Incidents associés
Ce matin, les gros titres de la presse spécialisée sont en effervescence au sujet d'une nouvelle arnaque à l'IA visant les utilisateurs de Google. Forbes a publié un article détaillant deux expériences avec des arnaqueurs, qui impliquaient toutes deux des appels téléphoniques probablement générés par l'IA et des stratagèmes en plusieurs étapes. Mais voici le problème : ces arnaques ne sont pas nécessairement « nouvelles », et vous devez vous en méfier, que l'acteur prétende être de Google ou non.
Attention à ces arnaques aux comptes Google
Le rapport de Forbes met en évidence deux exemples spécifiques mais similaires de ce type d'arnaque : une victime, Sam Mitrovic de Microsoft, a reçu une alerte concernant une demande de récupération de compte, qui, lorsqu'elle est légitime, est généralement déclenchée lorsque quelqu'un oublie son mot de passe. Les demandes de récupération de compte spontanées étant souvent de nature malveillante, Mitrovic a ignoré l'alerte, mais a reçu un appel téléphonique de « Google Support » seulement 40 minutes plus tard. Mitrovic a également ignoré cet appel, mais peu de temps après, a reçu une autre alerte suivie 40 minutes plus tard par un appel de « Google Support ».
Cette fois, Mitrovic a répondu, pour trouver un « représentant » avec un accent américain qui lui a demandé si Mitrovic avait voyagé récemment, notamment en Allemagne. La réponse a été non, ce qui a conduit le représentant à avertir Mitrovic que quelqu'un avait accédé à son compte depuis l'Allemagne au cours des sept derniers jours et avait déjà téléchargé des données à partir du compte. Mitrovic a même recherché sur Google le numéro de téléphone à partir duquel « Google Support » appelait et a découvert qu'il menait à cette page officielle de Google Support. À première vue, vous pourriez penser que cela confirme qu'il s'agit bien de Google Support, mais lisez la page de plus près et vous verrez que ce numéro de téléphone est le numéro à partir duquel Google Assistant appelle les entreprises, et non pas Google Support. Il s'agissait en fin de compte d'une arnaque.
L'autre exemple de Forbes concerne Garry Tan, fondateur de Y Combinator, qui rapporte avoir également été la cible d'une arnaque similaire. Tan a également reçu un appel du « support Google », affirmant qu'ils avaient le certificat de décès de Tan et qu'un membre de la famille essayait de l'utiliser pour accéder au compte de Tan. Le support Google appelait à la fois pour confirmer que Tan était réellement en vie et pour partager une demande de récupération de compte que Tan pourrait utiliser pour « confirmer » que son compte était actif. Ce dernier point est la véritable arnaque : Tan souligne que la demande de récupération de compte était définitivement frauduleuse, car l'« appareil » d'où provenait la demande indiquait le support Google, et non un véritable appareil. Quelqu'un usurpe ce champ, et si Tan avait cliqué sur « Oui, c'est moi » dans l'alerte, l'attaquant aurait pu réinitialiser le mot de passe du compte Google de Tan.
Bien que cela ne puisse pas être confirmé, il semble que les appels téléphoniques utilisés dans chaque exemple étaient alimentés par l'IA. Mitrovic et Tan confirment tous deux que les voix étaient convaincantes, mais dans le cas de Mitrovic, l'« appelant » a dit « bonjour » et, après ne pas avoir répondu, a répété « bonjour » de la même manière. Cela, associé à une prononciation et un espacement parfaits, a convaincu Mitrovic que la voix était en fait une IA — signes révélateurs d'un son généré par l'IA.
En pratique, cette arnaque n'a rien de nouveau
Bien que les nouvelles parlent de ce nouveau type d'arnaque alimentée par l'IA, les tactiques sous-jacentes sont assez classiques. Vous pouvez vous protéger en sachant à quoi faire attention, que les attaquants utilisent l'IA ou non.
