Lorsque Bob a reçu un e-mail de sa nouvelle entreprise, il avait hâte d’impressionner.
Quelques jours seulement après le début de son nouvel emploi, il a reçu un e-mail semblant provenir du responsable des ressources humaines, lui demandant d’accéder à des informations d’intégration importantes via un lien utilisant ses identifiants de connexion d’employé.
Bob ne se rend pas compte qu’il saisit ses informations d’identification sur une page de phishing, et le cybercriminel récolte ces informations d’identification et les utilise pour une fraude par usurpation de compte. À peine deux jours plus tard, Bob a déjà été victime d’une attaque et a mis sa nouvelle entreprise en danger.
Ce n’est qu’un exemple de la facilité avec laquelle les nouveaux arrivants deviennent la proie des cybercriminels.
Une nouvelle année marque souvent aussi un nouveau départ pour les employés, de nombreux nouveaux arrivants commençant dans une nouvelle entreprise. C’est une période passionnante pour les employés et les employeurs, mais elle s’accompagne également de cybermenaces importantes qui doivent être gérées efficacement par toutes les personnes impliquées.
Comment fonctionnent les nouvelles escroqueries de démarrage
Ces menaces de cybersécurité et ces nouveaux types d’escroqueries peuvent transformer un nouvel emploi de rêve en cauchemar en quelques minutes.
Les escroqueries de nouveaux débutants impliquent le ciblage de nouveaux employés dans une entreprise avec des e-mails personnalisés et usurpés semblant provenir de quelqu’un d’autre au sein de l’entreprise, généralement un responsable de haut niveau ou quelqu’un des ressources humaines.
Le nouvel employé sera alors invité à faire quelque chose, comme mettre des informations de connexion personnelles sur une page de phishing, apparaître sur le site Web de l’entreprise ou acheter quelque chose apparemment pour l’entreprise.
S’il s’agit d’informations personnelles, ces informations d’identification peuvent ensuite être collectées et utilisées pour une fraude à la prise de contrôle de compte et donner potentiellement au pirate un accès à l’ensemble des réseaux de l’entreprise.
Cette forme de cyberattaque d’ingénierie sociale est particulièrement efficace car elle cible une entreprise où elle est la plus vulnérable : les nouvelles recrues. Ces personnes ne sont souvent pas familiarisées avec le fonctionnement de l’entreprise et ce qui leur sera demandé ou non et sont désireuses de plaire et d’accomplir les tâches rapidement. Les cybercriminels frappent également rapidement, de sorte que le nouvel employeur n’a peut-être pas eu la possibilité de fournir une formation en cybersécurité.
La pandémie a également accéléré l’adoption des intégrations à distance et le démarrage d’un travail entièrement numérique en utilisant une combinaison d’une entreprise en ligne et d’outils de collaboration, augmentant encore le niveau de menace. Comme l’ont découvert des universitaires de l’Université de technologie du Queensland, les modèles de travail passés avec Covid ont créé un «environnement abondant permettant aux délinquants de cibler efficacement les victimes potentielles».
Les acteurs en ligne malveillants surveillent souvent LinkedIn et d’autres sites de médias sociaux pour trouver des personnes qui viennent de commencer dans une nouvelle entreprise, à cibler dans le cadre de ces types d’attaques.
Selon Scamwatch de l’ACCC, les Australiens ont perdu plus de 8,7 millions de dollars dans le cadre de ces escroqueries et d’autres attaques basées sur le recrutement l’année dernière, avec des rapports faisant état de plus de 3000 de ces escroqueries.
Comment les nouveaux arrivants et les entreprises peuvent atténuer le risque
Pour les nouveaux employés, les premières semaines dans un emploi doivent être marquées par un niveau extrêmement élevé de prudence et de méfiance à l’égard de tout contact étrange ou suspect, en particulier les messages demandant des informations de connexion, des numéros de téléphone ou des paiements. Ils doivent se méfier particulièrement de toute transaction reposant sur des cartes-cadeaux ou des crypto-monnaies.
Les nouveaux arrivants, ou tout employé d’ailleurs, ne doivent jamais cliquer sur des liens suspects dans ces e-mails ou pièces jointes et doivent lire attentivement l’adresse e-mail et l’adresse Web qui leur ont été envoyées pour s’assurer qu’elles sont légitimes.
Les pirates trouvent souvent les informations nécessaires à ces escroqueries sur des plateformes de médias sociaux comme LinkedIn, il est donc important de rendre ces plateformes aussi privées que possible pour affamer ces groupes d’informations et n’accepter aucune demande de connexion suspecte.
Les entreprises ont un rôle crucial à jouer pour s’assurer que leurs nouveaux employés ne soient pas victimes de ces escroqueries.
Une éducation et une formation de sensibilisation devraient être fournies aux nouveaux entrants dès le début, avec des leçons sur la façon dont ils peuvent être ciblés. Les nouveaux employés devraient également être habilités à remettre en question tout ce qu’ils voient et à prendre contact avec leurs supérieurs hiérarchiques pour signaler leurs inquiétudes à propos de quoi que ce soit, aussi minime soit-il. Cette prise de conscience devrait être un élément majeur de tout processus d’intégration, en particulier s’il est effectué à distance.
Les entreprises australiennes devraient également avoir des politiques claires sur les médias sociaux et les appareils pour aider à atténuer les risques de ces escroqueries et partager largement les nouvelles des tendances récentes de ces attaques.
L’hygiène de base en matière de cybersécurité, telle que les pare-feu, la segmentation des données et les cadres de confiance zéro, doit également être utilisée pour aider à faire face à ces risques.
Une entreprise n’est jamais aussi cyber-sûre que son maillon le plus faible, et malheureusement, ce maillon faible se présente souvent sous la forme d’un nouvel employé. Mais il existe de nombreuses mesures simples et rentables que toutes les personnes impliquées peuvent prendre pour atténuer ces risques et s’assurer qu’un nouvel emploi est aussi excitant qu’il devrait l’être et ne mène pas à un cyber cauchemar.
Tenez-vous au courant de nos histoires sur LinkedIn, TwitterFacebook et Instagram.
