D'après les statistiques de Google, Gmail compte actuellement plus de 2,5 milliards d'utilisateurs. Il s'agit d'une cible de choix pour les pirates informatiques et les escrocs en ligne.

Récemment, Sam Mitrovic, consultant en solutions Microsoft, a lancé un avertissement après avoir failli être victime d'une arnaque téléphonique utilisant une IA hyperréaliste, capable de tromper même les utilisateurs les plus expérimentés.

Dans son blog, il a indiqué avoir reçu une notification d'approbation de récupération de compte Gmail, une méthode d'hameçonnage courante.

Après avoir ignoré cet avis, il a reçu près d'une semaine plus tard une autre demande d'approbation, suivie d'un appel téléphonique 40 minutes plus tard.

Lorsqu'il a décroché le téléphone, il a entendu un accent américain, la personne prétendant être un employé du support Google et affirmant que son compte Gmail présentait une activité suspecte.

hnovv31i.png
Des pirates informatiques utilisent diverses formes de fraude basées sur l'intelligence artificielle pour tenter de prendre le contrôle de comptes Gmail. Photo : Cnet

L'appelant a continué à poser des questions confuses, ajoutant qu'un pirate informatique avait accédé au compte de Mitrovic au cours des 7 derniers jours et téléchargé des données du compte, ce qui lui rappelait la notification et l'appel manqué d'il y a une semaine.

En répondant au téléphone, Mitrovic a recherché le numéro sur Google et a découvert qu'il redirigeait vers des sites web officiels de Google. Il a alors demandé à son interlocuteur de lui envoyer un courriel à l'adresse du compte.

Au premier abord, le courriel semblait légitime – l'expéditeur utilisait un domaine Google – mais en vérifiant le destinataire, il a trouvé un autre courriel qui n'utilisait pas de domaine Google.

« Mon interlocuteur a dit “bonjour”. J’ai ignoré l’appel pendant une dizaine de secondes, puis il a répété “bonjour”. C’est là que j’ai compris qu’il s’agissait d’une voix d’intelligence artificielle à la prononciation parfaite », a écrit Mitrovic sur son blog.

Sans l'expérience et le sang-froid de Mitrovic, un utilisateur moyen de Gmail aurait pu se faire berner.

Google a annoncé s'être associé à la Global Anti-Phishing Alliance (GASA) et au DNS Research Consortium dans le cadre d'une nouvelle initiative visant à lutter contre les escrocs.

Global Signals fait office de plateforme de partage de renseignements sur la fraude et les escroqueries, fournissant des informations en temps réel sur la chaîne d'approvisionnement de la cybercriminalité.

En tirant parti des atouts de chaque organisation, Google espère que la plateforme améliorera le partage de renseignements, contribuant ainsi à identifier et à perturber plus rapidement les activités frauduleuses dans différents secteurs, plateformes et services.

La plateforme Global Signals fonctionne sur Google Cloud pour permettre à tous les participants de partager et d'utiliser des informations, tout en bénéficiant des capacités d'IA de la plateforme pour rechercher intelligemment des modèles et faire correspondre les signaux.

L'intelligence artificielle des deepfakes n'est pas seulement utilisée à des fins pornographiques et politiques , elle sert également à prendre le contrôle des comptes personnels.

Le conseil est donc de garder son calme lorsqu'une personne prétendant travailler pour Google vous contacte. Ne prenez jamais de décision hâtive, aussi urgente que puisse paraître l'appelant.

C'est simplement un sentiment d'urgence que les escrocs utilisent pour modifier votre jugement habituel, vous inciter à cliquer sur le lien ou à leur fournir les informations dont ils ont besoin.

Pour les journalistes, les militants ou ceux qui possèdent des comptes importants, il est conseillé de rejoindre le programme de protection avancée de Google.

Auparavant, l'inconvénient du programme était l'obligation d'acheter deux clés de sécurité physiques pour se connecter à un compte, mais ce fardeau financier a été supprimé depuis que Google a annoncé la prise en charge des clés d'accès.

Le mécanisme du programme de protection avancée est le suivant : lors de votre première connexion à votre compte Google sur n’importe quel appareil, vous aurez besoin d’un code d’accès (sur un smartphone) et de vos données biométriques pour la vérification. Sans code d’accès, la connexion sera impossible.

Si une personne mal intentionnée tente d'utiliser la procédure de récupération de compte pour en prendre le contrôle, le programme effectuera quelques étapes supplémentaires pour vérifier l'identité. Ce processus prend plusieurs jours, ce qui rend la fraude difficile pour les pirates.

(Selon Forbes, Sammitrovic)