Campagne d'escroquerie au recrutement liée à la Coupe du monde de la FIFA 2026 «™ »
15 juin 2026
Par Samantha Clarke, Hiwot Mendahun et l'équipe de recherche sur les menaces de Mimecast
- Campagne de recrutement frauduleuse se faisant passer pour la Coupe du monde de la FIFA 26™
- Plus de 2 500 e-mails ont été détectés comme ayant été envoyés via l'infrastructure légitime de Zoom Events
- Attaque en plusieurs étapes visant à collecter des informations personnelles identifiables (PII) par le biais de faux processus de recrutement
- Destiné principalement à des destinataires au Royaume-Uni, en Allemagne et aux États-Unis travaillant au sein d'équipes de marketing ou de réseaux sociaux
- Objectif de la campagne : collecte de comptes sur les réseaux sociaux afin de détourner les fonds publicitaires de Meta Business
Présentation de la campagne
Les grands événements mondiaux suscitent un intérêt considérable auprès du grand public. En vue de la Coupe du monde de la FIFA 2026, les forces de l'ordre et les chercheurs en sécurité ont lancé des avertissements publics concernant des activités d'usurpation d'identité liées à la FIFA, notamment des portails d'emploi frauduleux ainsi que de faux sites de vente de billets et de produits dérivés. L'équipe de recherche sur les menaces de Mimecast a constaté l'existence d'une arnaque au recrutement qui exploite la prochaine Coupe du monde de la FIFA 26™ pour se donner une apparence de crédibilité. Des cybercriminels usurpent l'identité de plusieurs grandes marques pour envoyer des offres d'emploi non sollicitées, invitant les destinataires à prendre rendez-vous via scheduler.zoom.us. Les messages sont transmis via l'infrastructure de Zoom Events, et les URL de prise de rendez-vous redirigent vers des pages légitimes de Zoom Scheduler sur le domaine zoom.us, ce qui les rend particulièrement difficiles à distinguer d'une prise de contact authentique.
Outre la Coupe du monde de la FIFA 26™, nous avons également détecté des activités similaires visant à usurper l'identité du FC Barcelone, de Meta, de Warner Bros, d'Amazon et de Publicis Groupe.
Ce qui rend cette campagne particulièrement difficile à détecter, c'est qu'elle exploite délibérément l'infrastructure de Zoom, en redirigeant les victimes vers des URL légitimes de type scheduler.zoom.us qui semblent impossibles à distinguer des véritables prises de contact de recruteurs. En plus de ces abus commis sur cette plateforme de confiance, des tactiques d'ingénierie sociale systématiques sont mises en place pour exploiter les demandeurs d'emploi et ceux qui souhaitent participer à l'événement sportif le plus suivi au monde.
Dans chaque cas observé, le premier contact suit un schéma reconnaissable : suffisamment soigné pour paraître légitime, mais suffisamment similaire d’une cible à l’autre pour révéler son origine automatisée.
La première prise de contact
Ces e-mails visaient les responsables des réseaux sociaux ou les personnes soupçonnées de disposer d'un compte Meta for Business actif. Les messages examinés présentaient tous une structure cohérente :
- Une formule de politesse générique ("Bonjour," ou "Salut,") sans mentionner le nom du destinataire
- Une déclaration indiquant que l'expéditeur a découvert le profil du destinataire et a été impressionné par son expertise en matière de réseaux sociaux
- Une offre portant sur un poste lié aux réseaux sociaux ou à l'interaction avec les fans, en lien avec la marque dont l'identité a été usurpée
- Une invitation à un premier entretien confidentiel « "»"
- Un lien vers l'URL du planificateur Zoom
Le texte de l'e-mail précise qu'une fois que le destinataire aura pris rendez-vous pour un entretien téléphonique, il recevra un e-mail de confirmation contenant un lien vers le formulaire de candidature officiel de l'"." Le fait de remplir le formulaire de candidature est présenté comme une étape obligatoire pour que votre candidature soit prise en compte.