Tout d'abord, les grandes entreprises technologiques comme Google ne vous appellent pas à l'improviste pour vous avertir d'une éventuelle faille de sécurité de votre compte. En fait, Google et les entreprises similaires sont connues pour leur manque d'assistance humaine en général (https://blog.pragmaticengineer.com/scaling-customer-support/). Si vous ne pouvez pas entrer en contact avec une personne réelle lorsque vous avez sciemment besoin d'aide, il n'y a aucune chance qu'un représentant de Google vous contacte en premier. Ainsi, qu'il s'agisse d'une voix convaincante alimentée par l'IA à l'autre bout du fil ou d'un acteur humain assez terrible se faisant passer pour un représentant Google en direct, recevoir un appel d'une entreprise comme celle-ci devrait être un signal d'alarme suffisamment important pour ignorer la situation.
D'un autre côté, nous avons la demande de récupération de compte. Il s'agit d'une méthode d'escroquerie classique : déclencher une alerte de récupération de compte du côté de l'utilisateur et le convaincre que l'accepter signifie qu'il confirme son identité. Ce n'est tout simplement pas à cela que ce système est destiné, et c'est ce que les pirates informatiques comptent sur vous pour tomber dans le panneau. Les demandes de récupération de compte sont censées être déclenchées par vous chaque fois que vous ne pouvez pas accéder à votre compte, par exemple si quelqu'un a piraté votre compte. Vous le dites à Google et ils envoient une demande de récupération de compte à votre adresse e-mail associée. Vous ouvrez cet e-mail, cliquez sur « Oui, c'est moi » et vous pouvez poursuivre votre processus de récupération de compte. Personne d'autre n'est impliqué dans le processus et la demande n'est utilisée à aucune autre fin.
Les pirates, cependant, se feront passer pour des membres du support Google et diront que cette demande de récupération de compte n'est qu'un moyen de confirmer votre identité ou que votre compte est actif. Cependant, lorsque vous cliquez sur le bouton « Oui, c'est moi », vous avez déclenché le processus de récupération de compte de leur côté. Ils ont désormais le pouvoir d'accéder à votre compte et éventuellement de vous en empêcher l'accès et de voler vos informations.
En résumé : si vous n'avez pas déclenché vous-même cette alerte de récupération de compte, elle n'est pas légitime. Ne cliquez pas dessus.
Si vous avez peur d'être piraté
Si vous recevez un appel téléphonique ou un message de ce type, il s'agit probablement d'un individu malveillant à la recherche d'une victime de phishing. Sans votre intervention, il passera simplement à une autre victime. Cependant, ce n'est pas une mauvaise idée de suivre certaines étapes pour vous assurer que votre compte est activement protégé.
En vous concentrant sur Google, vous pouvez accéder à la page des paramètres de sécurité de votre compte Google pour consulter un tableau de bord de l'état de sécurité de votre compte. C'est ici que vous verrez toutes vos sessions actives, si Google a des alertes de sécurité à gérer et des paramètres pour des éléments tels que l'authentification à deux facteurs, les mots de passe, les clés d'accès, les e-mails de récupération et les numéros de téléphone, entre autres.
Si vous vous inquiétez du niveau de sécurité actuel de votre compte, regardez vos sessions actives : c'est là que vous êtes actuellement connecté. Si vous ne reconnaissez pas un appareil ou un emplacement, vous pouvez cliquer dessus et déconnecter cet appareil de votre compte. Sachez simplement que si vous utilisez un VPN ou le relais privé iCloud d'Apple, vous pouvez voir des sessions provenant d'emplacements inconnus sur vos appareils de confiance, car ces services masquent la provenance réelle de votre trafic Internet.
En outre, c'est une excellente idée de changer votre mot de passe de temps en temps et de vous assurer que vous utilisez l'authentification à deux facteurs (2FA). De cette façon, si un attaquant découvre votre mot de passe, vous disposez d'une étape d'authentification secondaire qui nécessite un appareil de confiance, ce que l'attaquant n'a probablement pas. Envisagez également de configurer des clés d'accès, qui combine le meilleur des deux mondes entre les mots de passe et la 2FA.
En fin de compte, les pirates informatiques qui utilisent ces escroqueries ne peuvent pas réellement pénétrer dans votre compte eux-mêmes, c'est pourquoi ils vous ciblent. Ils ont besoin que vous cliquiez sur leurs liens malveillants ou que vous vous authentifiiez en leur nom. Tant que votre mot de passe est fort et que vous disposez d'autres formes d'authentification en guise de sauvegarde, la meilleure façon d'éviter d'être victime de ce type d'escroquerie est de simplement les ignorer.