Message d'intérêt public : les escrocs utilisent de fausses offres d'emploi pour voler l'identité des gens

C'est devenu une publicité Internet omniprésente, avec des versions qui apparaissent partout, de Facebook et LinkedIn à des sites plus petits comme Jobvertise : chauffeur de navette aéroport recherché, dit-il, offrant un travail qui consiste à prendre des passagers pendant 35 heures par semaine à un taux de rémunération hebdomadaire attrayant. cela représente plus de 100 000 $ par année.

Mais les aéroports ne sont pas vraiment en train de faire miroiter des salaires à six chiffres pour les chauffeurs de navette au milieu d'une recrudescence soudaine du transport aérien. Au lieu de cela, les publicités sont la dernière tentative des cybercriminels de voler l'identité des gens et de les utiliser pour commettre des fraudes, selon les récents avertissements du FBI, de la Federal Trade Commission et des entreprises de cybersécurité qui surveillent ces menaces. Les services secrets américains, qui enquêtent sur les délits financiers, ont également confirmé avoir constaté une "augmentation marquée" des fausses offres d'emploi cherchant à voler les données personnelles des personnes, souvent dans le but de déposer de fausses demandes d'assurance-chômage.

« Ces fraudeurs, ils sont comme un virus. Ils continuent de muter », a déclaré Haywood Talcove, directeur général de la division gouvernementale de LexisNexis Risk Solutions, l'un des nombreux sous-traitants aidant les agences étatiques et fédérales à lutter contre le vol d'identité. (ProPublica est abonné aux bases de données d'archives publiques fournies par LexisNexis.)

Cette mutation particulière est une menace émergente, ont déclaré Talcove et d'autres. Les chiffres sont faibles jusqu'à présent, mais ils augmentent rapidement. En mars, LexisNexis a détecté environ 2 900 publicités vantant une rémunération exceptionnellement généreuse, utilisant des domaines de messagerie suspects et exigeant que l'on vérifie son identité à l'avance. Le total était passé à 18 400 en juillet, puis à 36 350 à partir de ce mois-ci. Talcove a déclaré que ces chiffres sont basés sur un petit échantillon d'offres d'emploi et que le nombre réel est probablement beaucoup plus élevé.

Cette forme d'escroquerie est en plein essor à un moment où les cibles de fraude à la demande d'emploi abondent. Des millions d'Américains quittent leur emploi et en recherchent un nouveau. Un pourcentage record de travailleurs - 2,9% - a quitté son emploi en août, selon le département américain du Travail. Pendant ce temps, un grand nombre de travailleurs licenciés sont toujours à la recherche d'un emploi, ce qui entraîne une rotation historique du marché du travail.

Les publicités reflètent un ajustement tactique des cybercriminels. Une vague massive de fraudes à l'assurance-chômage pendant la pandémie a incité les autorités à renforcer les exigences de vérification d'identité. Dans la plupart des États américains, les cybercriminels ne peuvent plus simplement saisir des informations d'identité volées sur les sites Web gouvernementaux et percevoir fréquemment des allocations d'assurance-chômage. Désormais, les candidats dont les noms sont utilisés pour demander des allocations de chômage doivent souvent vérifier sur leur téléphone que ce sont eux qui demandent de l'aide, un processus similaire à l'authentification à deux facteurs.

Cela signifie que les escrocs peuvent avoir besoin de l'aide de leurs victimes - et parfois ils font tout leur possible pour les induire en erreur. Certains fraudeurs recréent les sites Web d'embauche d'entreprises. Un faux site de candidature utilise les photos, le texte, la police et le code couleur de Spirit Airlines. Le faux site demande aux candidats de télécharger une copie des deux côtés de leur permis de conduire au début du processus et leur envoie un e-mail demandant plus d'informations à partir d'une adresse Web qui ressemble à celle de Spirit, avec un « i » supplémentaire (spiiritairline.com). Spirit Airlines n'a pas répondu aux demandes de commentaires.

