Arnaques LinkedIn : de fausses annonces plus vraies que nature
LinkedIn n'est malheureusement pas à l'abri des arnaques ! Les offres d'emploi factices envahissent le réseau social professionnel, les escrocs allant jusqu'à mettre au point de faux processus de recrutement à l'aide d'IA.
Les réseaux sociaux sont très appréciés des pirates et autres bots – des programmes informatiques automatisés qui simulent le comportement d'une personne humaine –, et LinkedIn n'y fait pas exception. Pourtant, la plateforme est parvenue jusqu'ici à garder une image sérieuse et fiable – un faux sentiment de sécurité parfait pour que l'utilisateur baisse sa garde. Dans le milieu professionnel, LinkedIn est un outil indispensable pour garder contact avec ses collègues et clients, trouver un nouvel emploi, gagner en visibilité et se tenir informé des actualités dans son secteur d'activité. Or, malgré son apparente sûreté, de nombreuses arnaques y pullulent, surtout en ces temps de crise.
Selon le Financial Times, les escrocs profitent de la popularisation du télétravail et des suppressions massives d'emplois dans le secteur de la tech – même les géants comme Meta, Google, Dell, Disney+ ou Amazon n'y échappent pas – pour se faire passer pour des recruteurs, et ainsi obtenir les informations personnelles et bancaires de demandeurs d'emploi présents sur le réseau social professionnel. Ainsi, le mois dernier, la société de cybersécurité Zscaler a révélé un vaste plan d'escroqueries ciblant une douzaine d'entreprises américaines du secteur de la tech – dont Zscaler elle-même, Ie développeur de logiciels Intellectsoft et la société de logiciels d'entreprise Zuora. Les cybercriminels passent par des sites d'offres d'emplois comme Indeed, mais aussi par la messagerie intégrée dans LinkedIn (InMail), et n'hésitent pas à aller très loin pour tromper leurs victimes.
Arnaques LinkedIn : une tendance qui profite de la crise du secteur de la tech
Les escrocs redoublent sans cesse d'ingéniosité pour parvenir à leurs fins. Certains n'ont pas hésité à créer des sites web "sosies" avec des offres d'emploi similaires à celles de ces entreprises, voire à mettre sur pied de véritables – faux – processus de recrutement. Les fausses offres d'emploi, alléchantes à souhait, contiennent les véritables informations de l'entreprise usurpée – informations que l'on peut trouver sur les sites de registres du commerce. Les arnaqueurs n'hésitent pas à directement approcher les demandeurs d'emploi via le messagerie de LinkedIn – surtout qu'il est possible d'apposer une pastille sur sa photo de profil signifiant que l'on est en recherche active d'emploi, ce qui facilite le repérage des victimes – et à mener de faux entretiens à distance, notamment via Skype. Ils connaissent parfaitement le secteur et les besoins du marché, et certains d'entre eux se créent même des profils avec la photo du vrai recruteur de l'entreprise qu'ils usurpent. Avant de valider l'embauche, "l'entreprise" a évidemment besoin des données personnelles, comme la photocopie de la carte d'identité, le numéro de sécurité sociale et un RIB, pour préparer le dossier de la future recrue, et demande même de l'argent pour du matériel informatique ou une formation tierce !
Ces escroqueries sont inquiétantes car elles sont de plus en plus nombreuses. Selon le Financial Times, les sommes dérobées dans ce genre d'arnaques sont passées de 209 millions de dollars pour 105 000 escroqueries en 2021, à 367,4 millions de dollars pour 92 000 escroqueries en 2022 aux États-Unis. Une tendance qui s'explique par le développement du télétravail, qui permet aux fraudeurs de réaliser les faux recrutements en visio, sans passer par un entretien physique, et la crise que traverse le secteur de la tech, qui leur permet de s'attaquer aux personnes désespérées ou trop enthousiastes, qui peuvent alors suspendre leur incrédulité. De plus, ces arnaques sont facilitées par le développement de l'intelligence artificielle, avec les deepfakes – une superposition de photos réalisée par une IA – et des textes générés par des outils comme ChatGPT – qui est accessible gratuitement au grand public depuis novembre 2022 et fait un véritable carton.
