Les acteurs de la menace utilisent la communication sur les comptes de retraite personnels (les régimes 401(k) aux États-Unis), les ajustements salariaux et les rapports de performance pour voler les informations d’identification des employés de l’entreprise.
La société de sécurité de la messagerie Condensed avertit que ces attaques sont de plus en plus fréquentes et que même les organisations ayant de bonnes pratiques de sécurité de la messagerie ont des problèmes contre elles.
Fausses notifications 401k
401 (k) est un régime d’épargne-retraite populaire aux États-Unis qui offre aux employés un moyen pratique d’épargner pour l’avenir avec des avantages fiscaux, comprenant souvent des cotisations supplémentaires de leur employeur.
Les cybercriminels profitent de ce sujet et envoient aux cibles des notifications 401(k) se faisant passer pour une personne du service des ressources humaines de leur entreprise alléguant une mise à jour importante du plan ou une augmentation des cotisations.
La conférence indique que tout au long de l’année dernière, il y a eu une forte augmentation des codes QR intégrés dans ces e-mails de phishing, amenant les destinataires vers une fausse page de connexion conçue pour voler des informations d’identification.
D’autres types de leurres observés plus souvent vers la fin de l’année comprennent les inscriptions ouvertes, les sondages et les communications sur la restructuration des salaires.
L’inscription ouverte est une période spécifique, se produisant généralement vers la fin de l’année civile, permettant aux employés de s’inscrire à une assurance maladie ou à un régime de retraite. Les destinataires prennent ces messages très au sérieux car le fait de ne pas s’inscrire avant la date limite entraîne la perte de l’admissibilité à certains avantages jusqu’à la prochaine ronde d’inscription.
Les cybercriminels semblent également utiliser plus souvent des leurres concernant les ajustements de rémunération, en particulier sur les bonus et les augmentations, qui sont généralement décidés à la fin de l’année.
Enfin, Confessed met en garde contre les fausses enquêtes de satisfaction des employés et les rapports d’évaluation envoyés aux cibles par des départements des ressources humaines usurpés.
Dans un exemple, l’e-mail d’hameçonnage utilise un thème “prix de l’employé de l’année” pour inciter les destinataires à ouvrir leurs rapports de performance, prétendument pour les examiner et les signer.
Conseils de défense
Conference dit que tous les exemples dans son rapport proviennent d’employés de grandes entreprises qui utilisent des solutions de sécurité de messagerie efficaces, mais de nombreux messages de phishing parviennent toujours aux boîtes de réception de leurs employés.
L’entreprise de sécurité suggère que les départements des ressources humaines planifient ces communications et informent le personnel en conséquence pour aider à filtrer au moins certaines des communications malveillantes.
Cependant, étant donné que de nombreuses entreprises externalisent ces opérations, il peut être difficile d’éduquer et de protéger les employés contre les tentatives d’hameçonnage.
Une autre mesure consisterait à éviter les codes QR dans les communications commerciales légitimes, car de nombreuses campagnes de phishing en dépendent.