Problème 5226

Incidents associés

Incident 10773 Rapports
FBI Reports Ongoing Vishing and Smishing Campaign Allegedly Targeting Government Officials Using Purportedly AI-Generated Voices

Loading...
Numéro d'alerte : I-051525-PSA 15 mai 2025 : De hauts fonctionnaires américains usurpés dans une campagne de messages malveillants
ic3.gov · 2025

Le FBI publie cette annonce afin d'avertir le public et de fournir des conseils d'atténuation concernant une campagne malveillante de SMS et de messages vocaux. Depuis avril 2025, des acteurs malveillants se font passer pour de hauts fonctionnaires américains afin de cibler des individus, dont beaucoup sont d'actuels ou d'anciens hauts fonctionnaires fédéraux ou d'États américains, ainsi que leurs contacts. Si vous recevez un message prétendant provenir d'un haut fonctionnaire américain, ne présumez pas qu'il est authentique.

Détails spécifiques de la campagne

Les acteurs malveillants ont envoyé des SMS et des messages vocaux générés par l'IA (techniques connues respectivement sous le nom de smishing et de vishing) prétendant provenir d'un haut fonctionnaire américain afin d'établir un lien avant d'accéder à des comptes personnels. L'un des moyens utilisés pour y parvenir consiste à envoyer aux personnes ciblées un lien malveillant sous prétexte de migrer vers une plateforme de messagerie distincte. L'accès aux comptes personnels ou officiels de fonctionnaires américains pourrait être utilisé pour cibler d'autres fonctionnaires, ou leurs associés et contacts, en utilisant les coordonnées fiables obtenues. Les coordonnées obtenues par ingénierie sociale pourraient également être utilisées pour usurper l'identité de contacts afin d'obtenir des informations ou des fonds.

Le « smishing » désigne le ciblage malveillant d'individus par SMS (Short Message Service) ou MMS (Multimedia Message Service). Le « vishing », qui peut intégrer des voix générées par l'IA, désigne le ciblage malveillant d'individus par mémos vocaux. Le smishing et le vishing utilisent des tactiques similaires au spear phishing, qui utilise le courrier électronique pour cibler des individus ou des groupes spécifiques.

Le smishing, le vishing et le spear phishing sont des tactiques criminelles courantes

Traditionnellement, les acteurs malveillants ont utilisé le smishing, le vishing et le spear phishing pour migrer vers une plateforme de messagerie secondaire où ils peuvent présenter des logiciels malveillants ou insérer des hyperliens redirigeant les cibles vers un site contrôlé par l'acteur et voler des informations de connexion, telles que des noms d'utilisateur et des mots de passe. Pour le smishing, les acteurs malveillants utilisent généralement un logiciel pour générer des numéros de téléphone non attribués à un téléphone mobile ou à un abonné spécifique afin d'interagir avec une cible en se faisant passer pour un associé ou un membre de la famille. Pour le vishing, les acteurs malveillants exploitent de plus en plus fréquemment les fichiers audio générés par l'IA pour se faire passer pour des personnalités publiques ou des relations personnelles afin d'accroître la crédibilité de leurs stratagèmes.

Recommandations

Les conseils suivants peuvent vous aider à identifier un message suspect et à vous protéger contre cette campagne.