Deepfakes sur LinkedIn : de faux comptes générés grâce à une intelligence artificielle
Mais ce n'est pas le seul problème rencontré sur LinkedIn. Il arrive souvent que des personnes avec de mauvaises intentions créent de nombreux faux profils en utilisant une intelligence artificielle et copient les textes de présentation d'autres comptes – réels cette fois – ou demandent à ChatGPT de leur en écrire une. La combinaison parfaite pour paraître plus vraie que nature, et qui se révèle plutôt problématique pour les nombreux responsables RH et administrateurs de groupes – qui doivent valider un profil avant de l'accepter.
Le site KrebsOnSecurity a déjà mené plusieurs enquêtes en 2022 sur la prolifération de faux profils sur LinkedIn. Hamish Taylor, l'administrateur d'un groupe comptant près de 300 000 membres, a affirmé avoir bloqué à lui seul près de 13 000 faux comptes en 2022, dont certains étaient des "tentatives cyniques d'exploiter les experts de l'aide humanitaire et de l'aide en cas de crise", comme de prétendus experts, en matière de reprise après sinistre, à la suite des récents ouragans. Des " essaims " qui se multiplient depuis janvier 2022. Mark Miller, l'administrateur du groupe d'informatique DevOps, a remarqué que les faux profils tentent de s'inscrire dans les différents groupes par vagues successives : "lorsqu'un bot tente d'infiltrer le groupe, il le fait par vagues. Nous voyons arriver 20 à 30 demandes avec le même type d'informations dans les profils."
Les administrateurs de groupes ne sont pas les seuls à souffrir de ces faux comptes, les entreprises aussi ! Certaines ont eu la mauvaise surprise de découvrir plusieurs profils assez similaires affirmant travailler pour eux, alors que ce ne sont même pas de vraies personnes. Des tests ont été réalisés sur leur photo, et révèlent qu'elles ressemblent à d'autres photos publiées sur Internet, mais sans jamais leur correspondre exactement. Il est donc fort probable qu'il s'agisse de deepkakes. Plusieurs lecteurs ont signalé une source probable : le site web thispersondoesnotexist.com, qui permet d'utiliser l'IA pour créer des portraits uniques en un clin d'œil.
Deepfakes sur LinkedIn : des motivations encore mal déterminées
Les faux comptes peuvent avoir des utilisations très variées – mais toutes aussi malhonnêtes. Fausses offres d'emploi pour voler des informations, escroqueries au recrutement, des phishing classiques… Mais certaines sont plus imaginatives. Ainsi, les faux profils peuvent parfois être liés aux escroqueries dites "pig butchering", dans laquelle des pirates convainquent leurs victimes d'investir dans des plateformes d'échange de cryptomonnaies, et finissent par saisir tous les fonds au moment d'encaisser. Plus étonnant : la société de cybersécurité Mandiant – qui a été rachetée par Google – a déclaré à Bloomberg que des pirates informatiques travaillant pour le gouvernement nord-coréen avaient copié des CV et des profils sur les principales plateformes d'offres d'emploi LinkedIn et Indeed, afin d'obtenir des emplois dans des sociétés de cryptomonnaies.
Toutefois, les bots repérés par KrebsOnSecurity constituent un cas différent, et leurs motivations restent floues. En effet, ils ne semblent réaliser aucune arnaque, même lorsqu'on leur tend le bâton. Ils ne répondent pas aux messages et ne publient rien. Les faux comptes ont plutôt l'air d'être créés et immédiatement abandonnés. Hamish Taylor estime que c'est plutôt inquiétant : "on dirait que quelqu'un met en place cet énorme réseau de robots pour répéter et amplifier un message de propagande à travers une publication de masse au moment opportun". Quoi qu'il en soit, les faux profils sont un vrai fléau, et on espère que LinkedIn réagira en conséquence. Bloomberg note d'ailleurs que la plateforme a jusqu'ici réussi à éviter les scandales à ce propos, contrairement à Facebook et Twitter. Mais les choses pourraient bien changer…