Butcher

Cette offre d’emploi Ciso pourrait être une arnaque de «cochon»

Lucas Morel

Les escroqueries en matière de recrutement d’emplois incluent désormais des rôles de leadership en matière de sécurité. Un CISO propose un compte rendu soufflant d’une fausse escroquerie lancée dans les mois qui ont suivi un poste.

L’expérience récente d’un leader de la sécurité chevronné illustre comment les fausses offres d’emploi sont de plus en plus utilisées comme points d’entrée pour les escroqueries «buccyring».

Les escroqueries par cochon sont une forme de fraude d’investissement qui exploite l’ingénierie sociale pour établir une relation avec une marque potentielle avant de les boucher financièrement, souvent par la crypto-monnaie ou d’autres faux investissements.

Les fraudeurs représentant prétendument Gemini Crypto, une plate-forme de négociation de crypto-monnaie basée aux États-Unis, ont tenté de quitter le CISO Walter Williams à un minimum de 1000 $ par le biais d’une campagne soutenue qui a duré plus de trois mois entre mai et septembre 2025. Le prétexte d’une recherche de travail confidentielle pour une approche de la CISO a été suffisamment plausible pour que Williams ait joué malgré une réalité confidentielle de la SUSPECT.

Williams a ajouté: « La raison pour laquelle je leur ai donné même un moment de mon temps – car le contact initial était suffisamment étrange pour signaler que quelque chose n’allait pas – c’est parce que je les avais contactés en janvier et ils pourraient me suivre. »

Premier contact

En janvier, Williams a postulé à Gemini Crypto pour un rôle de directeur de la sécurité GRC via son site officiel, ne recevant pas plus qu’un accusé de réception par e-mail standard de sa demande d’emploi.

Des mois plus tard en mai, un représentant de recrutement du département des ressources humaines du groupe Gemini a approché Williams via LinkedIn sur un poste de direction de premier plan initialement non spécifié. Une réponse de Williams disant qu’il pourrait être intéressé et offrir ses coordonnées a rencontré une réponse non grammaticale.

Peu de temps après, Williams a reçu un message SMS de Li Jiaxin, supposé chef de la succursale de Los Angeles de Gemini et membre du conseil d’administration, faisant référence à une demande de rôle de CISO. Quelques chèques rapides de Williams ont révélé que Gemini Crypto n’avait pas de bureau de Los Angeles ni un membre du conseil d’administration répertorié du nom de Li Jiaxin, mais il a décidé de jouer pour voir où mènerait cette sensibilisation.

Shenanigans d’interview profonde

Ce qui a suivi a été trois mois de messagerie constante, qui est passée des messages SMS, aux conversations sur WhatsApp, à une (probablement) interview vidéo profondémentflue.

« Outre l’interview de 15 minutes, principalement mon interaction avec eux a été une minute ici et là, et bien sûr les recherches de fond nécessaires sur les Gémeaux lui-même ainsi que la personne qui essayait de m’appuyer », a expliqué Williams. « ‘She’ a un profil Facebook pour correspondre au profil WhatsApp et modifie périodiquement sa photo de profil » mais pas grand-chose d’autre. « 

L’interview elle-même était bizarre, a déclaré Williams.

« L’interview (euh) m’a posé des questions sur ma carrière et les espoirs des relations avec le PDG, le CFO et le CIO », a déclaré Williams. «Il n’y avait pas de questions techniques.»

Williams a ajouté: «« Elle »n’a jamais bougé la tête autre que pour parler; pas de clignotement, pas d’expressions. Je n’ai vu aucune partie de son corps sauf le visage. Le ton de« sa »voix était très question; aucune inflexion.»

Ayant réussi à négocier l’entretien, Williams s’est vu offrir le rôle et un généreux salaire. Cependant, avant de prendre ce «poste», Williams était tenu de suivre une formation obligatoire en dérivés des crypto-monnaies.

Il a été chargé d’acheter 1 000 $ en crypto-monnaie via Coinbase de ses propres fonds pour effectuer cette «formation». Williams a refusé et a été repoussé lorsqu’il a suggéré que les fonds pouvaient être tirés d’une avance sur le salaire de son premier mois, mettant fin le dialogue.

« Ma motivation à continuer était qu’il y avait juste assez de substance dans leur conversation pour rendre ce 50% plausible que c’était réel », a-t-il ajouté.

Williams a documenté l’intégralité de l’échange – avec commentaire – dans un article sur LinkedIn.

Pig-buckring disséqué

Ashley Jess, analyste principal du renseignement d’Intel 471, a déclaré que le mécanisme de la fraude documentée par Williams est typique des escroqueries de percussion.

