Escroqueries
90 000 $/an, un bureau à domicile complet et 30 jours de congés payés, le tout pour un emploi d’analyste de données junior – incroyable, n’est-ce pas ? Cette offre d’emploi et bien d’autres sont cependant fausses – conçues uniquement pour inciter les victimes sans méfiance à divulguer leurs données.
06 juin 2024
•
,
5 minutes. lire
De nos jours, chercher un emploi peut être assez difficile, de nombreux employeurs cherchant à geler les embauches ou à ne plus embaucher autant qu’avant. De plus, avec les nombreux licenciements récents, il y a plus de demandeurs d’emploi sur le marché qu’auparavant.
Pour autant, cela ne signifie pas que les entreprises cessent complètement de publier des offres d’emploi : les postes gelés peuvent rester des offres d’emploi « fantômes », même si l’entreprise ne recherche personne en particulier.
Cependant, le problème est que ces postes sont également rejoints par de faux messages prétendant être des offres d’entreprises légitimes, surchargeant les sites d’emploi. De plus, ces publicités peuvent sembler très authentiques, car les escrocs vont souvent jusqu’à construire complètement la personnalité et la vie professionnelle d’un recruteur ou d’un responsable des RH, volant parfois de véritables données en ligne sur des personnes pour ce faire.
Pourquoi? Comme toujours, l’objectif final de ces escroqueries est d’utiliser les données collectées pour obtenir une forme de gain monétaire ou autre. Et même si les fraudeurs peuvent être rusés, ils ne sont pas impossibles à repérer.
Construire de fausses identités
Comme l’a souligné Daniel Cunha Barbosa dans un précédent blog WeLiveSecurity, les gens en révèlent souvent trop sur eux-mêmes en ligne, en particulier sur des sites tels que LinkedIn, qui sert à la fois de service de médias sociaux professionnel et de site d’offres d’emploi. Cela peut permettre aux escrocs de récolter plus facilement des données, que ce soit en achetant des identifiants de compte divulgués ou en effectuant un peu de web scraping.
Par exemple, les outils de renseignement open source (OSINT) peuvent facilement aider à collecter des données à partir des profils et activités en ligne des personnes. Des logiciels tels que Maltego aident à découvrir des informations sur des personnes ou des entreprises en ligne, permettant à quiconque de se connecter et de cartographier les relations entre les sites Web, les comptes, les e-mails, les emplacements, etc.
Informations que Maltego peut cartographier. Voyez à quel point les liens avec une seule personne peuvent être vastes. (Source : Sol González/WeLiveSecurity)
En conséquence, la création de profils destinés à inciter les utilisateurs sans méfiance à simuler des emplois afin de collecter davantage de données afin de commettre davantage de crimes, tels que la compromission de la messagerie professionnelle ou diverses attaques d’ingénierie sociale, devient plus facile que jamais.
D’un autre côté, avec les outils OSINT, les gens peuvent vérifier à quel point ils sont exposés en ligne, ils ont donc également une application positive, en particulier pour les professionnels de la sécurité, qui peuvent les utiliser pour découvrir des informations sur des menaces potentielles susceptibles de perturber la sécurité de ceux qu’ils utilisent. protéger.
Repérer une fausse offre d’emploi
À quoi ressemble une offre d’emploi frauduleuse ? Cela dépend, car de faux recruteurs peuvent envoyer des messages directement aux demandeurs d’emploi et inclure un lien ou une pièce jointe malveillante dans le message/l’e-mail. À cela s’ajoutent également de fausses offres d’emploi sur les forums de recrutement, rendant les postes plus réels.
De plus, dès le début du processus de candidature, les faux peuvent aller jusqu’à demander des informations de compte bancaire ou des numéros de sécurité sociale, ce qui devrait toujours sonner l’alarme dans l’esprit de chacun.
Ainsi, pour confirmer si vous êtes sur le point d’interagir avec une offre authentique, le mieux est de vérifier :
- Si l’entreprise et la personne existent – raison sociale légale, adresse, enregistrement, présence en ligne et reportages potentiels.
- Profils de réseaux sociaux de l’entreprise/du recruteur, et recherchez les erreurs de grammaire, les dates limites étranges sur leurs publications et le manque d’activité en ligne constante (les faux profils peuvent ne pas avoir de présence en ligne régulière à long terme).
- Si elles ont réactions de vraies personnesrecommandations d’anciens employeurs et collègues, certifications, véritables réactions de leur part sur les posts des autres, etc.
- Leur autres publications sur les sites d’emploi ou activité passée – plus ils ont de messages sur d’autres forums, plus ils ont de chances d’être réels. Si vous le pouvez, vérifiez également leurs publications sur les forums locaux, mais cela ne garantit pas leur authenticité.
De petites erreurs peuvent aussi faire la différence. Les escrocs recréent souvent les pages de travail de l’entreprise pour paraître plus authentiques, mais ces pages peuvent aussi avoir certaines qualités perceptibles :
- Sécurité du site Web : Les faux sites Web peuvent ne pas disposer du certificat HTTPS, ce qui peut être le signe d’un site malveillant et non sécurisé.
- Liens: Ceux-ci peuvent avoir de nombreux signes révélateurs, comme des fautes d’orthographe. De plus, les liens ne doivent pas nécessairement vous amener au même emplacement que celui spécifié – donc avant de cliquer, survolez le lien et vérifiez l’emplacement prévu dans l’info-bulle en bas à gauche de la fenêtre de votre navigateur, comme le montre l’image ci-dessous.
- Suspect demande : Aucune entreprise ne vous demandera votre numéro de compte bancaire, votre numéro de sécurité sociale, votre pièce d’identité ou similaire lors d’un entretien pour un emploi. À moins que vous ne soyez déjà un employé (et que vous ayez rencontré des représentants RH vérifiés), il est interdit de fournir de telles informations.
- Fautes de frappe : Les faux sites Web peuvent contenir de nombreuses fautes de frappe ou de grammaire, des problèmes de style ou des changements de caractère délibérés qui peuvent passer inaperçus au début (en utilisant « 0racle » au lieu de « Oracle », par exemple).
- Réputation: Lorsque cela est possible, effectuez une vérification rapide du domaine sur un site comme who.is ou ScamAdviser.com, qui vous donnera des informations utiles sur l’enregistrement du site, son âge, etc.
Quelques conseils de base
Toute discussion sur la protection contre les arnaques à l’emploi doit couvrir plusieurs angles.
Premièrement, pour ne pas être victime d’usurpation d’identité, restreindre vos paramètres de confidentialité sur les sites d’emploi (ou sur les réseaux sociaux en général) si vous le pouvez, et ne présentez jamais volontairement d’informations personnellement identifiables en ligne, ce qui inclut tout compte ayant une visibilité publique. Comme mentionné précédemment, cela facilitera grandement la création d’un profil sur vous à l’aide des outils OSINT et des web scrapers.
Sur LinkedIn, par exemple, vous pouvez définir si vous souhaitez que votre profil soit public ou privé (visible uniquement par les autres utilisateurs de LI), ainsi que qui peut voir votre nom de famille complet et d’autres informations. Vous pouvez en savoir plus à ce sujet dans un article d’André Lameiras.
Deuxièmement, ne divulguez jamais vos données sans vérifier votre employeur potentiel. Il est assez facile de devenir la proie d’une fausse offre d’emploi, mais un signe révélateur peut être aussi simple qu’une simple offre d’emploi ou une présence en ligne inégale.
Troisièmement, méfiez-vous e-mails ou messages aléatoires avec des offres d’emploi provenant de comptes non vérifiés ou peu fiables.
Enfin, si une offre semble trop alléchant (donner un salaire supérieur à la moyenne tout en n’exigeant pratiquement aucune expérience, par exemple), il s’agit probablement d’une arnaque.
Dans l’ensemble, la probabilité que quelqu’un soit confronté à une fausse offre d’emploi est élevée, alors soyez attentif et essayez de rester en cybersécurité le plus longtemps possible.
