Des fraudeurs ont élaboré une nouvelle arnaque ciblant les comptes Gmail. Ils se servent d’une voix synthétisée par intelligence artificielle pour se faire passer pour un service client et tromper leurs victimes.
Malgré un système de sécurité de plus en plus performant, les escrocs trouvent de nouvelles techniques pour pirater les comptes Google. Actuellement, une opération utilise la méthode classique de l’ingénierie sociale pour inciter les victimes à partager leurs données d’identification. Ce qui les différencie, c’est qu’ils utilisent l’intelligence artificielle pour passer des appels téléphoniques en se faisant passer pour Google.
Sam Mitrovic, expert en solutions Microsoft et créateur de CloudJoy, a abordé l’incident sur son blog après en avoir été affecté. Établi en Australie, il reçoit d’abord une notification concernant la récupération de son compte Gmail, émise depuis les États-Unis, suivie d’un appel manqué de Google basé à Sydney. Une semaine plus tard, il reçoit une autre notification, suivie d’un appel, et cette fois, il décide de répondre.
Une voix qui semble presque trop idéale.
À l’autre extrémité du téléphone, une personne dotée d’un accent américain et affirmant appartenir au service client de Google. Le numéro de téléphone utilisé est bien celui de Google en Australie, mais l’homme est conscient de la possibilité de falsification. Son interlocuteur lui indique qu’un individu utilise son compte depuis une semaine et a récupéré toutes ses données. Il demande une confirmation par courriel, qu’il reçoit immédiatement. Le courriel semble provenir d’une adresse Google, mais il est également assez aisé de le falsifier.
Sam Mitrovic se rend compte que la voix est trop parfaite, ce qui lui indique qu’il est en présence d’une intelligence artificielle. Il choisit de mettre fin à l’appel. Si l’échange avait continué, le faux conseiller aurait probablement cherché à lui faire valider une nouvelle tentative de récupération ou à le diriger vers une page Google falsifiée pour récupérer son mot de passe. Face à des attaques de plus en plus élaborées et automatisées grâce à l’IA, il est impératif de penser à activer la double authentification pour tous ses comptes, chaque fois que cela est possible. Par ailleurs, il est important de souligner que Google ne vous contactera jamais dans de telles circonstances.