Une nouvelle arnaque d’hameçonnage : les questionnaires d’auto-évaluation

Les cybercriminels invitent les employés à remplir un faux questionnaire d’auto-évaluation pour voler leurs identifiants professionnels.

En général, les grandes entreprises ne demandent pas à leurs employés quelles sont leurs aspirations professionnelles, quels sont leurs centres d’intérêt ou ce qu’ils savent faire en plus des compétences liées à leur poste. Cette situation change une fois par an, lors du bilan de performance. Pourtant, beaucoup d’employés aimeraient dire plus souvent ce qu’ils pensent à l’équipe de direction. Ainsi, lorsqu’ils reçoivent un e-mail qui les invite à participer à une auto-évaluation, ils saisissent cette opportunité sans hésiter. Et c’est exactement ce dont profitent les cybercriminels dans cette campagne d’hameçonnage ciblé.

Un e-mail d’hameçonnage avec une invitation

Apparemment envoyé par le RH, l’employé reçoit un e-mail avec une description détaillée de la procédure d’auto-évaluation dont l’objectif est de « promouvoir une conversation franche entre les employés et leurs responsables / leurs superviseurs ». Le message indique aussi que cette procédure « vous permet d’en savoir plus sur vos forces et vos faiblesses et de déterminer quelles sont vos réussites, les aspects sur lesquels vous devez travailler et vos objectifs professionnels. » En résumé, ce pourrait être le message convaincant d’un discours d’entreprise.

E-mail envoyé aux employés pour les convaincre de réaliser une auto-évaluation.

E-mail envoyé aux employés pour les convaincre de réaliser une auto-évaluation.

 

Même s’il est convaincant, le message contient quelques signaux d’alerte d’hameçonnage faciles à identifier. Pour les débutants, vérifiez le nom de domaine de l’adresse e-mail de l’expéditeur. Effectivement, il ne correspond pas au nom de l’entreprise. Le service RH pourrait avoir recours aux services d’une entreprise que vous ne connaissez pas, mais pourquoi « Family Eldercare » fournirait un tel service ? Même si vous ne savez qu’il s’agit d’une ONG qui aide les familles à prendre soin de leurs proches âgés, le nom devrait attirer votre attention.

De plus, l’e-mail indique que cette étude est « OBLIGATOIRE pour TOUT LE MONDE » et qu’elle doit être remplie « avant la fin de la journée ». Même si nous laissons de côté l’utilisation grossière et erronée des majuscules, le caractère urgent de la requête doit attirer votre attention et vous devez prendre le temps d’y réfléchir et de vérifier auprès du RH s’il est vraiment à l’origine de ce message.

Un faux formulaire d’auto-évaluation

Les employés qui n’ont pas vu les signaux d’alerte et ont cliqué sur le lien, ont ouvert un formulaire avec de nombreuses questions qui pourraient effectivement être liées à un bilan de performance. Mais le cœur de l’opération d’hameçonnage se trouve dans les trois dernières questions qui demandent à la victime de fournir son adresse e-mail et son mot de passe pour s’authentifier, puis de saisir à nouveau ces informations pour confirmer.

Les trois dernières questions du faux questionnaire

Les trois dernières questions du faux questionnaire

Les cybercriminels ont fait un choix intelligent. En général, les attaques d’hameçonnage de ce type passent directement du message à un formulaire pour que l’employé saisisse ses identifiants sur un site tiers, ce qui éveille immédiatement les soupçons. Pourtant, dans ce cas, ils ne demandent l’adresse e-mail (qui est souvent accompagnée du nom d’utilisateur) et le mot de passe que dans le cadre de ce formulaire, et tout à la fin. À ce moment-là, la victime a complètement baissé la garde.

Il convient de souligner comment « password » (mot de passe) est écrit : deux lettres sont remplacées par des astérisques. Cette technique permet de déjouer les filtres automatiques configurés pour détecter le mot-clé « password » ou « mot de passe ».

Comment vous protéger

Pour éviter que vos employés ne soient victimes d’hameçonnage, tenez-les informés des dernières astuces utilisées, par exemple en partageant nos articles sur les techniques d’hameçonnage. Si vous préférez adopter une approche plus systématique, vous pouvez réaliser régulièrement des formations et des contrôles, notamment avec notre outil Kaspersky Automated Security Awareness Platform.

Dans l’idéal, certaines stratégies techniques devraient permettre aux employés de ne plus recevoir d’attaques d’hameçonnage : l’installation de solutions de sécurité équipées d’une technologie anti-hameçonnage au niveau du portail de la messagerie électronique de l'entreprise et sur tous les appareils utilisés pour travailler et ayant accès à Internet.

Conseils