Les premier jours dans une nouvelle entreprise sont souvent synonymes de réunions d’équipe, de formations, de processus d’intégration, etc. Beaucoup de bruit avec peu d’informations et sans que la personne ne comprenne vraiment ce qui se passe. D’autre part, les nouveaux membres passent par certains « rituels », et un d’eux consistent généralement à l’annoncer sur les réseaux sociaux (principalement, mais pas seulement, sur LinkedIn). Les entreprises aussi annoncent à quel point elles sont heureuses d’avoir un nouveau membre dans l’équipe. C’est à ce moment-là que ces employés fraîchement arrivées attirent l’attention des escrocs.
En général, ces publications sur les réseaux sociaux donnent les noms de l’employé et de l’entreprise, ainsi que le poste occupé. Ces informations sont généralement suffisantes pour identifier le responsable du nouvel employé (via les réseaux sociaux ou le site officiel de l’entreprise). Maintenant que les cybercriminels connaissent les noms, ils peuvent facilement trouver ou deviner leurs adresses e-mail. Tout d’abord, plusieurs outils permettent de chercher les adresses e-mail. Ensuite, beaucoup d’entreprises utilisent le nom, ou les noms et prénoms, de l’employé pour créer l’adresse e-mail. Les cybercriminels n’ont qu’à vérifier quel système l’entreprise utilise pour obtenir l’adresse. Une fois qu’ils ont l’adresse e-mail, il est temps de faire un peu d’ingénierie sociale.
Première chose à accomplir : faire un virement aux escrocs
Lors des premiers jours, l’employé n’est certainement pas à la hauteur des espérances de ses collègues et de ses supérieurs même s’il fait tout pour montrer le contraire. C’est pourquoi ce nouveau membre pourrait baisser la garde : il réalise rapidement presque n’importe quelle tâche sans prendre le temps de se demander qui le lui demande, si la requête est raisonnable ou si ça relève de ses responsabilités. Quelqu’un veut que ça soit fait, donc ça doit l’être. C’est particulièrement vrai si l’ordre vient du responsable direct voire du PDG de l’entreprise.
Les escrocs se servent de cette astuce pour tromper les nouveaux employés. Ils envoient un message soi-disant rédigé par le PDG ou un responsable, mais sans utiliser l’adresse de l’entreprise, et demande à l’employé de faire une tâche « urgente ». Le novice est évidemment ravi de faire ce qu’on lui demande. Cette tâche consiste à faire un virement à un sous-traitant ou à acheter des cartes-cadeaux d’une certaine valeur. Le message indique clairement qu’il est « essentiel d’agir vite » et que » vous serez remboursé à la fin de la journée » (évidemment !). Les escrocs insistent sur le caractère urgent de l’opération pour que l’employé n’ait pas le temps de réfléchir ou de demander à un collègue.
Le responsable a une certaine autorité, et l’employé veut être utile. C’est pourquoi il ne cherche pas à savoir si c’est raisonnable ou pourquoi il a été choisi pour effectuer cette tâche. La victime transfère l’argent sur le compte indiqué sans hésitation et le communique au « patron » en répondant à la même adresse e-mail, sans se rendre compte que le nom du domaine semble suspect.
L’escroc continue à jouer le rôle du responsable : il lui demande de fournir des documents qui confirment que la transaction a bien été effectuée et, une fois reçus, remercie chaleureusement l’employé puis lui explique qu’il va faire suivre les documents à la personne qui a fait la demande (ce qui rend l’opération un peu plus légitime). Pour que l’employé ait l’impression que cette opération est normale, l’escroc lui dit qu’il le recontactera si jamais il a besoin que l’employé (malchanceux) fasse autre chose.
Ce n’est qu’après un certain temps que l’employé se demande pourquoi on lui a demandé de faire cette tâche, qu’il réalise que l’adresse e-mail ne fait partie de l’entreprise ou qu’il parle de ce qu’il a fait avec le responsable. C’est à ce moment-là qu’il se rend compte de la triste vérité : il s’agissait d’une arnaque.
Des circonstances aggravantes
Comme les autres arnaques liées au travail, cette technique a grandement profité du passage massif au télétravail. Même les petites entreprises ont commencé à embaucher partout dans le monde, ce qui signifie que les nouveaux employés pourraient ne pas savoir à quoi ressemble le PDG ni comment ils pourraient rapidement demander de l’aide à un collègue pour savoir si la tâche en question est réelle.
De plus, si le superviseur et la plupart des employés travaillent dans différents pays, une demande de virement à quelqu’un d’une autre région pourrait sembler plausible. Les virements bancaires nationaux sont toujours plus simples et plus rapides que les internationaux, ce qui confère une sensation de normalité à la requête qui est en réalité une arnaque.
Enfin, les entreprises plus petites, qui semblent être des cibles courantes, ont tendance à avoir des procédures de gestion des fonds beaucoup moins formelles, sans formulaire à remplir ni contrôleur de gestion. Envoyez l’argent, faites-le à vos frais et récupérez ce que vous avez avancé un peu plus tard. Cet autre fait apporte de l’authenticité aux e-mails d’arnaque.
Comment les employés peuvent éviter le piège
Le plus important pour un employé c’est de ne pas perdre la tête en essayant d’être au service de l’entreprise.
- Vérifiez minutieusement les adresses des messages que vous recevez par e-mail ou par messagerie instantanée. Redoublez de vigilance si l’adresse ne vous dit rien.
- N’hésitez pas à demander à un collègue si cette demande est habituelle. Si quelque chose ne vous semble pas normal, il vaut mieux demander de l’aide plutôt que d’avoir des regrets.
- Si vous recevez une demande étrange de la part d’une personne qui ferait partie de l’entreprise, clarifiez certaines informations avec l’expéditeur en utilisant un autre moyen de communication. Votre patron vous a demandé par e-mail d’acheter des cartes cadeaux ? Demandez-lui en utilisant une application de messagerie instantanée.
Comment les entreprises peuvent protéger leurs employés
Il y a une chose importante que l’employeur doit faire : configurer correctement le serveur de messagerie de l’entreprise. Il peut notamment être configuré pour signaler les e-mails envoyés par des adresses externes à l’entreprise. Par exemple, Google Workspace, célèbre au sein des entreprise, marquent par défaut ces messages comme « Externes ». Lorsque vous essayez de répondre à un message de ce genre, on vous avertit clairement « Faites attention lorsqu’il s’agit de partager des informations sensibles ». Ces notifications aident vraiment les employés à savoir s’ils parlent ou non avec un collègue. Nous vous conseillons également de :
- Proposer une formation en sécurité informatique aux employés lors de leur premier jour de travail. Cette session devrait aborder l’hameçonnage (juste au cas où l’employé débute) et présenter les instructions à suivre, ainsi que les méthodes utilisées au sein de l’entreprise et celles interdites.
- Créer un guide de sécurité informatique pour les nouveaux employés. Ce guide doit inclure quelques règles de base ainsi que les précautions à prendre face aux menaces les plus importantes. Lisez notre article pour savoir comment le confectionner.
- Proposer régulièrement des formations en sécurité à tous les employés. Vous pouvez notamment utiliser une plateforme en ligne spécialisée.