Incidents associés
Un expert en sécurité a raconté comment il a failli se faire avoir par un nouvel appel frauduleux basé sur l'IA qui visait à obtenir les détails de son compte Gmail.
Il existait déjà des applications ChatGPT frauduleuses sur l'App Store, mais maintenant, l'intelligence artificielle a été déployée par des escrocs dans ce que l'expert Sam Mitrovic décrit comme "super réaliste".
"Les gens sont occupés et cette arnaque semblait et semblait suffisamment légitime pour que je leur donne un A pour leurs efforts", a écrit Mitrovic dans un article de blog. "Beaucoup de gens sont susceptibles de tomber dans le panneau".
« Malgré de nombreux signaux d'alarme après une inspection plus approfondie, cet appel semblait suffisamment légitime pour tromper de nombreuses personnes », a-t-il poursuivi. « Je suppose que leur taux de conversion des appels répondus serait relativement élevé. »
Pour Mitrovic, tout a commencé par une notification pour approuver une tentative de récupération de compte Gmail. Mitrovic a ignoré à la fois cela et un appel manqué apparemment de Google Sydney.
Une semaine plus tard, la même notification est apparue et 40 minutes plus tard, il a reçu un appel indiquant qu'il avait répondu. L'écart de sept jours était important, car l'appelant lui a dit qu'il y avait eu une activité suspecte sur son compte pendant une semaine.
Alors que cette voix masculine américaine polie et professionnelle demande si Mitrovic aurait pu accéder à son compte depuis l'étranger, l'expert en sécurité recherche sur Google le numéro de téléphone d'où provient l'appel. Il s'agit d'un numéro Google légitime, bien que Mitrovic souligne que les numéros peuvent être falsifiés.
Dans ce cas, cependant, le numéro Google était destiné aux appels concernant spécifiquement Google Assistant, et non au compte Gmail sur lequel il était interrogé. Mitrovic demande donc à l'appelant de lui envoyer un e-mail.
« Il dit poliment qu'il va le faire et qu'on lui donne un moment », poursuit Mitrovic. « En arrière-plan, j'entends quelqu'un taper... Après quelques instants, l'e-mail arrive et à première vue, il semble légitime. »
Ce n'est pourtant pas le cas. Alors que Mitrovic remarque que l'adresse ne provient pas d'un domaine Google, l'appelant dit « Bonjour ».
« Je l'ai ignoré... puis environ 10 secondes plus tard, [la voix] a répété "Bonjour" », raconte Mitrovic, et c'est à ce moment-là que l'expert en sécurité a raccroché. « À ce moment-là [j'ai réalisé qu'il s'agissait] d'une voix d'IA car la prononciation et l'espacement étaient trop parfaits. »
« Les escroqueries deviennent de plus en plus sophistiquées, plus convaincantes et se déploient à une échelle toujours plus grande », prévient Mitrovic.
Pour éviter de se faire avoir, il note qu'il y avait plusieurs indices, à commencer par la façon dont il a reçu des notifications de récupération de compte qu'elle n'avait pas initiées. Il note également que Google n'appelle pas les utilisateurs de Gmail à moins que vous n'ayez également un profil Google Business.
L'usurpation d'un numéro de téléphone et d'une adresse e-mail est déjà assez effrayante, mais le fait que l'appel ait été entièrement passé par une voix d'IA est dégrisant. Ironiquement, cela peut signifier que les escrocs emploieront moins de personnes à l'avenir, mais cela signifie également que des centaines ou des milliers de ces appels pourraient être passés simultanément.
Au-delà de l'aspect IA, cependant, l'usurpation d'identité téléphonique et les appels de phishing ne sont pas nouveaux. Par le passé, des escrocs ont prétendu appartenir au support Apple, par exemple.