« Les acteurs de la menace initient fréquemment le contact sur des plateformes légitimes et fiables – par exemple, les postes d’emploi LinkedIn ou la sensibilisation des recruteurs – parce que ces lieux abaissent la garde d’une victime », a expliqué Jess. «Une fois les relations établies, la conversation est déplacée sur des canaux privés – WhatsApp, Telegram, DM – puis éventuellement sur des sites de négociation ou d’investissement émergents où la victime est encouragée à déposer des fonds, bien qu’ils puissent commencer sur une plate-forme légitime, comme dans cet exemple, avant de passer à une plate-forme illégitime.»

«Pig Butchering» est une fraude délibérée et de longue date qui repose sur la construction d’une relation au fil du temps plus d’un seul tour rusé.

« L’interaction à long échantillon que le CISO a partagé est exactement ce que les enquêteurs attendent: les enregistrements quotidiens, les discussions de carrière et les chats de café apparemment inoffensifs qui se transforment progressivement en conversations financières », a ajouté Jess. «Cette phase de« toilettage », qui peut durer des semaines ou des mois, est ce qui rend l’arnaque si dommageable et permet aux attaquants de pousser les victimes dans de grands transferts avec des récits convaincants et des« retours ».

Chainalysis a estimé la fraude cryptographique à environ 12,4 milliards de dollars en 2024, avec des investissements à haut rendement et des escroqueries «buccyring» représentant de grandes proportions de ce chiffre.

«Cette année seulement, nous, chez Intel 471, avons aidé à la recherche et à identifier des milliers de fausses plateformes d’investissement», a expliqué Jess. «De plus en plus, nous voyons des acteurs de menace armé les fausses offres d’emploi comme point d’entrée, car la recherche d’emploi normalise les conversations de grande valeur – salaire, investissements, travail à distance – et crée des prétextes plausibles pour éloigner hors plate-forme.»

Le potentiel de millions de revenus illicites aide à expliquer pourquoi les attaquants jouent le long jeu en renforçant la confiance avant de tenter le vol financier.

« Les acteurs de la menace utilisent des profils générés par l’IA, des vidéos DeepFake et des appels téléphoniques, et des matériaux d’intégration réalistes, en organisant soigneusement tout ce qu’ils communiquent pour rendre l’arnaque très convaincante, même aux professionnels de la cybersécurité les plus assaisonnés », a déclaré Haris Pylarinos, PDG de Hack the Box.

Défis de codage empêchés de logiciels malveillants

Dans certains cas, les faux recruteurs ont donné à l’escroquerie une touche mensongeante en envoyant des candidats «Test Affectations» piégé avec des logiciels malveillants qui peuvent infecter leurs appareils et voler des données sensibles.

L’unité de renseignement du réseau Palo Alto a récemment découvert un groupe de menaces nord-coréen connu sous le nom de Slow Poissons (AKA Jade Sleet) mettant en œuvre une campagne ciblée imitante des recruteurs de LinkedIn. Ils envoient des «défis de codage» à base de logiciels malveillants aux développeurs dans l’espace cryptographique, visant à compromettre les réseaux et à voler des données. Cette campagne est liée à des vols de crypto-monnaie très médiatisés – qui auraient plus de 1,5 milliard de dollars volé en 2023 seulement.

Vigilance requise

L’expérience de Williams montre que les CISO ne sont pas exemptés de l’ingénierie sociale et des attaques de phishing.

Les fraudeurs sont qualifiés pour construire des récits de recrutement convaincants qui reflètent de véritables processus d’embauche, faisant souvent référence aux applications authentiques et aux détails de l’entreprise pour renforcer la crédibilité – quelque chose de capable de rattraper même des professionnels chevronnés.

Jess d’Intel 471 a conseillé: «PRATIQUE À TEAU: Vérifiez les recruteurs non sollicités et les offres d’emploi par le biais des canaux RH de l’entreprise, évitez de déplacer des conversations sur des applications privées inconnues, n’envoyez jamais d’argent ou de semences à des investissements à quelqu’un que vous n’avez pas vérifié indépendamment et signalez immédiatement une sensibilisation suspecte à la plateforme.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Office Table of a Businessman with Office Supplies, Laptop Computer, Mobile Phone and a Cup of Coffee on Top.
Des centaines de systèmes Ivanti EPM exposés en ligne suite à la correction d’une faille critique
System engineers collaborating on coding project, discussing about programming algorithm for new cloud computing user interface. Diverse team of software developers running database system code.
Comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact ?
KI-Browser prend en charge les services
KI-Browser prend en charge les services