Google émet un nouvel avertissement pour tous les utilisateurs
Il ne fait aucun doute que cette année apportera de nouvelles menaces sérieuses motivées par les attaques alimentées par l’IA, qui deviendra de plus en plus difficile à détecter et de plus en plus dommageable. Mais parfois, aussi intelligent que peut paraître une attaque, il est stupidement simple de s’arrêter. Et il n’a jamais été plus critique de s’en tenir aux bases et de ne pas être mis à l’écart par des tactiques sournoises.
C’est donc avec un nouvel avertissement de Google, après avoir confirmé la dernière attaque «motivée par l’IA» contre ses titulaires de compte – pour lequel vous pouvez lire gmail. L’attaque était terriblement intelligente, cela est peu question, mais il aurait dû être arrêté dès le début.
La victime prévue était un ingénieur très averti de la technologie, qui l’a décrit comme «L’attaque de phishing la plus sophistiquée que j’ai jamais vue. » J’ai couvert l’attaque, mais il a d’abord été ramassé par Le registresignalant que « Google dit que cela durcit maintenant les défenses contre une arnaque sophistiquée de rachat de compte documenté par un programmeur la semaine dernière. »
L’attaque a commencé avec un appel de l’équipe d’assistance de Google, avertissant que quelqu’un avait tenté d’accéder au compte de la victime potentiel à l’étranger. Le nombre semblait légitime et a été soutenu par un e-mail d’un domaine Google. Il a duré un certain temps et n’a été contrecarré que lorsque le faux patron de l’appelant de l’escroquerie est monté en jeu et s’est glissé.
Mais Google veut souligner qu’il n’aurait jamais dû aller aussi loin; La société m’a demandé de «réitérer à vos lecteurs que Google ne vous appellera pas pour réinitialiser votre mot de passe ou résoudre les problèmes de compte».
Google a suspendu ce compte Scammer potentiel, « qui a abusé d’un compte d’espace de travail non vérifié pour envoyer ces e-mails trompeurs », et dit qu’il « durcit nos défenses contre les agresseurs en tirant parti des références G.CO à s’inscrire pour protéger davantage les utilisateurs ». C’est pour empêcher les attaquants d’imiter les domaines Google. Mais revenons à nouveau à l’essentiel – cela n’aurait jamais dû se produire.
Google dit que «nous n’avons pas vu de preuves qu’il s’agit d’une tactique à grande échelle», par laquelle cela signifie la sophistication effrayante de cette attaque en particulier. Il était complexe et très ciblé. Mais le fléau des appels de soutien frauduleux est répandu. Et ce ne sont pas seulement des appels de soutien, les mêmes tactiques sont employées par le personnel bancaire frauduleux, le personnel d’échange de crypto et même des policiers.
Mais ce n’est pas assez bien compris – que Google ou Apple ou Meta ou toute autre entreprise de support de la société ne vous appellera pas à l’improviste. Et aucune institution financière ne s’appellera de façon inattendue pour vous faire déplacer de l’argent ou changer les détails du compte pendant qu’il est au téléphone. Tout comme aucun policier n’appellera jamais pour demander un paiement pour éviter son arrestation.
Aucune critique de l’ingénieur, presque dupé par cette dernière attaque de phishing «sophistiquée», il est trop facile pour les escrocs de déployer la ruse des chiffres et des adresses e-mail. Et l’IA aggrave tout cela. Le problème est que presque tous les utilisateurs ne réalisent toujours pas qu’une équipe de support technologique n’appellera jamais. Le fait que la crainte d’un problème de compromis ou d’appareil et d’un faux sentiment d’urgence suffit souvent pour inciter un utilisateur à devenir une victime.
Le FBI a répondu à la dernière vague d’appels d’escroquerie bancaires avec un avertissement répété de ne jamais prendre de tels appels, que les banques ne les placeront jamais. Et le CBP et plusieurs organismes locaux d’application de la loi ont fait de même. Je me réjouis de cette même clarté de Google, mais elle doit être au premier plan dans leurs sites de support et leurs applications et pour toutes les autres.
Le Avertissement de couverture du FBI à ce sujet est clair. «Les sociétés légitimes des clients, de la sécurité ou de la technologie n’organiseront pas de contact non sollicité avec les particuliers.» Vous ne serez jamais appelé à l’improviste et vous ne devriez jamais prendre de tels appels quand ils viendront.
Parfois, faire le stupidement simple suffit vraiment à vous garder en sécurité.
