Les utilisateurs Gmail sont ciblés par une cyberattaque à l’IA

Une attaque sophistiquée cible les utilisateurs de Gmail ces derniers jours. Les hackers ont réussi à simuler une récupération de compte en se faisant passer pour le service de Google. Cette cyberattaque est si convaincante parce qu’elle imite les voix humaines grâce à l’intelligence artificielle.

Une cyberattaque sophistiquée qui a visé 2,5 milliards d’utilisateurs de Gmail

Cette cyberattaque s’est rapidement répandue dans le monde au point de viser près de 2,5 milliards d’utilisateurs de Gmail, selon Google. L’hacking est assez sophistiqué puisque les pirates ont rendu leur attaque si réaliste en utilisant l’intelligence artificielle, capable de tromper même certaines personnes moins expérimentées dans la Tech.

La première étape commence par un e-mail que vous recevez dans votre boite Gmail. Si vous ne répondez pas, un appel simulant une voix humaine avec un accent américain vous fait savoir que votre compte a été piraté et que vous devez procéder à une tentative de récupération de compte. En vous exécutant, vous donnez alors inconsciemment vos identifiants aux hackeurs, une technique de cyberattaque qui s’appelle le phishing.  

On voit bien que les pirates aujourd’hui sont contraints de développer des stratégies de plus en plus complexes en raison de l’amélioration des mesures de sécurité contre les attaques de phishing et les tentatives de fraude. De toute évidence, ils font usage de l’IA pour rendre leur attaque plus réaliste et convaincante.

La cible d’une tentative d’hameçonnage moderne et sophistiquée a été Sam Mitrovic, un consultant en solutions Microsoft. Il offre ses connaissances afin de vous assister dans votre préparation.

Le cas de Sam Mitrovic, un utilisateur de Gmail

Sam Mitrovic, un utilisateur de Gmail, a reçu un e-mail pour être informé de tentatives d’attaques sur son compte. Cet e-mail semblait provenir des services de Google, mais méfiant, il a supprimé le message.  N’ayant effectué aucune action, Mitrovic a reçu un appel provenant de l’Australie d’un interlocuteur qui avait un accent américain.

Mitrovic a été interrogé par le faux « l’agent de Google » qui était en fait une IA simulant la voix humaine sur ses voyages en Allemagne. Son interlocuteur lui a fait comprendre que ses informations personnelles avaient été consultées par quelqu’un qui avait accédé à son compte Gmail la semaine précédente. Ce genre d’affirmations ou de questions est fréquemment employé dans les tentatives d’hameçonnage afin de faire peur à la cible et de la convaincre de se plier à la demande du hacker.

Après la conversation, Mitrovic a consulté le numéro de téléphone sur Google. Il a effectivement constaté que ce numéro était précisément l’un des numéros officiels de Google Australie.

En fait, « l’agent de Google » était une voix créée par l’intelligence artificielle.

À cet instant précis, beaucoup d’utilisateurs ont tendance à suivre les consignes de leur interlocuteur animé par la peur. Toutefois, il convient de noter que les fraudeurs ont la capacité de « masquer » les numéros de téléphone afin de les faire sembler authentiques. Par conséquent, il ne faut jamais se contenter d’un numéro de téléphone pour déterminer si un appel provient ou non d’une source de fiable.

Alors, pour en être certain, M. Mitrovic a sollicité de son interlocuteur l’envoi d’un courriel à son adresse afin de vérifier son authenticité. Finalement, il a pu réaliser que l’une des adresses mentionnées dans le champ « à » n’appartenait pas à Google. Selon M. Mitrovic, l’agent de Google était en réalité une voix créée par l’intelligence artificielle. Après avoir compris la supercherie sophistiquée des hackeurs, il a arrêté la conversation.

Il est conseillé de ne pas répondre aux appels qui prétendent être de Google et qui demandent des informations ou des actions précises. Il est également recommandé de ne pas cliquer sur les liens que vous recevez concernant la récupération de votre compte, à moins que vous ne le demandiez spécifiquement aux services de Google.