèmes liés au monde du travail car les employés font instinctivement confiance à tout ce qui semble provenir des services internes. L'escroquerie au faux rapport des ressources humaines en est un parfait exemple. Bien que les messages paraissent professionnels et routiniers, ils sont entièrement frauduleux et conçus pour soutirer des informations sensibles. Ces courriels ne sont liés à aucune organisation, entreprise ou prestataire de services légitime, malgré leur apparence professionnelle.

Un message trompeur déguisé en mise à jour RH

Le courriel frauduleux prétend que le destinataire a accès à un nouveau rapport mensuel de son service des ressources humaines. Selon le message, ce « rapport » inclurait des évaluations de performance, des résumés d'activités, un aperçu des congés et même une liste des promotions à venir. Ces détails sont choisis de manière stratégique ; ils paraissent crédibles et sont susceptibles d'inciter les destinataires à cliquer sans hésiter.

En réalité, ce message n'a aucun lien avec l'employeur du destinataire et le rapport est fictif. Son seul but est d'attirer les utilisateurs vers un portail d'hameçonnage conçu pour voler leurs identifiants de connexion à leur messagerie.

Le portail des faux rapports

Le lien intégré au courriel redirige les victimes vers une page d'hameçonnage imitant une fenêtre d'ouverture de document Microsoft Excel. Au lieu de charger un fichier légitime, la page invite les visiteurs à vérifier leur identité à l'aide de leur adresse courriel et de leur mot de passe. Toutes les informations saisies dans ce formulaire sont discrètement capturées et transmises aux attaquants.

Les comptes professionnels donnant souvent accès aux systèmes d'entreprise, aux lecteurs partagés et aux plateformes cloud, ces identifiants sont très précieux pour les escrocs.

Comment les comptes volés sont exploités

Une fois qu'un compte de messagerie est piraté, les dégâts peuvent rapidement s'aggraver. Une boîte de réception compromise sert de porte d'entrée vers de multiples plateformes et peut exposer des données personnelles ou professionnelles sensibles. Les attaquants tentent souvent de se déplacer latéralement au sein d'une organisation en utilisant le compte compromis comme point d'ancrage, déployant parfois des logiciels malveillants ou des rançongiciels.

Voici quelques-uns des abus les plus courants liés au vol d'identifiants de messagerie électronique :

• Accès non autorisé à des comptes liés, tels que des outils de collaboration, des services de stockage cloud, des services de messagerie ou des plateformes financières
• Infection des réseaux d'entreprise par des chevaux de Troie, des rançongiciels et d'autres logiciels malveillants
• Se faire passer pour la victime afin de demander de l'argent, des prêts ou des dons.
• Diffuser des fichiers ou des liens malveillants à des contacts
• Effectuer des achats ou des transactions frauduleuses en utilisant des comptes financiers compromis

Les victimes sont souvent confrontées à de graves atteintes à leur vie privée, à des pertes financières importantes, à des interruptions de service, voire à des vols d'identité.

Pourquoi cette arnaque fonctionne

Les attaques de phishing ciblant le milieu professionnel réussissent car de nombreux employés sont habitués à recevoir des mises à jour des RH et des documents internes. Les attaquants misent sur les habitudes numériques quotidiennes et sur la présomption de fiabilité des communications internes.

De plus, les courriels d'hameçonnage accompagnent fréquemment des campagnes de spam plus vastes qui peuvent tenter de collecter des données personnelles, de diffuser des arnaques sans lien avec le sujet principal ou de propager des logiciels malveillants. Les messages frauduleux contiennent souvent des liens ou des pièces jointes piégés, conçus pour déclencher une chaîne d'infection.

Comment Malspam diffuse des logiciels malveillants

Le spam malveillant demeure l'une des méthodes les plus courantes de diffusion de logiciels malveillants. Les attaquants utilisent de nombreux formats de fichiers pour dissimuler leurs charges utiles :

• Documents tels que des fichiers Microsoft Office, OneNote ou PDF
• Les archives de type ZIP ou RAR, ainsi que les fichiers exécutables, notamment EXE ou RUN, peuvent être concernés.
• Des scripts tels que JavaScript et des formats exécutables similaires

Lorsqu'un utilisateur ouvre l'un de ces fichiers, l'installation du logiciel malveillant démarre. Certains formats nécessitent une étape supplémentaire ; par exemple, les fichiers Office peuvent inviter l'utilisateur à activer les macros, et les fichiers OneNote contiennent souvent des objets intégrés qui activent le code malveillant lorsqu'on clique dessus.

Que faire si vous avez déjà saisi vos identifiants ?

Toute personne ayant communiqué ses identifiants de connexion via la page d'hameçonnage doit immédiatement réinitialiser les mots de passe de tous les comptes susceptibles d'être liés à l'e-mail compromis. Il est également important d'informer les équipes d'assistance officielles des services concernés afin qu'elles puissent sécuriser le compte et identifier toute activité non autorisée.

Rester en sécurité

Les courriels frauduleux étant souvent très convaincants, il est essentiel de rester vigilant face aux messages inattendus. Les utilisateurs doivent redoubler de prudence lorsqu'ils reçoivent des notifications non sollicitées, notamment celles demandant une vérification d'identité ou proposant l'accès à des documents auxquels ils ne s'attendaient pas.

La vigilance constante sur tous les canaux de communication (courriels, messages directs, SMS et autres) est l'une des défenses les plus efficaces contre les attaques comme l'escroquerie aux faux rapports de ressources humaines.