LinkedIn, l’autre terrain de jeu des cybercriminels

Les arnaques sur LinkedIn existent depuis la création du site mais leur sophistication est en forte hausse si l’on en croit les déclarations du réseau social détenu par Microsoft en février 2023. « Il y a définitivement une augmentation de la sophistication et de l’intelligence des attaques. Nous voyons des sites web être créés, ainsi que des numéros de téléphone au bout desquels un opérateur apparemment professionnel répond au nom de l’entreprise. Nous assistons à une évolution vers une tromperie plus sophistiquée », a déclaré Oscar Rodriguez, vice-président de la gestion des produits chez LinkedIn, au Financial Times.

Un mois plus tôt, en janvier 2023, le spécialiste de la cybersécurité Zscaler a révélé une escroquerie visant des demandeurs d’emploi, ainsi qu’une douzaine d’entreprises américaines. Les fraudeurs approchaient les personnes par le biais de la fonction de messagerie directe InMail de LinkedIn.

« L’équipe Threatlabz de Zscaler a observé plusieurs portails d’emploi et enquêtes suspects utilisés par des attaquants pour solliciter des informations auprès des candidats sous l’apparence de formulaires de demande d’emploi. Les pirates peuvent publier des offres d’emploi en ligne, parfois en créant de faux sites web, ou chercher des cibles sur les médias sociaux pour voler de l’argent et des informations personnelles », déclare Zscaler sur son blog.

Les outils d’IA générative : de précieux alliés

L’objectif des cybercriminels est clair : subtiliser le maximum d’informations personnelles aux candidats. Et dans le cadre d’un recrutement, de très nombreuses données peuvent être obtenues… Autre scénario possible : faire acheter aux personnes qui postulent – en prévision de leur future embauche – du matériel informatique ou des sessions de formation, avec la fausse promesse que ces dépenses seront remboursées par la suite.

Dans cette machine à piéger, les outils d’intelligence artificielle générative de type ChatGPT jouent un rôle crucial en permettant de créer des offres d’emploi convaincantes. Les fautes de grammaire, d’orthographe ou de frappe deviennent de plus en plus rares, voire inexistantes. De même, grâce à Midjourney, DALL-E et autres Stable Diffusion, les photos étranges disparaissent complètement, laissant la place à des images réalistes.

« La majorité des échanges se font par mail. Il n’est donc pas nécessaire d’avoir une parfaite maîtrise orale de la langue du pays. Il faut simplement que les écrits soient propres, sans fautes », commente Benoît Grünemwald, expert en cybersécurité chez ESET France. En utilisant l’IA, les escrocs améliorent ainsi à la fois la qualité et la quantité des fausses offres d’emploi sans avoir à passer plus de temps à les générer. Cela permet également aux cybercriminels débutants de se lancer facilement dans ce type d’arnaques.

LinkedIn, lieu d’opérations d’intelligence économique

Les escroqueries aux offres d’emploi sur LinkedIn n’ont pas qu’une visée financière. Il peut aussi s’agir d’opérations d’intelligence économique ayant pour objectif de collecter de précieuses informations sur des projets en cours au sein d’une entreprise.

« Des groupes d’attaquants avancés (APT – Advanced Persistent Threat) organisent du spear phishing (hameçonnage ciblé) visant des profils clés dans certaines entreprises. Nous avons notamment assisté à des opérations dans l’industrie aérospatiale et de la défense européenne au cours desquelles des campagnes de recrutement menées par de grands groupes avaient été entièrement dupliquées par les pirates. Ces opérations – que nous attribuons avec un haut niveau de confiance au groupe cybercriminel nord-coréen Lazarus – ont pour but de recueillir des informations confidentielles, dans une démarche d’espionnage industriel », ajoute Benoit Grünemwald.

Les personnes visées ne sont pas forcément le ou les dirigeants de l’entreprise dont le profil n’intéresse pas les cybercriminels pour ce genre de recueil d’informations. Ce sont plutôt des collaborateurs qui, de par leur implication dans un projet donné, détiennent des informations à la fois très concrètes et stratégiques.

La réaction de Microsoft : la vérification d’identité pour LinkedIn

En réaction à cette recrudescence des actions cybercriminelles, Microsoft a annoncé en avril 2023 le lancement d’une nouvelle méthode de vérification d’identité pour LinkedIn. Les membres du réseau social professionnel peuvent désormais vérifier leur lieu de travail à l’aide d’un identifiant Microsoft Entra Verified ID.

En quelques minutes seulement, les organisations peuvent utiliser Verified ID pour créer des identifiants numériques d’employés personnalisés qui reflètent leur marque et leurs besoins professionnels. En quelques clics sur leur téléphone, les membres peuvent obtenir leur identifiant numérique d’employé auprès de leur organisation et choisir de le partager sur LinkedIn. Après avoir envoyé le justificatif, une vérification du lieu de travail sera affichée sur leur profil.

« L’interaction numérique contribue souvent à l’art de la manipulation aux mains d’acteurs sophistiqués. Ce nouvel outil de vérification réduira sans aucun doute la menace actuelle et renforcera la confiance des utilisateurs. Comme pour tous les nouveaux outils destinés à limiter les escroqueries, les mauvais acteurs tenteront inévitablement de le contourner », analyse Benoît Grünemwald.

Et l’expert en cybersécurité de conclure : « La vérification des éléments d’identité et d’emploi ne peut à elle seule stopper complètement les attaquants qui tentent de créer des identités fictives et de fausses entreprises pour ‘vérifier’ de faux emplois. Cependant, l’acceptation générale de la vérification des emplois sur LinkedIn rendrait plus difficile pour les acteurs malveillants d’usurper l’identité de comptes légitimes et de construire de fausses personnalités convaincantes. »