Déroulement d'une attaque en plusieurs étapes
L'équipe Mimecast Threat Research a observé un processus de réservation en plusieurs étapes hébergé sur Zoom Scheduler (scheduler.zoom.us) lors des campagnes consacrées à la FIFA.
Au cours de plusieurs campagnes, l'équipe de recherche a constaté que le planificateur collectait de nombreuses informations personnelles :
- Nom complet
- Adresse e-mail
- Numéro de téléphone
- URL du profil LinkedIn
- Niveau d'expérience avec certaines plateformes (par exemple, Meta Business Suite)
- Réponses écrites concernant l'adéquation au poste et l'expérience pertinente
Objectifs finaux probables
Compte tenu de la structure de la campagne et des méthodes de collecte de données, plusieurs scénarios de menace sont envisageables.
Usurpation d'identité et vol d'identifiants : une fois le formulaire rempli via la page de planification de Zoom, les destinataires recevront un lien vers la page de candidature obligatoire sur ":". Cette page redirige probablement les utilisateurs vers une page destinée à la collecte d'identifiants, conçue pour récupérer leurs données de connexion. Une fois les identifiants obtenus, les cybercriminels cherchent probablement à vider les fonds du compte Meta for Business existant.
Prise de contrôle de compte : les formulaires d'inscription peuvent demander aux utilisateurs de s'authentifier via Google, Facebook ou LinkedIn, ce qui peut permettre le détournement de session ou la compromission du compte.
Collecte de données à caractère personnel lors de faux entretiens d'embauche : les appels programmés peuvent donner lieu à des demandes d'informations sensibles, notamment des numéros de Sécurité sociale, des coordonnées bancaires et des scans de pièces d'identité délivrées par les autorités, sous prétexte d'une vérification des antécédents professionnels.
Fraude financière : il peut arriver que les victimes soient invitées à verser des cautions pour du matériel, à s'acquitter de frais d'inscription ou à participer à des stratagèmes de faux chèques, dans le cadre desquels elles déposent des chèques frauduleux et effectuent des virements avant que le chèque ne soit refusé.
Indicateurs de compromission (IOC)
Domaine de l'expéditeur :
- noreply-zoomevents@zoom.us (infrastructure officielle de Zoom Events)
URL malveillantes du planificateur :
- scheduler.zoom.us/joseph-fifa/responsable-des-réseaux-sociaux
- scheduler.zoom.us/joseph-fcb/réseaux-sociaux
Caractéristiques courantes des e-mails :
- Formules de politesse génériques sans mention du nom du destinataire
- Références à l'expertise en matière de réseaux sociaux
- Liens vers les pages personnelles du planificateur Zoom
- Nom de l'expéditeur : "Joseph", avec l'objet : "Équipe de recrutement"
- Pas de référence d'offre d'emploi ni de lien officiel vers le portail de recrutement
Recommandations
Formation de sensibilisation des utilisateurs
- Sensibilisez les collaborateurs aux spécificités de cette campagne
- Formez les utilisateurs à vérifier l'identité des recruteurs par le biais des canaux officiels de l'entreprise avant d'entrer en contact avec eux
- Insistez sur le fait que les employeurs sérieux ne demandent pas d'informations personnelles sensibles avant les entretiens officiels ou les propositions d'embauche
- Réalisez des simulations de Phishing incluant des scénarios axés sur le recrutement
Recherche proactive des menaces
- Recherchez dans les journaux de réception des e-mails à l'aide des indicateurs de compromission (IOC) répertoriés
Gardez une longueur d'avance en matière de renseignements sur les menaces
Rejoignez les milliers de professionnels de la sécurité qui s'appuient sur nos alertes sélectionnées avec soin, nos analyses d'experts et nos indicateurs de compromission (IOC) liés aux campagnes pour se prémunir contre les dernières cybermenaces.
Inscription réussie
Merci de vous être inscrit pour recevoir nos notifications relatives aux informations sur les menaces.
Nous vous contacterons !