D'autres escroqueries à l'emploi sont moins élaborées et présentent des signes plus visibles d'inauthenticité. Une fausse publicité pour les chauffeurs de navette aéroport sur Facebook a été publiée par une femme qui prétendait travailler à l'aéroport international de Denver. Les lecteurs assidus ont peut-être remarqué que le seul endroit lié à partir du profil Facebook de la femme était une ville nigériane appelée Owerri. (Un porte-parole de l'aéroport de Denver a signalé le profil à Facebook après une enquête de ProPublica, et l'annonce n'est plus active.)

Dans d'autres cas, les offres d'emploi non sollicitées atterrissent simplement dans les boîtes de réception des candidats après qu'ils ont téléchargé leur CV sur de vrais sites de recherche d'emploi, auxquels les escrocs peuvent accéder s'ils se font passer pour des employeurs potentiels. Jeri-Sue Barron a reçu une multitude de courriels depuis le début de la pandémie l'informant qu'elle avait été préapprouvée pour une variété d'emplois pour lesquels elle n'avait même pas postulé. Barron, une retraitée de la banlieue de Dallas, avait téléchargé son CV sur plusieurs sites de recherche d'emploi dans l'espoir de trouver un travail à temps partiel pour compléter ses revenus de sécurité sociale. Elle a ensuite reçu plusieurs offres d'emploi sans aucune demande d'entretien. Un e-mail provenait d'une école de l'État indien du Kerala ; une autre provenait d'un site Web croate dont elle n'avait jamais entendu parler. "Ils ont commencé à venir d'endroits bizarres", a déclaré Barron. "Vous ne voulez presque pas découvrir la prochaine étape." Elle a ignoré les offres.

Comme pour les fausses demandes de chômage plus largement, la fraude est facilitée par une infrastructure souterraine, y compris des forums en ligne où les cybercriminels partagent des conseils sur la façon de perfectionner leurs techniques. Une personne utilisant le pseudo « cleverinformation » sur un forum britannique appelé Carder a mis en place une vidéo explicative qui recommande de publier de fausses offres d'emploi à l'aide d'une demande d'emploi générique qui peut être modifiée pour collecter des données personnelles. En septembre, quelqu'un se faisant passer pour « mrdudemanguy » sur un autre forum, connu sous le nom de Dread, a offert ce conseil à une personne cherchant des identités volées : « Faites semblant d'être une entreprise locale et publiez des offres d'emploi. Lorsqu'ils envoient leur curriculum vitae, appelez-les et posez-leur quelques questions de base sur la demande d'emploi. Faites-leur croire qu'ils ont le travail tant qu'ils peuvent faire une vérification des antécédents. Pour la demande de vérification des antécédents, ils vous envoient des photos ou des scans de documents d'identité.

En réponse à une requête de ProPublica, mrdudemanguy n'a pas répondu aux questions sur le partage de fausses publicités et s'est plutôt concentré sur l'explication de la source de sa technique recommandée et de son succès. "Je n'ai pas essayé cette méthode moi-même", écrit-il. « C'est juste une méthode que je connais d'autres personnes et ça marche. Cela peut être fait dans n'importe quelle partie du monde, le pays n'a pas d'importance. Tant que l'offre d'emploi semble légitime, une personne à la recherche d'un emploi sera susceptible de postuler. » Les questions envoyées à smartinformation ont donné une réponse similaire. "C'est efficace", a déclaré la personne, notant que c'est une technique sous-utilisée. La personne a ajouté: "Essayer de démarrer une discussion de groupe où nous partageons nos connaissances."

L'annonce omniprésente pour les chauffeurs de navette d'aéroport a été discutée dans un forum similaire. Une version de celui-ci a été publiée sur une chaîne Telegram d'un groupe d'escroquerie nigérian appelé Yahoo Boys Community, ainsi que des instructions sur ce qu'il faut dire aux candidats pour qu'ils partagent leur numéro de sécurité sociale, des photos de leur permis de conduire et d'autres détails personnels. Le message exhortait les 5 000 membres du groupe à poser des questions génériques aux candidats par e-mail et à leur proposer le poste, mais uniquement s'ils partageaient d'abord leurs documents personnels pour décrocher le poste idéal. "Une fois que le client vous a donné les détails, buzzez-moi sur WhatsApp et laissez-le commencer à travailler dès que possible", lit-on dans le message de juillet, dont l'initiateur n'a pas pu être identifié.

Les escroqueries aux demandes d'emploi existent sous diverses formes depuis des années. Certains incitent les candidats à acheter du matériel ou des logiciels aux escrocs en vue d'un emploi inexistant. D'autres essaient d'inciter les victimes à travailler gratuitement ou à réexpédier des biens achetés avec des cartes de crédit volées. Mais, selon les forces de l'ordre, utiliser de fausses offres d'emploi pour voler des identités et les utiliser pour tirer profit des prestations gouvernementales est une nouvelle astuce.

Alexandra Mateus Vasquez est tombée dans l'une de ces escroqueries en décembre 2020. Peintre en herbe, Vasquez envisageait de quitter son travail de vente dans un centre commercial de banlieue près de New York. Elle a postulé pour un poste de graphiste au sein de la chaîne de restaurants Steak 'n Shake via le site d'emploi largement utilisé Indeed. Elle était ravie lorsque ce qui semblait être un représentant de Steak 'n Shake l'a invitée via Gmail à participer à un test de sélection par e-mail pour le poste.

Mener une interview par e-mail a d'abord semblé étrange à Vasquez, mais elle a continué parce que les questions semblaient standard. Ils incluaient des questions telles que "Comment respectez-vous des délais serrés ?" selon les e-mails qu'elle a partagés avec ProPublica, et elle a fourni des réponses sérieuses. Quelques heures plus tard, elle a reçu un e-mail lui proposant le poste et lui demandant son adresse et son numéro de téléphone afin qu'une lettre d'offre formelle puisse être envoyée. Le salaire proposé était attractif : 30 $ de l'heure. Lorsque la lettre est arrivée, elle a également demandé son numéro de sécurité sociale. Vasquez a fourni toutes les informations demandées.

Bientôt, Vasquez a été invité à une vérification des antécédents, via un chat en ligne, avec un supposé responsable du recrutement. Elle s'est retrouvée à échanger des messages avec un compte contenant une photo floue d'un vieil homme et le nom "Iran Coleman" qui y était attaché. (Plusieurs autres candidats ont décrit des expériences similaires lors d'une discussion sur le poste de Steak 'n Shake sur le site de recrutement Glassdoor.)

La personne prétendant être le responsable du recrutement du Steak 'n Shake a demandé des copies des dossiers personnels de Vasquez pour vérifier son identité. Elle a partagé des photos de sa carte d'identité de l'État de New York et de sa carte verte, mais est devenue méfiante lorsque la personne a également demandé son numéro de carte de crédit. Alors que Vasquez hésitait, elle a reçu un appel d'ID.me, un fournisseur de vérification d'identité utilisé par 27 États pour protéger leurs programmes d'assurance-chômage. L'entreprise lui a demandé si elle postulait pour une aide au chômage en Californie. C'est alors qu'elle s'est rendu compte qu'elle se faisait arnaquer. "J'étais tellement déçu", a déclaré Vasquez. "Je croyais vraiment que cette position était réelle."

Steak 'n Shake n'a pas répondu aux messages sollicitant des commentaires. (ProPublica a pu joindre Iran Coleman, le prétendu responsable du Steak 'n Shake cité dans l'escroquerie. Il a déclaré que le Steak 'n Shake de Louisville qu'il gérait était fermé et qu'il n'y avait pas travaillé depuis au moins 2014. Il a dit qu'il n'avait pas mis à jour son profil LinkedIn superficiel, qui le répertorie en tant que directeur de restaurant Steak 'n Shake, depuis des années. Coleman a déclaré qu'il gère maintenant trois restaurants Waffle House. "Je ressens pour cette personne", a-t-il déclaré à propos de Vasquez lorsqu'il a été informé expérience.)

Vasquez a signalé l'incident à la police et a contacté l'administration de la sécurité sociale, qui l'a informée qu'elle avait refusé plusieurs demandes de création d'un compte à son nom. (Un porte-parole de l'agence a déclaré que les lois sur la confidentialité l'empêchaient de discuter de cas individuels.) Elle a ensuite abandonné sa recherche d'emploi. "J'ai commencé à douter que tous les emplois pour lesquels je postule soient réels", a-t-elle déclaré. Vasquez a récemment lancé un site Web pour commencer à vendre des peintures en ligne et espère toujours devenir un professionnel du design.

