Des escrocs ont mis en place une nouvelle arnaque visant les comptes Google. Désormais, ils utilisent une voix générée par intelligence artificielle pour se faire passer pour le service clients et tromper leurs victimes.

au sommaire

    Malgré une sécurité de plus en plus sophistiquée, les escrocs continuent de trouver de nouvelles techniques pour pirater des comptes GoogleGoogle. Une campagne en cours utilise la bonne vieille méthode de l'ingénierie sociale pour convaincre les victimes de leur donner l'accès. La différence cette fois est qu'ils font appel à l'intelligence artificielle pour se faire passer pour Google.

    Sam Mitrovic, consultant en solutions MicrosoftMicrosoft et fondateur de CloudJoy, a détaillé l'attaque sur son blog après en avoir été la cible. Habitant en Australie, il reçoit d'abord une notification de récupération de compte GmailGmail émanant des États-Unis, suivi d'un appel en absence de Google Sydney. Une semaine plus tard, il reçoit de nouveau une notification suivie d'un appel, sauf que cette fois il décroche.

    Une voix un peu trop parfaite

    Au bout du fil, une personne avec un accent américain et prétendant faire partie du service clients Google. Le numéro utilisé correspond bien à Google en Australie, mais l'homme sait que c'est possible de le falsifier. Son interlocuteur lui indique que quelqu'un utilise son compte depuis une semaine et a téléchargé toutes ses données. Il demande une confirmation par e-mail, ce qu'il reçoit aussitôt. Le courriel provient bien d'une adresse Google, mais là encore c'est assez facile à falsifier.

    Sam Mitrovic se rend compte que la voix est un peu trop parfaite et qu'il s'agit d'une IA. Il raccroche. Si l'appel avait continué, le faux conseiller aurait sans doute demandé à l'homme de valider une nouvelle tentative de récupération ou de s'identifier sur une fausse page Google pour récupérer son mot de passe. Devant de nouvelles attaques qui sont non seulement sophistiquées, mais qui peuvent être automatisées grâce à l'IA, il est important de penser à activer l'authentification à deux facteursauthentification à deux facteurs pour tous ses comptes, lorsque c'est possible. De plus, Google ne vous appellera jamais dans ce genre de situation...