Actu365

Comment les escrocs sont parvenus à maîtriser l’IA : deepfakes, faux sites Internet et emails de phishing | Blog officiel de Kaspersky

Si l’IA offre une infinité de nouvelles opportunités, elle introduit également tout un éventail de nouvelles menaces. L’IA générative permet aux acteurs malveillants de créer des deepfakes et de faux sites Internet, d’envoyer des spams, et même d’usurper l’identité de vos amis et de votre famille. Cet article explique comment les réseaux neuronaux sont utilisés à des fins d’escroqueries et de phishing et inclut, bien sûr, des conseils pour vous aider à rester en sécurité. Pour en apprendre davantage sur les stratagèmes de phishing basés sur l’IA, consultez notre rapport complet sur Securelist.

Pig butchering, catfishing et deepfakes

De nos jours, les escrocs ont recours à des bots d’IA se faisant passer pour de véritables personnes, en particulier dans le cadre d’escroqueries sentimentales. Ils fabriquent des personnages de toutes pièces et les utilisent pour communiquer simultanément avec plusieurs victimes afin de tisser des liens émotionnels forts. Ces échanges peuvent durer des semaines, voire des mois, et commencer par un simple flirt qui se transforme ensuite progressivement en des discussions sur des « opportunités d’investissement lucratives ». Le lien affectif de longue date permet de dissiper les éventuels soupçons de la victime, mais l’escroquerie prend évidemment fin une fois que la cible a investi de l’argent dans un projet frauduleux. Ce type de stratagème, que nous avons abordé en détail dans un article publié précédemment, est connu sous le nom de « pig butchering ». Alors qu’elles étaient autrefois menées à bien au sein d’immenses usines d’escroquerie situées en Asie du Sud-Est et employant des milliers de personnes, ces escroqueries s’appuient désormais de plus en plus sur l’IA.

Les réseaux neuronaux facilitent considérablement le catfishing, qui consiste pour les escrocs à créer une fausse identité ou à usurper l’identité d’une véritable personne. Les réseaux neuronaux génératifs modernes peuvent imiter l’apparence, la voix ou le style d’écriture d’une personne avec un degré de précision satisfaisant. L’escroc n’a qu’à collecter des informations accessibles publiquement sur une personne, puis les transmettre à l’IA. De plus, tout peut servir : photos, vidéos, publications et commentaires publics, informations sur les proches, loisirs, âge, etc.

Par conséquent, si un membre de votre famille ou un ami vous envoie un message à partir d’un nouveau compte et vous demande, par exemple, de lui prêter de l’argent, il ne s’agit vraisemblablement pas réellement du membre de votre famille ou de votre ami. Dans une telle situation, la meilleure chose à faire est de contacter la personne en question en passant par un autre canal (par exemple, en lui téléphonant) et de lui demander directement si tout va bien. Il est également judicieux de lui poser quelques questions personnelles auxquelles un escroc ne pourrait pas trouver de réponses en ligne, ni même dans vos précédents échanges.

Cela étant dit, l’usurpation d’identité au moyen de messages convaincants n’est qu’une facette du problème, les deepfakes audio et vidéo constituant une menace encore plus importante. Nous avons récemment vu comment les escrocs utilisent des deepfakes de blogueurs et d’investisseurs célèbres en cryptomonnaies sur les réseaux sociaux. Ces fausses célébrités proposent à leurs abonnés des « consultations privées » ou des « discussions exclusives autour des investissements » ou leur promettent des gains en argent ainsi que des cadeaux de grande valeur.

Après tout, pourquoi Jennifer Aniston ne pourrait-elle pas offrir un MacBook ?

Après tout, pourquoi Jennifer Aniston ne pourrait-elle pas offrir un MacBook ?

Les réseaux sociaux ne sont toutefois pas le seul endroit où les deepfakes sont utilisés. Ces derniers sont également générés pour des appels vidéo et audio en temps réel. Plus tôt dans l’année, une femme originaire de Floride a perdu 15 000 dollars américains à la suite d’une conversation avec une personne qu’elle croyait être sa fille, prétendument victime d’un accident de voiture. Les escrocs ont eu recours à un deepfake réaliste de la voix de sa fille, et sont même allés jusqu’à imiter ses pleurs.

Les experts de l’équipe GReAT de Kaspersky ont trouvé sur le Dark Web des offres pour créer des deepfakes vidéo et audio en temps réel. Le prix de ces services dépend du degré de sophistication et de la longueur du contenu à générer. Ils sont proposés à partir de seulement 30 dollars américains pour les deepfakes vocaux et 50 dollars américains pour les vidéos. Il y a encore quelques années, ces services coûtaient beaucoup plus cher (jusqu’à 20 000 dollars américains la minute), et une génération en temps réel n’était pas envisageable.

