Incidents associés
Les escroqueries utilisant l'intelligence artificielle sont un nouveau défi pour les entreprises
Les criminels ont utilisé un logiciel basé sur l'intelligence artificielle pour se faire passer pour la voix d'un directeur général et exiger un transfert frauduleux de 220 000 € (243 000 $) en mars dans ce que les experts en cybercriminalité ont décrit comme un cas inhabituel d'utilisation de l'intelligence artificielle dans le piratage.
Le PDG d'une entreprise énergétique basée au Royaume-Uni pensait parler au téléphone avec son patron, le directeur général de la société mère allemande de l'entreprise, qui lui avait demandé d'envoyer les fonds à un fournisseur hongrois. L'appelant a déclaré que la demande était urgente, ordonnant au dirigeant de payer dans l'heure, selon la compagnie d'assurance de la société, Euler Hermes Group SA.
Euler Hermes a refusé de nommer les entreprises victimes.
Les autorités chargées de l'application de la loi et les experts en IA ont prédit que les criminels utiliseraient l'IA pour automatiser les cyberattaques. Celui qui était derrière cet incident semble avoir utilisé un logiciel basé sur l'IA pour imiter avec succès la voix de l'exécutif allemand par téléphone. Le PDG britannique a reconnu le léger accent allemand de son patron et la mélodie de sa voix au téléphone, a déclaré Rüdiger Kirsch, expert en fraude chez Euler Hermes, une filiale de la société de services financiers basée à Munich Allianz SE.
Plusieurs responsables ont déclaré que l'attaque par usurpation de voix en Europe est le premier cybercrime dont ils ont entendu parler dans lequel les criminels se sont clairement inspirés de l'IA. Euler Hermes, qui couvrait la totalité du montant de la réclamation de la société victime, n'a pas traité d'autres réclamations visant à recouvrer les pertes résultant de crimes impliquant l'IA, selon M. Kirsch.
Les escroqueries utilisant l'IA sont un nouveau défi pour les entreprises, a déclaré M. Kirsch. Les outils de cybersécurité traditionnels conçus pour éloigner les pirates des réseaux d'entreprise ne peuvent pas détecter les voix usurpées. Les entreprises de cybersécurité ont récemment développé des produits pour détecter les enregistrements dits deepfake.
On ne sait pas s'il s'agit de la première attaque utilisant l'IA ou s'il y a d'autres incidents qui n'ont pas été signalés ou dans lesquels les autorités n'ont pas détecté la technologie utilisée, a déclaré Philipp Amann, responsable de la stratégie au Centre européen de la cybercriminalité d'Europol. Europol est l'agence de police européenne. Bien qu'il soit difficile de prédire s'il pourrait bientôt y avoir une augmentation des cyberattaques utilisant l'IA, M. Amann a déclaré que les pirates informatiques sont plus susceptibles d'utiliser la technologie si elle rend les attaques plus efficaces ou plus rentables.
Les assaillants responsables de l'escroquerie de la compagnie énergétique britannique ont appelé à trois reprises, a déclaré M. Kirsch. Après le transfert des 243 000 $, les pirates ont appelé pour dire que la société mère avait transféré de l'argent pour rembourser la société britannique. Ils ont ensuite passé un troisième appel plus tard dans la journée, se faisant à nouveau passer pour le PDG, et ont demandé un deuxième paiement. Parce que le transfert de remboursement des fonds n'était pas encore arrivé et que le troisième appel provenait d'un numéro de téléphone autrichien, le dirigeant est devenu suspect. Il n'a pas effectué le deuxième paiement.
L'argent qui a été transféré sur le compte bancaire hongrois a ensuite été transféré au Mexique et distribué à d'autres endroits. Les enquêteurs n'ont identifié aucun suspect, a déclaré M. Kirsch.
On ne sait pas si les attaquants ont utilisé des bots pour réagir aux questions de la victime. S'ils l'avaient fait, il aurait été encore plus difficile pour les autorités chargées de l'application des lois d'enquêter, a déclaré M. Amann. Une enquête policière sur l'affaire est terminée, a déclaré M. Kirsch. Europol n'était pas impliqué.
M. Kirsch pense que les pirates ont utilisé un logiciel commercial de génération de voix pour mener à bien l'attaque. Il a enregistré sa propre voix en utilisant un de ces produits et a déclaré que la version reproduite semblait réelle.
Quelques éditeurs de logiciels proposent des services qui peuvent rapidement se faire passer pour des voix, a déclaré Bobby Filar, directeur de la science des données chez Endgame, une société de cybersécurité. "Vous n'avez pas besoin d'être titulaire d'un doctorat. en mathématiques pour l'utiliser. il a dit.
Une autre tactique que les pirates pourraient utiliser serait d'assembler des échantillons audio pour imiter la voix d'une personne, ce qui nécessiterait probablement de nombreuses heures d'enregistrement. Des chercheurs en sécurité ont démontré cette technique lors de la conférence Black Hat l'année dernière.
Les attaquants pourraient utiliser des enregistrements vocaux accessibles au public pour se faire passer pour des célébrités ou des dirigeants.
« Vous ne pouvez pas faire le tour et rester silencieux tout le temps. Vous allez vous retrouver dans des situations comme celle-ci où vous exposez des informations dont vous n'auriez jamais pensé qu'elles pourraient être utilisées contre vous », a déclaré M. Filar.
L'application de la technologie d'apprentissage automatique aux fausses voix facilite la cybercriminalité, a déclaré Irakli Beridze, directeur du Centre sur l'IA et la robotique à l'Institut interrégional de recherche des Nations Unies sur la criminalité et la justice.
Le centre de l'ONU recherche des technologies pour détecter les fausses vidéos, ce qui, selon M. Beridze, pourrait être un outil encore plus utile pour les pirates. Dans l'affaire de la société énergétique britannique, un numéro de téléphone inconnu a finalement éveillé les soupçons. "Imaginez un appel vidéo avec la voix [d'un PDG], les expressions faciales que vous connaissez. Alors vous n'auriez aucun doute du tout », a-t-il déclaré.