Incidents associés
En cybersécurité, les menaces en ligne posées par l'IA peuvent avoir des conséquences très importantes sur les individus et les organisations du monde entier. Les escroqueries par hameçonnage traditionnelles ont évolué grâce à l'utilisation abusive des outils d'IA, devenant chaque année plus fréquentes, plus sophistiquées et plus difficiles à détecter. Le vishing par IA est peut-être la technique la plus inquiétante.
Qu'est-ce que le vishing par IA ?
Le vishing par IA est une évolution du vishing vocal (hameçonnage vocal), où les attaquants se font passer pour des personnes de confiance, comme des représentants bancaires ou des équipes de support technique, pour inciter les victimes à effectuer des opérations telles que le transfert de fonds ou l'accès à leurs comptes.
L'IA améliore les escroqueries par hameçonnage vocal grâce à des technologies telles que le clonage vocal et les deepfakes qui imitent la voix de personnes de confiance. Les attaquants peuvent utiliser l'IA pour automatiser les appels et les conversations téléphoniques, ce qui leur permet de cibler un grand nombre de personnes en un temps relativement court.
Le vishing par IA dans le monde réel
Les attaquants utilisent les techniques de vishing par IA sans discrimination, ciblant tout le monde, des personnes vulnérables aux entreprises. Ces attaques se sont avérées remarquablement efficaces, le nombre d'Américains perdant de l'argent à cause du vishing ayant augmenté de 23 %entre 2023 et 2024. Pour mettre cela en contexte, nous allons explorer certaines des attaques de vishing par IA les plus médiatisées qui ont eu lieu ces dernières années.
Escroquerie commerciale italienne
Début 2025, des escrocs ont utilisé l'IA pour imiter la voix du ministre italien de la Défense, Guido Crosetto, afin d'escroquer certains des plus importants chefs d'entreprise italiens, dont le créateur de mode Giorgio Armani et le cofondateur de Prada, Patrizio Bertelli.
Se faisant passer pour Crosetto, les attaquants ont prétendu avoir besoin d'une aide financière urgente pour la libération d'un journaliste italien enlevé au Moyen-Orient. Dans cette affaire, une seule cible a été victime de l'escroquerie : Massimo Moratti, ancien propriétaire de l'Inter Milan, et la police a réussi à récupérer les fonds volés.
Hôtels et agences de voyages assiégés
Selon le Wall Street Journal, le dernier trimestre 2024 a été marqué par une augmentation significative des attaques de vishing utilisant l'IA contre le secteur de l'hôtellerie et du voyage. Les attaquants ont utilisé l'IA pour se faire passer pour des agents de voyages et des dirigeants d'entreprise afin de tromper le personnel de réception des hôtels et de les amener à divulguer des informations sensibles ou à accorder un accès non autorisé aux systèmes.
Pour ce faire, ils ont demandé à des représentants du service client, souvent occupés, d'ouvrir un e-mail ou un navigateur contenant une pièce jointe malveillante. Grâce à leur remarquable capacité à imiter les partenaires de l'hôtel grâce à l'IA, les arnaques téléphoniques étaient considérées comme une « menace constante ».
Arnaques amoureuses
En 2023, des attaquants ont utilisé l'IA pour imiter la voix de membres de leur famille en détresse et escroquer des personnes âgées d'environ 200 000 $. Les appels frauduleux sont difficiles à détecter, surtout pour les personnes âgées, mais lorsque la voix à l'autre bout du fil ressemble exactement à celle d'un membre de la famille, ils sont presque indétectables. Il convient de noter que cet incident a eu lieu il y a deux ans ; le clonage vocal par IA est devenu encore plus sophistiqué depuis.
Vishing vocal par IA en tant que service
Le Vishing vocal par IA en tant que service (VaaS) a largement contribué à la croissance du vishing par IA ces dernières années. Ces modèles d'abonnement peuvent inclure des fonctionnalités d'usurpation d'identité, des messages personnalisés et des agents adaptables, permettant aux acteurs malveillants de lancer des attaques de vishing par IA à grande échelle.