Blake Hall, directeur général d'ID.me, a déclaré que la société avait déployé un langage sur ses systèmes qui informe les utilisateurs lorsque leur identité est utilisée pour demander des prestations d'assurance-chômage et les avertit de ne pas continuer si un emploi leur est proposé. Hall a déclaré qu'il appartenait en fin de compte aux utilisateurs de tenir compte de ces avertissements. "Nous ferons tout notre possible pour qu'il soit clair qu'ils ont été arnaqués", a-t-il déclaré, "mais en fin de compte, protéger quelqu'un d'eux-mêmes est un défi de taille." Il a comparé son entreprise à un gardien de but qui a également besoin de l'aide d'autres membres de l'équipe, en l'occurrence les sites d'emploi où les criminels publient de fausses annonces.

Le Better Business Bureau a déclaré dans une alerte le mois dernier qu'En effet, LinkedIn et Facebook étaient en tête de liste des plateformes en ligne où les utilisateurs ont signalé avoir repéré des offres d'emploi frauduleuses qui les ont dupés.

Indeed supprime chaque mois des dizaines de millions d'offres d'emploi qui ne respectent pas ses directives de qualité, selon un porte-parole de l'entreprise, et refuse de répertorier les emplois des employeurs s'ils ne respectent pas ces directives. En juillet, le site a publié un article de blog expliquant comment repérer les offres d'emploi frauduleuses. « Indeed place les demandeurs d'emploi au cœur de tout ce que nous faisons », a déclaré le porte-parole.

LinkedIn a supprimé 10 fausses offres d'emploi de navette aéroport après qu'elles aient été signalées par ProPublica. Un porte-parole a déclaré que la publication de fausses offres d'emploi est une "violation manifeste" des conditions d'utilisation de LinkedIn et a déclaré que l'entreprise investit dans de nouvelles façons de les repérer, comme l'embauche de plus d'examinateurs humains et l'expansion d'un système de vérification des e-mails professionnels pour les employeurs potentiels.

Facebook a supprimé certains des messages de la navette aéroport après que ProPublica a alerté le service, mais la société n'a pas répondu aux questions sur ses processus de détection et de suppression des fausses publicités.

Ces derniers mois, la plate-forme de médias sociaux a également été en proie à des pages frauduleuses se faisant passer pour des agences de chômage de l'État. Certains États se sont plaints au département américain du Travail que Facebook tardait à donner suite à leurs demandes de suppression de ces pages, selon un e-mail de mars du département aux agences de main-d'œuvre de l'État divulgué dans le cadre d'une demande de documents publics. Un responsable du ministère du Travail a déclaré qu'en mars, l'agence avait mis en place un nouveau processus permettant aux États de signaler les faux sites Web d'assurance-chômage à Facebook et que "à ce jour, Facebook a réagi en supprimant les pages frauduleuses" signalées par les États.

De nouvelles, cependant, continuent d'apparaître : une fausse version de la page Facebook du département de développement de l'emploi de Californie était en ligne depuis le 12 octobre. L'agence a confirmé que la page n'était pas la sienne et qu'elle a été supprimée de Facebook peu de temps après l'enquête de ProPublica.

Même si les plateformes en ligne nettoient leurs offres d'emploi, d'autres escroqueries d'usurpation d'identité prolifèrent. Le 15 octobre, le FBI a émis un avertissement concernant de faux sites Web que les cybercriminels ont créés pour ressembler aux sites Web sur le chômage des États de l'Illinois, du Maryland, du Nevada, du Nouveau-Mexique et du Wisconsin. Les criminels utilisent les sites pour voler les informations personnelles sensibles des victimes, selon le FBI.

Note de l'éditeur : Cette histoire a été initialement publiée sur ProPublica par Cezary Podkul sous une licence Creative Commons .

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

• Comment signaler une application frauduleuse sur l'App Store
• Apple facilite enfin le signalement des applications frauduleuses sur l'App Store
• Le nombre d'escroqueries par téléphone monte en flèche - voici comment vous pouvez les arrêter dans leur élan
• Facebook Marketplace compte désormais un milliard d'utilisateurs. Maintenant, il est exploité par des escrocs