Les annonces proposent diverses options : échange de visages en temps réel dans des vidéoconférences ou des applications de messagerie, échange de visages à des fins de vérification d’identité, ou encore remplacement d’une image provenant d’un téléphone ou d’un appareil photo virtuel.

Les escrocs proposent également des outils permettant de synchroniser les lèvres avec n’importe quel discours dans une vidéo, y compris dans une langue étrangère, ainsi que des outils de clonage de voix qui peuvent modifier le ton et la hauteur de la voix en fonction de l’émotion recherchée.

Cependant, nos experts soupçonnent qu’un grand nombre de ces annonces publiées sur le Dark Web pourraient être elles-mêmes des escroqueries, conçues pour inciter d’autres escrocs potentiels à payer pour des services qui n’existent pas réellement.

Comment se protéger

  • Ne faites pas confiance aux connaissances en ligne que vous n’avez jamais rencontrées en personne. Même si vous discutez depuis un certain temps et que vous avez le sentiment d’avoir trouvé une « âme sœur », méfiez-vous si cette personne aborde le sujet des cryptomonnaies ou des investissements ou si elle vous parle de tout autre projet nécessitant de lui envoyer de l’argent.
  • Ne tombez pas dans le piège des offres inattendues et alléchantes qui semblent provenir de célébrités ou de grandes entreprises sur les réseaux sociaux. Consultez toujours leurs comptes officiels pour vous assurer de la véracité des informations. Arrêtez tout si, à n’importe quel stade d’un « concours », il vous est demandé de payer des taxes ou des frais de port, ou de saisir les informations relatives à votre carte de crédit pour recevoir un gain en argent.
  • Si des amis ou des proches vous envoient des messages contenant des demandes inhabituelles, contactez-les par un autre canal, par exemple par téléphone. Pour plus de sécurité, posez-leur des questions sur un sujet que vous avez abordé au cours de votre dernière conversation en personne. Pour les amis proches et la famille, il est judicieux de convenir au préalable d’un mot de code que vous serez les seuls à connaître. Si vous partagez mutuellement votre position, vérifiez-la et confirmez où se trouve la personne. Enfin, ne tombez pas dans le piège du « fais vite » : l’escroc ou l’IA peut vous dire que la situation est urgente et qu’il ou elle n’a pas le temps de répondre à des questions « idiotes ».
  • Si vous avez des doutes au cours d’un appel vidéo, demandez à la personne de tourner la tête sur le côté ou de faire un geste de la main complexe. Les deepfakes ne peuvent généralement pas répondre à de telles demandes sans briser l’illusion. De plus, si la personne ne cligne pas des yeux ou si ses mouvements labiaux ou ses expressions faciales semblent étranges, il convient également de vous méfier.
  • Ne dictez jamais et ne communiquez jamais d’une quelconque manière vos numéros de carte bancaire, vos codes à usage unique, ou toute autre information confidentielle.
Comment repérer un deepfake vidéo

Exemple d’un deepfake qui se dégrade lorsque la tête tourne. Source

Appels automatisés

Ils constituent un moyen efficace de tromper des individus sans avoir à leur parler directement. Les escrocs utilisent l’IA pour passer de faux appels automatisés provenant de banques, d’opérateurs de téléphonie mobile et de services gouvernementaux. À l’autre bout du fil se trouve simplement un bot se faisant passer pour un agent d’assistance. Cela semble réel, car de nombreuses entreprises légitimes ont recours à des assistants vocaux automatisés. Cependant, une véritable entreprise ne vous appellera jamais pour vous dire que votre compte a été piraté ou pour vous demander un code de vérification.

Si vous recevez un appel de ce type, l’essentiel est de rester calme. Ne tombez pas dans le piège de tactiques visant à vous faire peur, comme « un compte piraté » ou « de l’argent vol ». Contentez-vous de raccrocher et utilisez le numéro officiel indiqué sur le site Internet de l’entreprise pour appeler la véritable entreprise. Gardez en tête que les escroqueries modernes peuvent impliquer plusieurs personnes vous faisant passer d’une personne à l’autre. Elles peuvent vous appeler ou vous envoyer des SMS depuis des numéros différents et se faire passer pour des employés de banque, des représentants gouvernementaux, ou même des policiers.

Agents d’IA et chatbots vulnérables au phishing

Bon nombre de personnes préfèrent désormais utiliser des chatbots comme ChatGPT ou Gemini plutôt que des moteurs de recherche traditionnels. Après tout, quels risques y a-t-il à cela ? Eh bien, les grands modèles de langage sont entraînés à partir des données des utilisateurs, et les chatbots les plus populaires sont connus pour suggérer des sites de phishing aux utilisateurs. Lorsqu’ils effectuent des recherches sur Internet, les agents d’IA se connectent à des moteurs de recherche qui peuvent également contenir des liens de phishing.