Chez Fortra, nous suivons PlugValley, l'un des acteurs clés du marché du vishing par IA en tant que service. Ces travaux nous ont permis de mieux comprendre ce groupe de menaces et, surtout, de mettre en évidence le degré de sophistication et de perfectionnement des attaques de vishing.
PlugValley** : L'IA VaaS dévoilée**
Le bot de vishing de PlugValley permet aux acteurs malveillants de déployer des voix réalistes et personnalisables pour manipuler leurs victimes potentielles. Il peut s'adapter en temps réel, imiter le langage humain, usurper l'identité de l'appelant et même ajouter un bruit de fond de centre d'appels aux appels vocaux. Il rend les arnaques par vishing par IA aussi convaincantes que possible, aidant ainsi les cybercriminels à voler des identifiants bancaires et des mots de passe à usage unique (OTP).
PlugValley élimine les obstacles techniques pour les cybercriminels en proposant une technologie anti-fraude évolutive accessible en un clic pour des abonnements mensuels nominaux.
Les fournisseurs de VaaS d'IA comme PlugValley ne se contentent pas de commettre des escroqueries ; ils industrialisent le phishing. Ils représentent la dernière évolution de l'ingénierie sociale, permettant aux cybercriminels d'utiliser des outils d'apprentissage automatique (ML) comme arme et d'exploiter les individus à grande échelle.
Protection contre le vishing par IA
Les techniques d'ingénierie sociale basées sur l'IA, telles que le vishing par IA, sont appelées à devenir plus courantes, plus efficaces et plus sophistiquées dans les années à venir. Par conséquent, il est important pour les organisations de mettre en œuvre des stratégies proactives telles que la sensibilisation des employés, des systèmes de détection de fraude améliorés et des renseignements sur les menaces en temps réel.
Au niveau individuel, les conseils suivants peuvent vous aider à identifier et à éviter les tentatives de vishing par IA :
-
Méfiez-vous des appels non sollicités : Soyez prudent avec les appels téléphoniques inattendus, en particulier ceux qui demandent des informations personnelles ou financières. Les organisations légitimes ne demandent généralement pas d'informations sensibles par téléphone.
-
Vérifiez l'identité de l'appelant : Si un appelant prétend représenter une organisation connue, vérifiez son identité en contactant directement l'organisation en utilisant ses coordonnées officielles. WIRED suggère de créer un mot de passe secret avec votre famille afin de détecter les attaques par hameçonnage vocal se faisant passer pour un membre de la famille.
-
Limitez le partage d'informations : Évitez de divulguer des informations personnelles ou financières lors d'appels non sollicités. Soyez particulièrement vigilant si l'appelant crée un sentiment d'urgence ou menace de conséquences négatives.
-
Renseignez-vous et informez les autres : Tenez-vous informé des tactiques courantes d'hameçonnage vocal vocal et partagez ces informations avec vos proches. La sensibilisation est une défense essentielle contre les attaques d'ingénierie sociale.
-
Signaler les appels suspects : Informez les autorités compétentes ou les organismes de protection des consommateurs des tentatives d'hameçonnage vocal. Le signalement permet de suivre et d'atténuer les activités frauduleuses.
Tout porte à croire que l'hameçonnage vocal par IA est une pratique qui perdure. En fait, son volume devrait continuer à augmenter et son exécution s'améliorer. Compte tenu de la prévalence des deepfakes et de la facilité d'adoption des campagnes par les modèles « as-a-service », les organisations doivent anticiper le risque d'être, à un moment ou à un autre, la cible d'une attaque.
La formation des employés et la détection des fraudes sont essentielles pour se préparer aux attaques d'hameçonnage vocal par IA et les prévenir. La sophistication de l'hameçonnage vocal par IA peut amener même des professionnels de la sécurité bien formés à croire des demandes ou des récits apparemment authentiques. C'est pourquoi une stratégie de sécurité complète et multidimensionnelle, intégrant des mesures de protection technologiques et un personnel constamment informé et vigilant, est essentielle pour atténuer les risques liés à l'hameçonnage vocal par IA.