Protéger les employés contre les escroqueries au travail peut conduire à des conversations gênantes

  • FrançaisFrançais


  • Le site Web de Securielite, une fausse entreprise créée pour hameçonner les demandeurs d’emploi. (Image du blog Google)

    Google a annoncé mercredi soir que les pirates nord-coréens avaient continué à cibler les professionnels de la sécurité de l’information avec de fausses offres d’emploi, perpétuant une campagne qui impliquait auparavant l’utilisation d’un exploit de navigateur zero-day. Cette escroquerie de recrutement crée un problème inhabituel pour les professionnels de la sécurité qui tentent de vacciner leur bureau contre de telles menaces: comment entamer une conversation avec les employés à propos de leur recherche d’emploi ailleurs?

    “Si une cible était hameçonnée avec succès à la suite de cette campagne, ils ne le rapporteraient probablement pas à leur employeur s’ils réalisaient ce qui s’était passé, car la genèse de l’attaque était à la recherche d’un autre emploi”, a déclaré Hank Schless, directeur principal de solutions de sécurité chez Lookout.

    Les hackers nord-coréens utilisent depuis un certain temps des leurres de type offre d’emploi dans leurs campagnes d’ingénierie sociale ciblant diverses industries. La campagne qui vient d’être détaillée par Google impliquait une fausse entreprise de sécurité avec un site Web d’apparence crédible («Securielete») et des messages de phishing sur plusieurs plates-formes, y compris LinkedIn. Schless a déclaré que même les professionnels de la sécurité, parmi les mieux placés pour filtrer les escroqueries, peuvent tomber dans des attaques comme celle-ci.

    Les défenseurs du réseau qui cherchent à faire de cette dernière campagne un moment propice à l’apprentissage doivent cependant faire attention à la manière dont ils abordent le problème. Il y a eu des controverses récentes sur l’utilisation d’exercices de simulation de phishing «insensibles», comme l’envoi de faux e-mails de phishing offrant des bonus, uniquement pour arracher le tapis à quiconque a cliqué sur l’offre. Les offres d’emploi pourraient créer une dynamique similaire – les employés peuvent ne pas apprécier un patron qui teste si les travailleurs seraient disposés à ouvrir un e-mail leur offrant une nouvelle opportunité d’emploi.

    Une approche plus directe consiste à avoir des conversations difficiles sur le phishing tout en reconnaissant l’inconfort des employés avec le sujet, tout en encourageant une communication ouverte.

    «Nous faisons mieux d’aborder les conversations difficiles de manière transparente et en tête, puis d’être opaques, ou obliques à ce sujet», a déclaré Kevin O’Brien, PDG de la société de sécurité de messagerie GreatHorn. «Vous pouvez dire:« Nous ne voulons pas que vous partez. Mais vous êtes humain, vous n’allez probablement pas passer le reste de votre vie à travailler pour cette entreprise, donc à un moment donné, ce processus peut impliquer de parler à un recruteur. Et si vous le faites, nous voulons que vous soyez conscient de ce risque qui existe, car ils vont s’attaquer à quelque chose – un désir de plus d’argent, de la frustration avec votre travail, une opportunité qui semble incroyable.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *