En détournant les recherches Google sur mobile, des attaquants ont lancé une campagne de phishing ciblant celles et ceux qui cherchent à accéder à leur portail RH. Objectif : siphonner leur salaire, ni vu ni connu.
- Les hackers ciblent les recherches Google mobiles pour piéger les employés en quête de leur portail RH à travers des sites sponsorisés crédibles mais frauduleux.
- L'attaque passe inaperçue grâce à des routeurs domestiques compromis et aboutit au vol des salaires via des connexions sécurisées.
- Pour s’en protéger : évitez les résultats sponsorisés sur Google, utilisez des liens sûrs et activez l’authentification à deux facteurs.
Il suffit d’un employé un peu pressé, d’un smartphone pas trop sécurisé, et d’une recherche Google banale pour que tout vire à la cata. « Portail de paie + nom de l’entreprise », tape-t-il. En haut des résultats, un lien sponsorisé parfaitement crédible. Le site s’ouvre, la page ressemble à s’y méprendre à un espace de connexion RH. Il entre ses identifiants, sans se douter une seconde qu’ils viennent d’être envoyés à un cybercriminel.
Ce scénario, ReliaQuest l’a documenté dans une attaque de phishing récente qui a permis de détourner des salaires dans une entreprise du secteur industriel. Et si l’affaire fait parler, ce n’est pas seulement à cause de l’arnaque elle-même, mais à cause de la méthode : du référencement payant détourné pour remonter de faux sites dans Google, et une cible bien identifiée – les smartphones des salariés.
Un lien sponsorisé, un portail RH piégé
L’attaque repose sur une vieille ficelle remise au goût du jour : le SEO poisoning, ou empoisonnement des résultats de recherche. Dans ce cas précis, le site frauduleux est spécialement conçu pour cibler les appareils mobiles, et ne redirige vers la page de phishing que les connexions provenant d’un smartphone.
Pourquoi le mobile ? Parce que le téléphone personnel d’un salarié est souvent le maillon faible de la sécurité. Il n’est pas relié au réseau de l’entreprise, ne bénéficie pas des protections professionnelles classiques (antivirus, filtrage, journalisation...), et il est utilisé en dehors du cadre de travail, sans supervision.
Une fois les identifiants saisis sur le portail piégé, ils sont immédiatement exfiltrés vers les serveurs des attaquants. En parallèle, un script intégré au site déclenche une connexion directe via le service Pusher, qui envoie en temps réel une alerte dès qu’un mot de passe est volé.
Les hackers n’ont plus qu’à se connecter au portail RH avant toute tentative de réinitialisation, modifier les coordonnées bancaires de la victime… et toucher le salaire à sa place. Rapide. Propre. Efficace.
Et pour brouiller les pistes, des routeurs domestiques zombifiés
Pour éviter d’être repérés, les attaquants se connectent depuis des adresses IP résidentielles, issues de routeurs domestiques compromis. Des modèles grand public, souvent mal configurés ou jamais mis à jour, piratés puis intégrés à des botnets de proxys revendus sur le dark web.
Le trafic généré ressemble alors à celui d’un internaute lambda. Les connexions proviennent d’adresses IP légitimes, localisées dans le bon pays, ce qui explique qu’aucune alerte ne remonte côté sécurité.
Dans son billet, ReliaQuest a également précisé que cette attaque présentait des similitudes avec d’autres incidents analysés fin 2024, ce qui laisse penser à une campagne plus large et toujours active. D’où l’importance pour les organisations de revoir la sécurité de leurs portails RH et de ne pas sous-estimer les risques liés aux usages mobiles hors réseau d’entreprise.
Comment éviter de tomber dans le piège
Pas besoin de faire partie d’une entreprise du CAC 40, ni de gagner des mille et des cents pour être visé par ce type d’arnaque. Malgré le caractère pernicieux de cette campagne, quelques bonnes pratiques suffisent à réduire drastiquement les risques :
- Évitez d’accéder à votre portail de paie via Google, ou n’importe quel autre moteur de recherche, et ne cliquez pas sur les résultats sponsorisés. Préférez passer par un lien direct, que vous pouvez épingler en favori.
- Vérifiez toujours la composition de l’URL avant de saisir vos identifiants, et ce quelle que soit la plateforme de connexion.
- Activez l’authentification à deux facteurs sur tous vos comptes sensibles.
- Vérifiez régulièrement vos informations bancaires dans les interfaces RH, et signalez immédiatement tout changement suspect.
- Mettez systématiquement à jour vos routeurs, équipements réseau et objets connectés, y compris à la maison.
Source : ReliaQuest
