Incidents associés
Le PDG de YouTube, Neal Mohan, a été usurpé dans une arnaque de phishing par deepfake. Découvrez l'attaque, comment repérer les signaux d'alarme et comment protéger votre compte contre le vol d'identifiants.
Une nouvelle opération de phishing sophistiquée, exploitant l'intelligence artificielle, a récemment ciblé les créateurs de contenu YouTube. Les escrocs ont utilisé la technologie deepfake pour créer une vidéo convaincante du PDG de YouTube, Neal Mohan, faisant une fausse annonce sur les changements apportés aux politiques de monétisation de la plateforme.
Cette vidéo est partagée en privé avec les utilisateurs ciblés pour voler leurs identifiants de connexion et installer des logiciels malveillants sur leurs appareils. Le stratagème frauduleux commence par un e-mail, provenant apparemment d'une adresse YouTube officielle, informant les créateurs qu'une vidéo privée a été partagée avec eux. La vidéo elle-même présente un deepfake remarquablement réaliste de Neal Mohan, imitant son apparence, sa voix et ses manières à un degré alarmant.
Dans la vidéo, Mohan généré par l'IA discute des prétendues modifications apportées à la monétisation de YouTube, exhortant les spectateurs à prendre des mesures spécifiques. Ces actions impliquent généralement de cliquer sur des liens, de saisir des identifiants de connexion sur de faux sites Web ou de télécharger des logiciels à partir de sources non fiables.
La vidéo frauduleuse (Source : Reddit)
En compromettant le compte d’un utilisateur, les attaquants accèdent à sa chaîne YouTube. Cet accès peut ensuite être exploité à diverses fins malveillantes, notamment pour diffuser de fausses informations, mener de nouvelles attaques de phishing ou se livrer à des activités frauduleuses.
YouTube a répondu à cette menace en adressant un avertissement urgent à sa communauté de créateurs. L’entreprise a explicitement déclaré qu’elle ne partagerait jamais d’informations importantes ni ne contacterait les utilisateurs par le biais de vidéos privées. En outre, elle a souligné que toute vidéo privée prétendant provenir de YouTube, en particulier celles mettant en scène son PDG, devait être considérée comme une arnaque par phishing.
« Nous sommes conscients que des hameçonneurs partagent des vidéos privées pour envoyer de fausses vidéos, notamment une vidéo générée par l’IA du PDG de YouTube, Neal Mohan, annonçant des changements dans la monétisation. YouTube et ses employés ne tenteront jamais de vous contacter ou de partager des informations par le biais d’une vidéo privée », peut-on lire dans l’annonce officielle de Google.
« Si une vidéo est partagée en privé avec vous en prétendant provenir de YouTube, la vidéo est une arnaque par phishing. « Ne cliquez pas sur ces liens, car les vidéos vous mèneront probablement à des sites de phishing qui peuvent installer des logiciels malveillants ou voler vos identifiants », a averti Rob de YouTube.
Les IA deepfakes sont une illusion dangereuse créée par des modèles d’IA sophistiqués formés à partir d’images réelles et d’échantillons de voix, exploitant la confiance des gens envers les personnalités publiques. Même les personnes expertes en technologie auraient du mal à les distinguer des images réelles. Cet incident montre que la sophistication des attaques de phishing a augmenté, la technologie deepfake étant utilisée pour se faire passer pour des personnalités de premier plan comme le PDG de YouTube.
Les cybercriminels exploitent la confiance des créateurs dans les communications officielles de la plateforme, créant des tromperies crédibles. Les créateurs de contenu sont encouragés à faire preuve de prudence et à éviter de télécharger des fichiers à partir de sources non fiables. Si vous recevez la vidéo, Google recommande de suivre ces étapes pour la signaler.
Max Gannon, responsable du renseignement chez Cofense, a comment�é le dernier développement en déclarant : _« _Étant donné que les deepfakes ne sont généralement utilisés que dans des escroqueries ciblées de grande valeur, il est surprenant que les acteurs de la menace les utilisent pour une attaque aussi vaste. C’est inquiétant et cela indique potentiellement un changement dans le paysage des menaces, où nous pouvons nous attendre à voir davantage de deepfakes et d’autres méthodes d’attaque ciblées appliquées à un public plus large. “
_“_Cependant, selon les utilisateurs concernés qui publient des articles sur ces faux e-mails YouTube sur diverses plateformes de médias sociaux, les e-mails fournissent des exécutables malveillants pour voler des cookies de session et détourner des comptes YouTube. En fin de compte, l’hameçon initial de phishing peut changer, mais la meilleure défense reste la même : formation et sensibilisation pour détecter les e-mails suspects et ne pas cliquer sur leurs liens.