Cette arnaque aux entretiens d’embauche est un stratagème pour voler vos informations d’identification Google

C’est dur pour les demandeurs d’emploi, et les escrocs s’attaquent aux candidats dans l’espoir d’être embauchés par des entreprises bien connues. Une nouvelle campagne de phishing utilise de fausses invitations à des entretiens, se faisant passer pour des marques comme Adidas, Netflix, Adobe et FIFA, pour voler les informations d’identification du compte Google des utilisateurs.

Les escroqueries à l’emploi ne sont pas nouvelles et se présentent sous diverses formes, depuis les fausses offres d’emploi envoyées par SMS jusqu’aux fausses candidatures distribuées via Google Forms. Les imitateurs de Netflix ont même lancé une campagne de recrutement similaire par courrier électronique l’année dernière. Les mauvais acteurs tentent généralement de pirater des informations personnelles ou de vous convaincre de leur envoyer de l’argent pour diverses (fausses) dépenses d’intégration.

Comment fonctionne l’arnaque aux faux entretiens d’embauche

Comme le rapporte BleepingComputer, cette arnaque à l’emploi cible principalement les professionnels du marketing à la recherche de postes dans des entreprises de grande valeur dans plusieurs secteurs, notamment la technologie, l’hôtellerie, les voyages, l’alimentation, le divertissement et les produits de luxe.

La fraude commence par un e-mail de phishing provenant d’un « recruteur » de l’une des 34 entreprises, invitant les candidats à prendre rendez-vous pour en discuter davantage. Les fraudeurs semblent utiliser les noms et les photos de vrais recruteurs de ces entreprises, ce qui les rend moins susceptibles d’éveiller les soupçons si les cibles tentent de vérifier leur légitimité.

Si un demandeur d’emploi clique sur le lien vers le calendrier du recruteur, il sera redirigé plusieurs fois et finira par atterrir sur un site Web malveillant conçu pour ressembler à une véritable page de planification d’entretiens. À partir de là, ils seront invités à se connecter avec Google, qui lance une fausse interface de connexion qui ressemble à la fenêtre contextuelle d’authentification de Google, mais qui n’est en réalité qu’une partie de la page de phishing. (Il s’agit d’un exemple d’attaque de navigateur dans le navigateur (BitB).)

Les auteurs de la menace semblent utiliser une plateforme RH légitime appelée PeopleForce et un domaine exploité par Salesforce pour lancer l’escroquerie, bien qu’il ne soit pas clair s’ils ont créé des comptes ou utilisent des informations d’identification volées.

Signes d’une fausse arnaque au travail

Comme toutes les escroqueries, celle-ci s’appuie sur l’émotion, comme l’excitation d’être recruté pour un poste hautement convoité sur un marché du travail compétitif. Si vous recevez un message non sollicité d’un recruteur, que ce soit par e-mail, LinkedIn ou toute autre plateforme sociale, procédez avec prudence, surtout si vous n’avez pas postulé pour un emploi ou si l’opportunité semble trop belle pour être vraie. Si vous n’êtes pas sûr, accédez directement à la page Carrières de l’entreprise pour trouver la liste.

Ce n’est pas parce qu’un lien d’agenda ou d’application semble rediriger vers un site légitime que vous êtes en sécurité. De toute évidence, les fraudeurs disposent de nombreux moyens pour usurper les URL ou rediriger le trafic afin que vous ne réalisiez pas que vous êtes victime d’un hameçonnage. Regardez attentivement la barre d’adresse de la fenêtre finale pour détecter les caractères sournois ou d’autres astuces d’URL.

Si vous êtes invité à saisir des informations d’identification unique (telles que Apple, Google ou Facebook) pour planifier un entretien ou remplir une candidature, il s’agit d’un signal d’alarme. Essayez d’interagir avec la fenêtre contextuelle, par exemple en la faisant glisser hors de la fenêtre principale du navigateur ou en mettant l’URL en surbrillance. Si vous ne pouvez pas, c’est probablement un faux. Un gestionnaire de mots de passe peut également protéger contre les attaques BitB, car ces outils ne rempliront pas les informations d’identification, sauf sur le domaine légitime.