Ce que vous devez savoir
- Sam Mitrovic, consultant en solutions Microsoft, a récemment publié un article de blog soulignant comment il a failli perdre l’accès à son compte Gmail au profit de pirates utilisant un arnaque à l’IA super réaliste.
- Les pirates prétendaient faire partie de l’équipe d’assistance de Google (avec un numéro de téléphone et une adresse e-mail discrètement déguisés) pour inciter le consultant à partager des détails complexes et confidentiels sur son compte Gmail.
- Alors que le numéro de téléphone figurait sur la page professionnelle de Google, le consultant a découvert que l’adresse e-mail utilisée pour le contacter appartenait à un domaine autre que Google.
Au cours des dernières années, l’émergence de l’IA générative et son adoption généralisée dans tous les secteurs, notamment la médecine, l’informatique et l’éducation, ont favorisé l’efficacité et l’efficience. Cependant, les pirates semblent également sauter dans le train de l’IA et utiliser les capacités sophistiquées de la technologie pour attirer les utilisateurs sans méfiance dans leurs attaques bien conçues.
Dans un article de blog rédigé par un consultant en solutions Microsoft Selon Sam Mitrovic, les pirates informatiques exploitent une attaque sophistiquée, que le consultant appelle une « arnaque super réaliste à l’IA », pour tromper les utilisateurs de Gmail. Peut-être plus intéressant encore, le consultant affirme que le stratagème est « super réaliste » et que même les utilisateurs les plus expérimentés pourraient en être victimes sans s’en douter.
Plus de 2,5 milliards de personnes utilisant le service Gmail de Google pourraient se trouver dans une position compromettante, permettant potentiellement à des acteurs malveillants d’accéder à des informations confidentielles qu’ils pourraient utiliser pour nuire ou vendre sur le dark web.
Mitrovic a découvert le stratagème sophistiqué lorsqu’une notification est apparue sur son appareil, lui demandant d’approuver une tentative de récupération de compte Gmail. Les pirates informatiques sont connus pour utiliser cette vieille astuce pour attirer les utilisateurs sans méfiance vers leurs pièges. Heureusement, Mitrovic a décliné la demande et a vaqué à ses occupations. Plus tard, il a reçu une notification indiquant qu’il avait manqué un appel de Google Sydney.
Les choses sont devenues intéressantes lorsqu’il a revécu la même expérience une semaine plus tard. Cependant, Mitrovic a répondu à l’appel, qui prétendait provenir de Google Sydney. Dès réception de l’appel, le consultant a été informé qu’il parlait à l’équipe d’assistance de Google. Il a en outre indiqué que l’équipe avait signalé une activité suspecte sur son compte et, par hasard, l’avait retracée jusqu’à la semaine précédente. Le représentant a affirmé que les pirates avaient accédé au compte de Mitrovic et téléchargé des données.
À ce stade, les soupçons du consultant Microsoft étaient à leur plus haut niveau, le poussant à recouper l’identification de l’appelant sur Google. Même s’il a établi que le numéro de téléphone provenait légitimement de la page commerciale de Google, Mitrovic a toujours gardé ses soupçons. Comme vous le savez peut-être, les attaquants utilisent des stratagèmes sophistiqués pour masquer leur véritable identité.
Mitrovic a demandé au représentant de lui envoyer un e-mail, ce qui l’aiderait à déterminer leur identité. Alors que l’e-mail a presque trompé le consultant Microsoft, l’une des adresses dans le champ « à » l’a vendu car elle était discrètement déguisée sous un domaine autre que Google.
En concluant son article de blog, Mitrovic a indiqué que le principal indice de l’arnaque était le moment où il a reçu l’appel :
« L’appelant a dit Bonjour, je l’ai ignoré environ 10 secondes plus tard, puis j’ai répété Bonjour. À ce stade, je l’ai diffusé en tant que voix IA car la prononciation et l’espacement étaient trop parfaits. »
Selon Mitrovic :
« Les escroqueries deviennent de plus en plus sophistiquées, plus convaincantes et sont déployées à une échelle toujours plus grande. Les gens sont occupés et cette arnaque semblait suffisamment légitime pour que je leur donne un A pour leurs efforts. De nombreuses personnes risquent de se laisser prendre au piège. Il existe de nombreux outils pour lutter contre les fraudeurs, cependant, au niveau individuel, le meilleur outil reste la vigilance, en effectuant les vérifications de base ci-dessus ou en demandant l’aide d’une personne de confiance.
Mitrovic dit qu’il a abandonné l’appel immédiatement après avoir découvert qu’il parlait à de mauvais acteurs qui pourraient potentiellement solliciter ses identifiants de connexion et compromettre son compte Gmail.
🎃Les meilleures offres du début du Black Friday🦃
Microsoft redouble d’efforts en matière de sécurité alors que les pirates informatiques adoptent l’IA
Google a récemment annoncé son partenariat avec la Global Anti-Scam Alliance (GASA) et la DNS Research Federation (DNS RF) pour lutter contre les attaques sophistiquées. Grâce au nouveau Échange mondial de signaux programme, les utilisateurs peuvent obtenir des informations en temps réel sur les escroqueries en ligne sophistiquées et les techniques de fraude exploitées par les attaquants, les mettant potentiellement hors de danger.
Microsoft a également subi une cascade de failles de sécurité. Cependant, lors du rapport sur les résultats de l’entreprise pour le troisième trimestre de l’exercice 24, le PDG Satya Nadella a indiqué : « Nous redoublons d’efforts sur ce travail très important, en plaçant la sécurité avant tout, avant toutes les autres fonctionnalités et investissements. »
Une partie des efforts de l’entreprise visant à renforcer une meilleure sécurité dans sa pile technologique consiste à tenir les hauts dirigeants de Microsoft responsables de la cybersécurité en liant une partie de leur rémunération au respect des seuils de sécurité fixés. Il promet également d’accélérer son temps de réponse lorsque des problèmes de sécurité sont soulevés, ce qui incitera à y remédier.
