Le #opentowork sur LinkedIn est devenu un bon moyen d’attirer tous les recruteurs comme des insectes autour d’une lampe. Et, dans le tas des nombreuses offres que vous allez trouver dans votre messagerie, vous tomberez peut-être sur celle d’un cybercriminel.
La société de cybersécurité Malwarebytes a mené une enquête, publiée le 23 octobre 2024, sur les bots qui envoient automatiquement des messages à tous les comptes qui annoncent être à la recherche d’un emploi. Quelques sociétés de recrutement se sont lancées dans l’automatisation des envois d’offres, et les cybercriminels n’ont pas tardé à les suivre.
Avec U-Cyber 360°, la société française Mailinblack vous permet de protéger votre organisation et d’éduquer vos collaborateurs à la cybersécurité.
Du gestionnaire de mots de passe à la sécurisation des e-mails en passant par la formation continue ou les simulations d’attaques, cette solution regroupe tous les outils pour prévenir les risques cyber.
Ces derniers se déguisent à travers des comptes premium et des usurpations d’identité, pour rendre leur demande de phishing encore plus crédible. Les experts en cybersécurité sont, par exemple, tombés sur le profil d’une fausse recruteuse nommée « Kay Poppe » qui prétend travailler pour Amazon. La photo de profil semble avoir été générée par l’IA, et le nom Kay Poppe nous rappelle vaguement la « K-pop », le phénomène de la musique pop coréenne, ce qui laisse penser aux campagnes de piratage nord-coréennes.
Les documents contenaient des descriptions de postes et un programme malveillant pour dérober les données personnelles.
Des sites de phishing pour voler les identifiants Gmail
Dans un autre cas, le lien envoyé par le faux recruteur renvoyait vers une plateforme clone de Gmail. Une fois que la victime rentre ses identifiants, ils sont directement envoyés au malfaiteur.
« Le vol d’un compte Google n’est généralement que la première étape d’une longue chaîne menant à un compromis total. De nombreuses personnes utilisent leur adresse e-mail Google comme adresse de récupération pour un certain nombre d’autres comptes en ligne. Cela peut permettre à un criminel de réinitialiser autant de mots de passe qu’il veut », peut-on lire dans le rapport.
Jérome Segura de Malwarebytes recommande aux usagers de LinkedIn de « traiter chaque demande des recruteurs avec suspicion et prudence. N’oubliez pas que sur Internet, tout le monde n’est pas celui qu’il prétend être. »
Comme avec n’importe quel message par mail, vérifiez bien l’origine de l’expéditeur et n’hésitez pas à échanger quelques messages auparavant pour s’assurer qu’il est là pour vos talents et non vos identifiants.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !
