La plupart d'entre nous occupent un emploi ou en cherchent un. Ou les deux à la fois. C'est en grande partie la raison pour laquelle les escroqueries à l'emploi et au travail à domicile sont si populaires parmi les cybercriminels (et même certains acteurs des menaces alignées sur les Etats). Ces escroqueries attirent généralement l'intérêt de l’internaute en lui proposant un travail incroyable ou des possibilités d’emploi occasionnel. Mais en réalité, tout ce que ces escrocs souhaitent, ce sont vos informations personnelles et financières. Dans certains cas, les victimes peuvent même recevoir et réexpédier à leur insu des marchandises volées, ou permettre que leurs comptes bancaires soient utilisés pour du blanchiment d'argent.

Cependant, l'arnaque au licenciement est moins populaire. Elle prend le contre-pied de cette idée : elle utilise la menace de perte d’emploi plutôt que l'attrait d'en obtenir un nouveau pour attirer l'attention. À quoi ressemblent ces escroqueries et comment vous en prémunir ?

À quoi ressemblent les arnaques au licenciement ?

Dans leur forme la plus simple, les escroqueries au licenciement sont un type d'attaque par hameçonnage conçues pour vous inciter à fournir vos informations personnelles et financières ou à cliquer sur un lien dangereux qui pourrait déclencher le téléchargement d'un logiciel malveillant. Les tactiques d'ingénierie sociale utilisées dans le phishing (ou hameçonnage en français) visent à créer un sentiment d'urgence chez la victime, afin qu'elle agisse sans discernement. Et il n'y a pas plus urgent qu'un avis vous informant que vous avez été viré.

Il peut s'agir d'un e-mail des RH ou d'un tiers faisant autorité à l'extérieur de l'entreprise. Ce message peut indiquer que vos fonctions ne sont plus nécessaires à l’entreprise ou mentionner des détails sur vos collègues qui vous donneraient envie de cliquer pour en savoir davantage.

L'objectif final est, comme dans la plupart des cas d’ingénierie sociale, de vous persuader de cliquer sur un lien malveillant ou d'ouvrir une pièce jointe, en prétendant par exemple qu'elle contient des informations sur les indemnités de licenciement et les dates de cessation d'activité.

Une fois que vous avez cliqué sur la pièce jointe ou que vous l'avez ouverte, le piège se referme. Vous constaterez peut-être :

Avec vos identifiants professionnels, des malfaiteurs pourraient détourner votre courrier électronique ou d'autres comptes pour accéder aux données et aux réseaux sensibles de l'entreprise à des fins de vol et d'extorsion. Et si vous réutilisez ces identifiants sur plusieurs comptes, ils pourraient même être en mesure de mener des campagnes de credential stuffing pour accéder également à ces comptes.

Pourquoi fonctionnent-elles si bien ?

Les arnaques au licenciement sont efficaces parce qu'elles exploitent la crédulité des êtres humains, en créant un sentiment de crainte chez la victime et en instillant un besoin urgent d'agir. Il est difficile de trouver un employé qui ne veuille pas en savoir plus sur son licenciement ou sur les détails potentiellement inventés d'une prétendue mauvaise conduite.

Ce n'est pas une coïncidence si le phishing reste l'une des trois principales tactiques d'accès initial pour les acteurs du ransomware et s'il a contribué à un quart (25 %) des cyberincidents à motivation financière au cours des deux dernières années.

Quelles menaces se propagent actuellement autour de cette thématique ?

