©  Ivan Samkov / Pexels
© Ivan Samkov / Pexels

La menace connue sous le nom de « fraude à l'emploi » est en pleine expansion. Elle vise notamment les étudiants et les universités, et peut causer de lourds dégâts financiers en cas de situation précaire.

Les chercheurs en cybersécurité de Proofpoint nous expliquent identifier et bloquer assez régulièrement les menaces de fraude à l'emploi que les étudiants universitaires subissent de plus en plus. Les pirates informatiques, qui misent sur la tentation du travail à domicile, ont développé cette menace depuis le début de la pandémie de Covid-19. Elle peut potentiellement coûter des centaines voire des milliers d'euros à celles et ceux qui en sont victimes.

Pour les victimes de la fraude à l'emploi, la tentation de décrocher un boulot salvateur pendant leurs études

Pour tenter d'attirer les étudiants à court d'argent qui ne bénéficient pas de filet de secours, quoi de mieux qu'une fausse offre d'emploi, du point de vue des pirates ? Les cybercriminels se font passer pour des recruteurs et des employeurs pour essayer de piéger leurs cibles, en utilisant la promesse d'un travail à domicile qui leur permet ensuite de collecter des données personnelles ou de voler de l'argent. Pire, la belle promesse de départ peut contribuer à faire participer la victime, malgré elle, à des activités illégales comme, par exemple, le blanchiment d'argent. L'étudiant peut être une cible « facile » puisque plus ouvert au travail à distance et flexible, et sans doute moins à l'abri s'il est étudiant à l'étranger, dans un cadre qui n'est pas familier.

Avec cette fraude sur le thème de l'emploi qui se pratique par e-mail, on peut parler d'une véritable tendance. Proofpoint indique voir près de 4000 de ces escroqueries par courrier électronique, chaque jour. Souvent, elles impliquent de faux chèques de salaire et des demandes d'argent par virement bancaire ou Bitcoin.

En ce qui concerne les victimes, 95 % des personnes ciblées sont issues d'établissements d'enseignement supérieur, du type université. Si la plupart des cibles se trouve aux États-Unis, des entités européennes et australiennes sont aussi frappées. Et alors que cette arnaque vise quasi exclusivement des étudiants, le coût d'une « attaque » réussie est particulièrement élevé, les victimes déclarant avoir perdu, en moyenne, près de 3000 euros selon le FBI.

Les pirates envoient de faux chèques de banque pour appâter leurs cibles

Proofpoint nous fournit différents exemples d'offres d'emploi comme par exemple, celle d'un poste d'assistant personnel de direction pour l'UNICEF, avec un e-mail universitaire contenant un lien vers un formulaire Google Forms faisant référence à un programme de secours dans le cadre de la Covid-19.

© Proofpoint
© Proofpoint

Un expert cyber de Proofpoint a, une fois le formulaire rempli, reçu un courrier électronique provenant d'une adresse Gmail, demandant de nouvelles informations et détaillant le prétendu poste proposé. Le hacker a ensuite envoyé un faux chèque de banque de 950 dollars à l'expert, déguisé en étudiant, avant de lui en envoyer un second, cette fois d'un montant de 1 950 dollars. Et après s'être renseigné sur l'argent que « l'étudiant » avait vraiment sur son compte, le pirate a demandé à ce dernier d'envoyer 1 000 dollars (de son propre compte donc) à un orphelinat. Ici, potentiellement, l'étudiant aurait donc pu se faire arnaquer de 1 000 dollars, puisque les deux chèques envoyés à la victime étaient totalement bidons.

D'autres arnaques de ce type ont aussi été rapportées par Proofpoint, notamment de prétendus emplois de mannequin pour des marques de mode comme Zaful et Fashion Nova. Ici, après discussion sur Gmail via Hangouts (après avoir fait croire à la victime potentielle que la marque avait repéré son profil Instagram), le hacker a envoyé un faux contrat à sa cible, puis un faux chèque, à son domicile, d'un montant de 4 950 dollars pour une séance photo planifiée à Los Angeles. En échange, le pirate a demandé à la cible de « couvrir les frais d'expédition » des articles à porter le jour du shooting, en lui versant 100 dollars en crypto-monnaie.

Image du faux chèque envoyé par le hacker au faux étudiant de Proofpoint (© Proofpoint)

Si vous êtes étudiant et que vous lisez cet article, ayez une chose à l'esprit : un employeur légitime ne vous enverra jamais de chèque de paie avant votre premier jour travaillé. Il ne vous demandera pas non plus de lui envoyer de l'argent pour acheter des articles avant d'avoir démarré votre mission ou contrat.