Sam Mitrovic, consultant en informatique, a récemment partagé sur son blog une expérience assez inquiétante. Après avoir reçu une notification lui demandant d’approuver une tentative de récupération de son compte Gmail, qu’il a immédiatement refusée, il a été contacté par un appel téléphonique affichant comme identifiant « Google Sydney ». Le consultant, conscient des tentatives fréquentes de phishing, a refusé de répondre à l’appel.
L’IA, nouvel outil au service des cybercriminels
Cependant, une semaine plus tard, une situation similaire s’est reproduite. Sam Mitrovic a à nouveau reçu une demande de récupération de compte, suivie d’un appel téléphonique. Cette fois-ci, il a décidé de répondre. À l’autre bout du fil, une voix « très polie et professionnelle » lui a affirmé que son compte avait été piraté et que ses données avaient été téléchargées. L’expert, prudent, a effectué des vérifications et a découvert que le numéro d’appel correspondait bien à celui du support technique officiel de Google en Australie.
Après avoir demandé à recevoir un e-mail de confirmation, Sam Mitrovic a constaté que l’adresse semblait elle aussi légitime, utilisant un nom de domaine proche de celui de Google. Cependant, à y regarder de plus près, il a remarqué une subtile différence dans l’adresse de l’expéditeur : l’e-mail provenait d’un domaine factice, habilement déguisé pour imiter celui de Google. C’est à ce moment-là qu’il a compris qu’il faisait face à une tentative d’arnaque particulièrement sophistiquée, impliquant de l’usurpation d’identité numérique et de l’intelligence artificielle.
L’utilisation de l’IA dans cette arnaque a impressionné l’expert. Selon lui, la voix au téléphone était si bien calibrée, avec un ton et une prononciation « trop parfaits », qu’il a rapidement déduit qu’il s’agissait d’une voix générée par un algorithme. Les cybercriminels derrière cette arnaque avaient non seulement usurpé un numéro officiel de Google, mais aussi créé une interaction d’apparence authentique, capable de tromper même des utilisateurs avertis.
Cette technique repose sur un processus en plusieurs étapes. Dans un premier temps, l’utilisateur reçoit une fausse notification de récupération de compte, souvent accompagnée d’un lien vers un portail de connexion frauduleux. L’objectif est de récupérer les identifiants de l’utilisateur pour ensuite accéder aux informations personnelles. Ce type de fraude peut également comporter des logiciels malveillants pour contourner l’authentification à deux facteurs. Grâce à ses connaissances techniques, Sam Mitrovic a évité les problèmes.
Face à ces arnaques de plus en plus réalistes, la vigilance reste la meilleure arme de défense. Comme le rappelle le spécialiste en sécurité, il est essentiel d’effectuer des vérifications basiques, comme l’analyse de l’historique des connexions à son compte Google ou l’examen minutieux des en-têtes d’e-mails suspects. Il recommande également de toujours solliciter un avis externe en cas de doute, notamment auprès de personnes de confiance.
Ces attaques s’appuient sur la crédulité et le manque de temps des victimes potentielles, qui peuvent être rapidement convaincues par des détails réalistes. La prudence est de mise, d’autant plus que les outils utilisés par les cybercriminels deviennent de plus en plus sophistiqués.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.