Repérer un faux message

  • Vérifiez l'identité de la personne qui vous appelle ou vous envoie un SMS ou un message vocal. Avant de répondre, recherchez le numéro de téléphone, l'organisation et/ou la personne qui prétend vous contacter. Ensuite, identifiez indépendamment le numéro de téléphone de la personne et appelez-la pour vérifier son authenticité.
  • Examinez attentivement l'adresse e-mail, les coordonnées de messagerie, y compris les numéros de téléphone, les URL et l'orthographe utilisée dans toute correspondance ou communication. Les escrocs utilisent souvent de légères différences pour vous tromper et gagner votre confiance. Par exemple, ils peuvent intégrer des photos publiques dans leurs SMS, modifier légèrement les noms et les coordonnées, ou utiliser des voix générées par l'IA pour se faire passer pour un contact connu. - Recherchez les imperfections subtiles dans les images et les vidéos, telles que des mains ou des pieds déformés, des traits du visage irréalistes, des visages indistincts ou irréguliers, des accessoires irréalistes comme des lunettes ou des bijoux, des ombres inexactes, des filigranes, un temps de latence entre les appels vocaux, une correspondance vocale et des mouvements anormaux.
  • Écoutez attentivement le ton et le choix des mots pour distinguer un appel téléphonique ou un message vocal légitime d'un contact connu d'une voix clonée par l'IA, car ils peuvent être presque identiques.
  • Le contenu généré par l'IA a tellement évolué qu'il est souvent difficile à identifier. En cas de doute sur l'authenticité d'une personne souhaitant communiquer avec vous, contactez les responsables de la sécurité compétents ou le FBI pour obtenir de l'aide.

Comment se protéger contre les fraudes potentielles ou la perte d'informations sensibles

  • Ne partagez jamais d'informations sensibles ou les coordonnées d'un collaborateur avec des personnes que vous avez rencontrées uniquement en ligne ou par téléphone. Si vous êtes contacté par une personne que vous connaissez bien via une nouvelle plateforme ou un nouveau numéro de téléphone, vérifiez ses nouvelles coordonnées via une plateforme déjà confirmée ou une source fiable. - N'envoyez pas d'argent, de cartes-cadeaux, de cryptomonnaies ou d'autres actifs à des personnes que vous ne connaissez pas ou que vous n'avez rencontrées qu'en ligne ou par téléphone. Si une personne de votre entourage (ou un associé de votre entourage) vous demande d'envoyer de l'argent ou des cryptomonnaies, vérifiez ses coordonnées avant d'agir. Évaluez également de manière critique le contexte et la plausibilité de la demande.
  • Ne cliquez sur aucun lien dans un e-mail ou un SMS avant d'avoir confirmé l'identité de l'expéditeur.
  • Soyez prudent avec ce que vous téléchargez. N'ouvrez jamais une pièce jointe, ne cliquez jamais sur un lien dans un message et ne téléchargez jamais d'applications à la demande d'une personne que vous n'avez pas vérifiée.
  • Configurez l'authentification à deux facteurs (ou multifacteur) sur tout compte qui l'autorise, et ne la désactivez jamais. Des individus malintentionnés peuvent utiliser des techniques d'ingénierie sociale pour vous convaincre de divulguer un code d'authentification à deux facteurs, ce qui leur permet de compromettre et de prendre le contrôle de comptes. Ne fournissez jamais de code à deux facteurs à qui que ce soit par e-mail, SMS/MMS ou application de messagerie chiffrée.
  • Créez un mot ou une phrase secrète avec les membres de votre famille pour vérifier leur identité.

Signalement des victimes et informations complémentaires

  • Pour plus d'informations, consultez les directives du FBI sur l'usurpation d'identité et le phishing (https://www.ic3.gov/PSA/2024/PSA241203), ainsi qu'un précédent message d'intérêt public expliquant comment « les criminels utilisent l'intelligence artificielle générative pour faciliter la fraude financière ». L'Agence de cybersécurité et de sécurité des infrastructures (CISA) a publié les ressources suivantes : « Conseils en matière d'hameçonnage : Arrêter le cycle d'attaque dès la première phase | CISA](https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one) » et « Former les employés à éviter l'hameçonnage | CISA](https://www.cisa.gov/secure-our-world/teach-employees-avoid-phishing). »

Si vous pensez avoir été victime de la campagne décrite ci-dessus, contactez les responsables de la sécurité concernés et le FBI. Le FBI demande aux victimes de signaler tout incident à leur bureau local du FBI ou au Centre de plaintes pour la criminalité sur Internet (IC3) à l'adresse www.ic3.gov. Veuillez inclure autant d'informations détaillées que possible.

Lire la source