Incidents associés
Un chercheur en sécurité et le PDG d’une start-up technologique ont prévenu que certains utilisateurs de Gmail pourraient devenir victimes d’une arnaque sophistiquée basée sur l’IA qui peut conduire au piratage de leurs comptes.
Le directeur général de la société de capital-risque Ycombinator, éminente société de capital-risque axée sur la technologie, a écrit sur X à la fin de la semaine dernière qu’il existait une arnaque de phishing « assez élaborée » qui utilise une voix générée par l’IA.
« Vous devez être conscient d’une arnaque de phishing assez élaborée utilisant la voix de l’IA qui prétend être l’assistance Google (l’identifiant de l’appelant correspond, mais n’est pas vérifié). NE CLIQUEZ PAS SUR OUI DANS CETTE BOÎTE DE DIALOGUE – Vous serez victime d’une attaque de phishing », a écrit Garry Tan dans un message sur X qu’il a qualifié d’« annonce d’intérêt public », daté du 10 octobre.
« Ils prétendent vérifier que vous êtes en vie et qu’ils ne devraient pas tenir compte d’un certificat de décès déposé qui prétend qu’un membre de la famille récupère votre compte. « C’est un stratagème assez élaboré pour vous inciter à autoriser la récupération du mot de passe », a déclaré Tan.
Un chercheur en sécurité, dans un article de blog le mois dernier, a écrit sur une tentative d’escroquerie similaire ciblant les comptes Gmail, qui utilise également une voix générée par l’IA.
« Les escroqueries deviennent de plus en plus sophistiquées, plus convaincantes et sont déployées à une échelle toujours plus grande », a écrit Sam Mitrovic, consultant informatique, dans l’article. « Les gens sont occupés et cette escroquerie semblait suffisamment légitime pour que je leur donne un A pour leurs efforts. De nombreuses personnes sont susceptibles de tomber dans le panneau. »
Selon l’article, Mitrovic a déclaré avoir reçu une notification pour approuver une tentative de récupération d’un compte Gmail, qu’il a finalement rejetée. Il a ensuite reçu un appel téléphonique environ 40 minutes plus tard avec un identifiant d’appelant comme « Google Sydney », le rejetant également.
« Exactement une semaine plus tard », a-t-il ajouté, « plus ou moins exactement au même moment, j’ai reçu une autre notification pour approuver à nouveau la récupération de mon compte Gmail depuis les États-Unis. »
« Vous l’avez deviné – environ 40 minutes plus tard, je reçois un appel que je réponds cette fois. C’est une voix américaine, très polie et professionnelle. Le numéro est australien. Il se présente et dit qu’il y a une activité suspecte sur mon compte », a poursuivi Mitrovic.
La personne à l’autre bout du fil a alors demandé si Mitrovic voyageait, ce à quoi il a répondu que non, selon son récit. La personne a ensuite demandé si Mitrovic était en Allemagne, ce à quoi il a également répondu non.
Mitrovic a déclaré qu’il avait découvert que le numéro de l’appelant était un numéro officiel répertorié sur la page d’assistance informatique de Google Australie, ajoutant qu’il avait demandé un e-mail de confirmation pour découvrir que l’e-mail semblait également être un compte officiel utilisé par l’équipe de Google.
« En arrière-plan, j’entends quelqu’un taper sur le clavier et tout au long de l’appel, il y a un bruit de fond rappelant un centre d’appels. Il m’a dit qu’il avait envoyé l’e-mail. Après quelques instants, l’e-mail est arrivé et à première vue, l’e-mail semble légitime – l’expéditeur est issu d’un domaine Google », a-t-il écrit.
Mais le chercheur a noté que « falsifier une adresse e-mail est facile et je remarque que le champ « À » contient une adresse e-mail judicieusement nommée GoogleMail at InternalCaseTracking dot com », qui est un « domaine non Google ».
« L’appelant a dit Bonjour, je l’ai ignoré puis environ 10 secondes plus tard, j’ai dit Bonjour à nouveau », a-t-il déclaré, ajoutant qu’à ce moment-là, il s’est rendu compte que la voix était générée par l’IA « car la prononciation et l’espacement étaient trop parfaits ».
Mitrovic a écrit qu’il avait raccroché et rappelé ce numéro. Il a ensuite reçu un message indiquant : « Ici Google Maps, nous ne pouvons actuellement pas prendre votre appel ».
Le chercheur a déclaré qu’il n’était pas le seul à avoir semblé avoir été presque victime d’une arnaque, car d’autres ont écrit qu’ils avaient été ciblés par un stratagème similaire.
Annonce d'intérêt public : Vous devez être conscient d'une arnaque par hameçonnage assez élaborée utilisant la voix de l'IA qui prétend être l'assistance Google (l'identifiant de l'appelant correspond, mais n'est pas vérifié)
NE CLIQUEZ PAS SUR OUI DANS CETTE BOÎTE DE VOYAGE - Vous serez victime d'hameçonnage
Ils prétendent vérifier que vous êtes en vie et... pic.twitter.com/60zeuS2lL8
— Garry Tan (@garrytan) 10 octobre 2024
« Il existe de nombreux outils pour lutter contre les escrocs, cependant, au niveau individuel, le meilleur outil reste la vigilance, en effectuant les vérifications de base comme ci-dessus ou en demandant l'aide d'une personne de confiance », prévient Mitrovic.
Selon le blog, le chercheur a déclaré que plusieurs indices suggéraient qu’il s’agissait peut-être d’une tentative de prise de contrôle de son compte Google ou Gmail.
Mitrovic a noté que les signes révélateurs d’une arnaque incluent le fait qu’il a reçu des messages de récupération de compte qu’il n’a pas initiés, que Google n’appelle pas les utilisateurs à moins qu’ils n’aient un profil Google Business, que l’e-mail qu’il a reçu contenait une « adresse e-mail non connectée à un domaine Google », qu’il n’y avait pas d’autres sessions Google actives autres que la sienne, que l’en-tête de l’e-mail montrait « comment l’e-mail a été usurpé » et qu’une « recherche de numéro inversé a montré que d’autres personnes avaient reçu le même appel frauduleux ».
« Malgré de nombreux signaux d’alarme après une inspection plus approfondie, cet appel semblait suffisamment légitime pour tromper de nombreuses personnes », a-t-il averti. « Je suppose que leur taux de conversion des appels répondus serait relativement élevé ».
L’Epoch Times a contacté Google lundi pour obtenir un commentaire sur l�’avertissement de Mitrovic et Tan, mais n’a reçu aucune réponse au moment de la publication.
Extrait de The Epoch Times