Incidents associés
Les pirates informatiques ciblent désormais les titulaires de compte Gmail avec un « appel d'arnaque super réaliste par IA » qui peut tromper même les utilisateurs les plus expérimentés. Étant donné qu'il y a plus de 2,5 milliards d'utilisateurs de Gmail selon les chiffres de Google, il n'est pas étonnant que les pirates informatiques ciblent la plate-forme de messagerie de Google dans des attaques de phishing de plus en plus sophistiquées.
Sam Mitrovic, consultant en solutions Microsoft, a signalé l'arnaque dans un article de blog récent détaillant ce qui lui est arrivé. Tout a commencé lorsqu'il a reçu une notification lui demandant d'approuver une tentative de récupération de compte Gmail, une technique de phishing assez courante destinée à envoyer l'utilisateur vers un faux portail de connexion pour récupérer discrètement ses identifiants. Mitrovic n'a pas cru au piège et a refusé la demande. Environ 40 minutes plus tard, il a reçu une notification l'informant qu'il avait manqué un appel prétendant provenir de Google Sydney.
Puis, une semaine plus tard, il a reçu une autre notification demandant l'approbation de la récupération de compte. Comme auparavant, environ 40 minutes après avoir refusé, il a reçu un autre appel. Cette fois, il a décroché et un Américain prétendant provenir du support Google était en ligne. L'homme a confirmé qu'il y avait une activité suspecte sur son compte Gmail et a affirmé qu'un attaquant avait eu accès à son compte pendant une semaine et avait téléchargé les données du compte. Mitrovic a déclaré que cela a déclenché des sonnettes d'alarme car il s'est souvenu de la notification d'une semaine auparavant.
Au cours de l'appel, Mitrovic a regardé le numéro de téléphone d'où provenait l'appel et une recherche rapide sur Google a montré qu'il s'agissait d'un numéro légitime de la page d'entreprise de Google. Néanmoins, sachant qu'une tactique courante utilisée par les escrocs peut masquer la véritable provenance d'un appel, il est resté sceptique et a demandé qu'un e-mail lui soit envoyé pour confirmer si le prétendu représentant était le vrai. Lorsque le message est arrivé dans sa boîte de réception, il semblait authentique, sauf que l'une des adresses dans le champ « à » était un domaine non Google astucieusement déguisé. Mais le plus grand indice allait venir ensuite :
« L'appelant a dit Bonjour, je l'ai ignoré puis environ 10 secondes plus tard, j'ai dit Bonjour à nouveau », a écrit Mitrovic. « À ce moment-là, j'ai diffusé le message comme une voix d'IA car la prononciation et l'espacement étaient trop parfaits. »
À ce moment-là, réalisant qu'il s'agissait d'une arnaque, Mitrovic a raccroché. Mais il est effrayant de penser à ce qui aurait pu se passer s'il avait approuvé la notification de récupération de compte ou donné ses identifiants à l'appelant, permettant ainsi aux escrocs de prendre le contrôle de son compte.
« Les escroqueries deviennent de plus en plus sophistiquées, plus convaincantes et sont déployées à une échelle toujours plus grande », a expliqué Mitrovic. « Les gens sont occupés et cette arnaque semblait suffisamment légitime pour que je leur donne un A pour leurs efforts. De nombreuses personnes sont susceptibles de tomber dans le panneau. Il existe de nombreux outils pour lutter contre les arnaqueurs, cependant, au niveau individuel, le meilleur outil reste la vigilance, en effectuant les vérifications de base ci-dessus ou en demandant l'aide d'une personne de confiance. »
Ici, chez Tom's Guide, nos rédacteurs experts s'engagent à vous apporter les meilleures actualités, critiques et guides pour vous aider à rester informé et à garder une longueur d'avance !
Google lance Global Signal Exchange pour lutter contre les escroqueries en ligne
Plus tôt cette semaine, Google a annoncé son partenariat avec la Global Anti-Scam Alliance (GASA) et la DNS Research Federation (DNS RF) pour lutter contre les escroqueries en ligne. Cette initiative s'appelle Global Signal Exchange, et est conçue comme une plateforme de partage de renseignements pour générer des informations en temps réel sur les escroqueries, les fraudes et autres formes de cybercriminalité afin de mettre en lumière les facilitateurs de la cybercriminalité.
Amanda Storey, directrice principale de la confiance et de la sécurité chez Google, a expliqué dans un billet de blog que la coentreprise « exploite les points forts » du réseau de parties prenantes de GASA et de la plateforme de données de DNS RF avec plus de 40 millions de signaux « pour améliorer l'échange de signaux d'abus, permettant une identification et une perturbation plus rapides des activités frauduleuses dans divers secteurs, plateformes et services ».
Le moteur qui alimente le Global Signal Exchange fonctionne sur Google Cloud, ce qui permet aux « participants de partager et de consommer des signaux recueillis par d’autres tout en bénéficiant des capacités d’IA de Google Cloud Platform pour trouver des modèles et faire correspondre les signaux de manière intelligente », a déclaré Storey.
Comment se protéger des escroqueries par hameçonnage
Les escroqueries par hameçonnage sont l’un des moyens les plus courants utilisés par les pirates pour tenter de voler vos informations personnelles et financières. Contrairement aux malwares ou aux applications malveillantes, ces escroqueries ne nécessitent aucune installation de logiciel ou autre action susceptible de déclencher des signaux d’alerte. Au lieu de cela, les pirates vous incitent à cliquer sur des liens ou à télécharger des pièces jointes.
C’est pourquoi il est important de ne pas se précipiter lorsque vous consultez votre boîte de réception. Les escrocs instillent souvent un sentiment d’urgence, espérant vous rendre suffisamment anxieux ou stressé pour que vous suiviez leurs instructions avant d’y réfléchir trop. Il est essentiel de rester calme et prudent lors de la gestion des e-mails de phishing pour éviter de tomber dans le piège.
Les pirates se font souvent passer pour des marques populaires dans leurs tentatives de phishing en falsifiant l’adresse e-mail d’une entreprise. Soyez attentif aux signaux d'alarme tels que des mots mal orthographiés ou une mauvaise grammaire et vérifiez l'adresse e-mail ou le numéro de téléphone de l'expéditeur pour vous assurer qu'ils sont corrects. Si vous n'êtes pas sûr à 100 % que la correspondance que vous recevez d'une entreprise est authentique ou non, il est toujours préférable de faire preuve de prudence.
Pour protéger votre ordinateur des logiciels malveillants et autres virus qui pourraient provenir de l'ouverture d'un e-mail de phishing, il est important d'installer le meilleur logiciel antivirus sur votre PC, le meilleur logiciel antivirus pour Mac sur votre Mac et l'une des meilleures applications antivirus pour Android sur votre smartphone Android.