Incidents associés
Les 1,8 milliard d'utilisateurs de Gmail ont reçu une « alerte rouge » concernant une arnaque qui permet aux pirates d'accéder à leurs comptes.
L'attaque utilise l'IA pour créer des deepfakes appels automatisés et des e-mails malveillants capables de contourner les filtres de sécurité.
Cette combinaison fonctionne pour convaincre les victimes que leur compte Gmail a été compromis.
Les utilisateurs reçoivent un appel téléphonique indiquant qu'une activité suspecte a été détectée sur leur compte et sont informés qu'un e-mail suivra bientôt avec les étapes à suivre pour corriger le problème.
L'e-mail contient un faux site Web qui ressemble à celui de Google, qui invite les utilisateurs à saisir leurs identifiants de connexion.
Les experts en cybersécurité ont averti que l'objectif de cette campagne « est de convaincre la cible de fournir aux criminels le code de récupération Gmail de l'utilisateur, en prétendant qu'il est nécessaire pour restaurer le compte ».
Mais ce ne sont pas seulement les comptes Gmail qui sont compromis, tous les autres services connectés à la plateforme sont également ouverts aux pirates.
Le FBI a déclaré : « Ces tactiques sophistiquées peuvent entraîner des pertes financières dévastatrices, des atteintes à la réputation et la compromission de données sensibles. »
Des experts en cybersécurité ont émis un avertissement aux utilisateurs de Gmail concernant une arnaque sophistiquée alimentée par l'IA qui vise à voler des comptes de messagerie.
Malwarebytes a publié un rapport la semaine dernière, indiquant aux utilisateurs de Gmail que l'avertissement du FBI « ne doit pas être pris à la légère ».
« Cela est particulièrement dû au fait que les outils d'IA dont disposent les cybercriminels sont relativement peu coûteux : dans une étude, les chercheurs ont découvert que le coût des attaques par e-mail avancées et sophistiquées commence à seulement 5 dollars », a ajouté l'entreprise.
Cette étude, menée par McAfee's State of Scamiverse, a révélé qu'un deepfake convaincant peut être créé en moins de 10 minutes à moindre coût.
Alors que l'avertissement du FBI l'année dernière se concentrait sur les menaces utilisant l'IA pour créer des vidéos et des e-mails pour tromper les victimes, Malwarebytes a découvert comment les pirates utilisent les appels automatisés et les e-mails dans la dernière campagne.
« Aucun des éléments utilisés dans les attaques n'est nouveau, mais la combinaison pourrait rendre la campagne extrêmement efficace », ont partagé les experts en cybersécurité.
Malwarebytes a également publié des directives à suivre pour les utilisateurs de Gmail afin de ne pas être victimes des astuces des pirates.
Les chercheurs ont exhorté les utilisateurs à ne jamais cliquer sur des liens ou télécharger des fichiers à partir d'e-mails ou de messages inattendus et à ne pas saisir d'informations personnelles sur un site Web à moins d'être sûrs à 100 % qu'il est légitime.
« Utilisez un gestionnaire de mots de passe pour remplir automatiquement les informations d'identification uniquement sur les sites de confiance », a déclaré Malwarebytes. « Surveillez vos comptes pour détecter des signes d'accès non autorisés ou de fuites de données. »
L'attaque utilise à la fois des appels automatisés et des e-mails deepfake qui peuvent contourner les filtres de sécurité.
L'agence a déclaré que les utilisateurs de smartphones devraient raccrocher immédiatement s'ils reçoivent ce type d'appel spécifique, dans lequel l'escroc se fait passer pour quelqu'un qu'il n'est pas.
Le nouveau stratagème est plus avancé que les appels frauduleux précédents, car les escrocs utilisent une technologie d'identification de l'appelant « usurpée » pour se faire passer pour des banques et des organismes d'application de la loi dans tout le pays.
L'escroquerie est de grande envergure et les escrocs peuvent se faire passer pour n'importe qui, même des membres de votre service de police local.
Les autorités de Long Island, dans l'État de New York, ont déclaré : « Les détectives ont été informés d'au moins trois incidents au cours desquels un résident a été contacté par téléphone par un appelant se présentant comme un membre du département de police du comté de Suffolk qui dit que le résident a un mandat d'arrêt contre lui et lui permet d'envoyer de l'argent. »
Les responsables du FBI ajoutent que toute personne recevant un tel appel doit éviter de donner des informations personnelles à l'appelant et n'appuyer sur aucun bouton de votre téléphone - mettez simplement fin à l'appel immédiatement.
Si vous soupçonnez qu'un escroc a essayé d'utiliser cette tactique contre vous, appelez la véritable organisation que l'escroc prétendait représenter à son numéro de téléphone vérifié.