Plusieurs versions de cette escroquerie ont été observées sur le web dernièrement. En voici quelques-unes :

  • Un e-mail usurpant l'identité du Service des Cours et Tribunaux du Royaume-Uni, censé contenir un lien vers un document de licenciement. En cliquant sur ce lien, la victime accède à un site web truqué portant le logo de Microsoft et conçu pour la persuader de l'ouvrir sur un appareil Windows. Il déclenche le téléchargement du cheval de Troie bancaire Casbaneiro (alias Metamorfo).
  • Un e-mail censé provenir du service des RH de la victime, qui prétend contenir en pièce jointe une liste de licenciements du personnel et des détails sur les nouveaux postes. L'ouverture du faux PDF déclenche un faux formulaire de connexion DocuSign demandant à la victime d'entrer son adresse électronique et son mot de passe pour y accéder.
job termination scam
Source : PCrisk : PCrisk

Comment identifier une arnaque au licenciement ?

Comme pour toute attaque d'hameçonnage, il existe quelques signes révélateurs qui devraient allumer une petite lumière rouge dans votre esprit en cas de réception d’un tel message. Alors, à quoi devriez-vous faire attention ?

  • Une adresse d'expéditeur inhabituelle qui ne correspond pas à l'expéditeur déclaré. Passez votre souris sur l'adresse « De » ou « From » pour voir ce qui apparaît. Il peut s'agir d'une adresse totalement différente ou d'une tentative d'imitation du domaine de l'entreprise usurpée, avec des fautes de frappe et d'autres caractères (par exemple, m1crosoft.com, @microsfot.com).
  • Une formule de politesse générique (par exemple, « cher employé/utilisateur »), qui n'est certainement pas le ton qu'adopterait une lettre de licenciement légitime.
  • Liens intégrés dans l’e-mail ou pièces jointes à ouvrir. Ils sont souvent le signe d'une tentative d'hameçonnage. Si vous survolez le lien et qu'il ne vous semble pas correct, vous avez d'autant plus de raisons de ne pas cliquer.
  • Les liens ou les pièces jointes qui ne s'ouvrent pas immédiatement, mais qui vous demandent d'entrer des identifiants. Ne le faites jamais en réponse à un message non sollicité.
  • La sensation d’urgence. Les messages d'hameçonnage tentent toujours de vous pousser à prendre une décision hâtive.
  • Fautes d'orthographe, de grammaire ou autres dans le message. Ces erreurs sont de plus en plus rares à mesure que les cybercriminels adoptent des outils d'IA générative pour rédiger leurs e-mails d'hameçonnage, mais il convient tout de même d'y prêter attention.
  • À l'avenir, restez sur vos gardes pour les arnaques assistées par l'IA dans lesquels les malfaiteurs pourraient utiliser de faux sons et de fausses vidéos de personnes réelles (celle de votre patron, par exemple) pour vous inciter à donner des informations confidentielles sur votre entreprise.

Restez en sécurité

Pour vous assurer de ne pas vous faire piéger par des escroqueries au licenciement, gardez en tête les signes d'alerte énumérés plus haut. Vous pouvez également adopter ces bons gestes de cyberhygiène :

  • Utilisez des mots de passe forts et uniques pour chaque compte, idéalement stockés dans un gestionnaire de mots de passe.
  • Veillez à activer l'authentification à deux facteurs (2FA) pour une sécurité d'accès additionnelle.
  • Assurez-vous que tous vos appareils professionnels et personnels soient mis à jour.
  • Si votre service informatique vous le propose, participez régulièrement à des exercices de simulation de phishing pour comprendre ce à quoi il faut faire attention.
  • Si vous recevez un message suspect, ne cliquez jamais sur les liens intégrés et n'ouvrez pas la pièce jointe.
  • Contactez l'expéditeur par d'autres moyens si vous êtes inquiet - mais ne répondez pas à l'e-mail ou n'utilisez pas les coordonnées qui y figurent.
  • Signalez tout message suspect au service informatique de votre employeur.
  • Vérifiez si vos collègues ont reçu le même message.

Les escroqueries au licenciement existent depuis un certain temps. Mais si elles sont toujours d'actualité, c'est bien qu'elles fonctionnent encore. En résumé, restez toujours vigilant à l'égard de tout ce qui arrive dans votre boîte de