Le pouvoir de l’intelligence artificielle a ouvert de nombreuses possibilités. De l’automatisation des processus aux fonctionnalités avancées qui étaient auparavant impossibles, l’ensemble du secteur technologique bénéficie de l’IA. Pourtant, les LLM sont à la portée de tous, y compris des mauvais acteurs. Récemment, les utilisateurs de Gmail ont signalé une arnaque super réaliste basée sur l’IA qui pourrait tromper les moins experts en technologie.
L'arnaque basée sur l'IA de Gmail commence par des notifications et des appels de tentative de récupération de compte
À mesure que les barrières de sécurité contre les attaques de phishing ou les tentatives d’escroquerie s’améliorent, les acteurs malveillants ont dû travailler sur des solutions plus sophistiquées. Bien entendu, à l’ère de l’IA, ils se tournent vers de tels outils. Une tentative de phishing moderne et avancée a ciblé Sam Mitrovic, consultant en solutions Microsoft, qui a partagé son expérience pour vous aider à vous préparer.
Mitrovic, un utilisateur de Gmail, recevait des notifications de tentatives de récupération de compte et des appels prétendument de Google. Il les a ignorés, comme il faut le faire dans ce genre de situations. Pour tenter de comprendre ce qui se passait, Mitrovic a finalement répondu à l'un des appels. Il est intéressant de noter que l’autre partie semblait être américaine, même si l’appel provenait d’Australie.
Le prétendu « agent Google » a demandé à Mitrovic s'il voyageait en Allemagne, lui disant que quelqu'un avait réussi à accéder à son compte Gmail il y a une semaine et à accéder à toutes ses informations personnelles. Ces types de questions ou de déclarations sont courants dans les tentatives de phishing, car ils visent à intimider la victime pour qu'elle se conforme aux demandes de l'escroc. Pendant l'appel, Mitrovic a recherché le numéro de téléphone sur Google. Le numéro en question semblait légitime pour Google Australie.
Appels déguisés en appels Google légitimes
À ce stade, de nombreuses personnes seraient déjà prêtes à faire tout ce que l’autre partie leur dit. Après tout, ils ont pu confirmer qu’ils avaient reçu un appel d’un numéro apparemment « légitime », donc ce que l’agent leur dit doit être vrai. Cependant, vous ne devez pas savoir que les fraudeurs disposent de méthodes pour « dissimuler » les numéros de téléphone, les faisant ainsi paraître légitimes. Vous ne devez donc pas utiliser le numéro de téléphone comme critère ultime pour déterminer si un appel provient de sources légitimes.
Pour en savoir plus sur le fonctionnement de la tentative d'arnaque, Mitrovic a eu une autre demande pour « l'agent Google ». En gros, il a demandé qu'un email lui soit envoyé à son adresse pour vérifier. De cette façon, il pourrait vérifier si l’e-mail provenait d’une adresse Google légitime. C'est à ce moment-là que Mitrovic a définitivement confirmé que quelque chose n'allait pas. Il s'est rendu compte que l'une des adresses figurant dans le champ « à » n'était pas légitime.
Le « agent Google » est en fait une voix générée par l'IA
De plus, Mitrovic s'est rendu compte que l'agent présumé de Google était, en réalité, une voix générée par l'IA. Vous vous souvenez lorsque nous avons mentionné que l'autre partie semblait être américaine, même si l'appel provenait d'Australie ? Eh bien, c'est pourquoi. À ce stade, après avoir constaté par lui-même comment fonctionne le processus d’arnaque, Mitrovic a mis fin à l’appel. S'ils avaient continué, l'étape suivante aurait probablement été de lui demander d'accepter les demandes de récupération de Gmail, donnant ainsi à l'attaquant l'accès au compte.
Cette arnaque basée sur l'IA ciblant les comptes Gmail démontre un haut niveau de sophistication. D'une voix générée par l'IA aux numéros de téléphone qui semblent légitimes de la part de Google, tous travaillent ensemble pour accroître l'efficacité de l'attaque de phishing. À titre de recommandation, ne prêtez jamais attention aux appels présumés de Google vous demandant certaines actions ou données. De plus, ne cliquez pas sur les liens que vous recevez pour une prétendue récupération de compte (sauf si vous les avez demandés vous-même, bien sûr).