Au cours d’une récente expérience, des chercheurs ont réussi à tromper l’agent d’IA du navigateur Comet de Perplexity au moyen d’un faux email. L’email provenait prétendument d’un gestionnaire de fonds travaillant pour Wells Fargo, l’une des plus grandes banques au monde. Les chercheurs ont envoyé cet email depuis un compte Proton Mail fraîchement créé. Il contenait un lien vers une véritable page de phishing qui était active depuis plusieurs jours, mais qui n’avait pas encore été signalée comme malveillante par la Navigation sécurisée de Google. En parcourant la boîte de réception de l’utilisateur, l’agent d’IA a marqué le message comme « action à effectuer auprès de la banque ». Sans procéder à la moindre vérification, il a suivi le lien de phishing, ouvert la fausse page de connexion, puis invité l’utilisateur à saisir ses identifiants ; il l’a même aidé à remplir le formulaire ! En somme, l’IA s’est portée garante de la page de phishing. L’utilisateur n’a jamais vu l’adresse email suspecte de l’expéditeur ni le lien de phishing lui-même. À la place, il a été immédiatement redirigé vers une page de saisie de mot de passe fournie par un assistant d’IA « utile ».

Dans le cadre de cette même expérience, les chercheurs ont eu recours à la plateforme de développement Web basée sur l’IA Loveable pour créer un faux site Internet imitant celui des magasins Walmart. Ils ont ensuite visité ce site à l’aide du navigateur Comet, ce qu’un utilisateur peu méfiant pourrait facilement faire s’il se laissait piéger par une annonce ou un lien de phishing. Ils ont alors demandé à l’agent d’IA d’acheter une Apple Watch. L’agent a analysé le faux site Internet, trouvé une « bonne affaire », ajouté la montre au panier, saisi l’adresse et les informations bancaires enregistrées dans le navigateur, puis finalisé « l’achat » sans demander une quelconque confirmation. Si ce site Internet avait été réellement frauduleux, l’utilisateur aurait perdu une somme d’argent considérable en servant aux escrocs ses coordonnées bancaires sur un plateau d’argent.

Malheureusement, les agents d’IA se comportent actuellement comme de nouveaux utilisateurs naïfs sur Internet, tombant facilement dans les pièges de l’ingénierie sociale. Nous avons déjà abordé en détail les risques liés à l’intégration de l’IA dans les navigateurs et les moyens de les minimiser. Cependant, à titre de rappel, pour éviter de devenir la prochaine victime d’un assistant trop confiant, il convient de porter un regard critique sur les informations que celui-ci vous fournit, de limiter les autorisations que vous accordez aux agents d’IA, et d’installer une solution de sécurité fiablequi bloquera l’accès aux sites malveillants.

Sites Internet de phishing générés par IA

L’époque des sites de phishing sommaires, mal conçus et truffés d’annonces intrusives est depuis longtemps révolue. Les escrocs modernes font tout leur possible pour créer de faux sites réalistes qui utilisent le protocole HTTPS, affichent des contrats utilisateurs et des avertissements de consentement aux cookies, et possèdent un design relativement soigné. Les outils basés sur l’IA ont rendu la création de tels sites Internet beaucoup moins coûteuse et beaucoup plus rapide, voire quasi instantanée. Vous pouvez trouver des liens vers ce type de site partout : dans un SMS, dans un email, sur les réseaux sociaux, ou même dans des résultats de recherche.

Formulaires de saisie d'identifiants sur des sites d'escroquerie imitant ceux de Tesla et de Pantene

Formulaires de saisie d’identifiants sur des sites d’escroquerie imitant ceux de Tesla et de Pantene

Comment repérer un site de phishing

  • Examinez l’URL, le nom et le contenu du site à la recherche de fautes de frappe.
  • Cherchez depuis combien de temps le domaine du site Internet existe. Vous pouvez trouver cette information ici.
  • Prêtez attention au vocabulaire utilisé. Le site essaie-t-il de vous faire peur ou de vous accuser de quelque chose ? Essaie-t-il de vous appâter, ou vous incite-t-il à faire quelque chose ? La moindre manipulation émotionnelle doit vous alerter.
  • Activez la fonctionnalité de vérification des liens dans chacune de nos solutions de sécurité.
  • Si votre navigateur vous avertit d’une connexion non sécurisée, quittez le site. Les sites légitimes utilisent le protocole HTTPS.
  • Recherchez le nom du site Internet en ligne et comparez l’URL dont vous disposez avec celle qui apparaît dans les résultats de recherche. Faites preuve de prudence, car les moteurs de recherche peuvent afficher des liens de phishing sponsorisés en haut de la page. Assurez-vous que la mention « Annonce » ou « Sponsorisé » ne figure pas à côté du lien.

Consultez les articles suivants pour en apprendre davantage sur l’utilisation sécurisée de l’IA :

Kaspersky Premium

actu365
, , , , , , ,

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.