Les utilisateurs de Gmail avertis d’une nouvelle escroquerie de prise de contrôle de compte : voici ce qu’il faut vérifier

Un chercheur en sécurité et le PDG d’une startup technologique avertissent que certains utilisateurs de Gmail pourraient être la proie d’une escroquerie sophistiquée, basée sur l’IA, qui pourrait conduire à l’usurpation de leur compte.

Garry Tan, directeur général de la société de capital-risque Ycombinator, a écrit sur X il y a une dizaine de jours qu’il existe une escroquerie par hameçonnage « assez élaborée » qui utilise une voix générée par l’IA.

Les escrocs « [prétendent] être le service d’assistance de Google (l’identité de l’appelant correspond, mais n’est pas vérifiée) », a-t-il écrit dans un message du 10 octobre qu’il a qualifié d’« annonce de service public ».

« NE CLIQUEZ PAS SUR CE DIALOGUE – Vous serez victime d’un hameçonnage. »

« Ils prétendent qu’ils vérifient que vous êtes en vie et qu’ils ne tiennent pas compte d’un certificat de décès déposé selon lequel un membre de la famille récupère votre compte. Il s’agit d’un stratagème assez élaboré pour vous inciter à autoriser la récupération de votre mot de passe ».

Dans un post de blog publié le mois dernier, le consultant en informatique Sam Mitrovic a fait état d’une tentative d’escroquerie similaire visant les comptes Gmail et utilisant également une voix générée par l’IA.

« Les escroqueries sont de plus en plus sophistiquées, de plus en plus convaincantes et sont déployées à une échelle de plus en plus grande », a écrit M. Mitrovic dans son message. « Les gens sont occupés et cette escroquerie semblait suffisamment légitime pour que je leur donne un 20/20 pour leur effort. De nombreuses personnes risquent de tomber dans le panneau. »

Selon l’article, M. Mitrovic a déclaré avoir reçu une notification lui demandant d’approuver une tentative de récupération d’un compte Gmail, qu’il a finalement rejetée. Il a ensuite reçu un appel téléphonique environ 40 minutes plus tard dont l’identifiant était « Google Sydney » et l’a également rejeté.

« Exactement une semaine plus tard, j’ai reçu une autre notification pour approuver la récupération de mon compte Gmail, toujours depuis les États-Unis. »

« Vous l’aurez deviné, environ 40 minutes plus tard, je reçois un appel que je décroche cette fois. C’est une voix américaine, très polie et professionnelle. Le numéro est australien. Il se présente et me dit qu’il y a une activité suspecte sur mon compte. »

La personne au bout du fil demande alors si Mitrovic est en voyage, ce à quoi il répond que ce n’est pas le cas, selon son récit. La personne a ensuite demandé si Mitrovic se trouvait en Allemagne, ce à quoi il a également répondu par la négative.

Mitrovic a déclaré avoir constaté que le numéro de l’appelant était un numéro officiel qui figurait sur la page d’assistance informatique de Google Australie, ajoutant qu’il avait demandé un mail de confirmation, et que l’adresse de l’expéditeur semblait également être un compte officiel utilisé par l’équipe de Google.

« En arrière-plan, j’entends quelqu’un taper sur le clavier et, tout au long de l’appel, il y a un bruit de fond qui rappelle celui d’un centre d’appels. Il me dit qu’il a envoyé le mail. Après quelques instants, le mail arrive et, à première vue, il semble légitime – l’expéditeur provient d’un domaine Google », écrit-il.

Selon le chercheur « l’usurpation d’une adresse e-mail est facile et je remarque que le champ ‘To’ contient une adresse e-mail astucieusement nommée GoogleMail@InternalCaseTracking.com (domaine non Google). »

« L’appelant a dit ‘Bonjour’, je l’ai ignoré, puis environ 10 secondes plus tard, il a redit ‘Bonjour’ », a-t-il expliqué, ajoutant qu’à ce moment-là, il s’est rendu compte que la voix était générée par l’IA, “car la prononciation et l’espacement étaient trop parfaits”.

Mitrovic écrit qu’il a raccroché et rappelé le numéro. Il a alors reçu un message disant : « Ici Google Maps, nous ne sommes pas en mesure de prendre votre appel ».

Public service announcement: You should be aware of a pretty elaborate phishing scam using AI voice that claims to be Google Support (caller ID matches, but is not verified)

DO NOT CLICK YES ON THIS DIALOG— You will be phished

They claim to be checking that you are alive and… pic.twitter.com/60zeuS2lL8

— Garry Tan (@garrytan) October 10, 2024

Le chercheur a indiqué qu’il n’était pas le seul à avoir failli être victime d’une escroquerie, car il a trouvé d’autres personnes qui ont écrit qu’elles avaient été ciblées par un stratagème similaire.

« Il existe de nombreux outils pour lutter contre les escrocs, mais au niveau individuel, le meilleur outil reste la vigilance, en effectuant les vérifications de base mentionnées ci-dessus ou en demandant l’aide d’une personne de confiance », a écrit M. Mitrovic.

Selon le message de blog, le chercheur a indiqué que plusieurs indices suggéraient qu’il s’agissait peut-être d’une tentative de prise de contrôle de son compte Google ou Gmail.

M. Mitrovic a indiqué que les signes révélateurs d’une escroquerie sont les suivants : premièrement, il a reçu des messages de récupération de compte qu’il n’avait pas initiée ; deuxièmement, il s’agissait d’un appel téléphonique, car Google n’appelle pas les utilisateurs à moins qu’ils n’aient un profil Google Business ; et troisièmement, le mail qu’il a reçu avait une adresse « non connectée à un domaine Google ». De plus, l’en-tête du mail montrait « comment le mail avait été usurpé », et une « recherche inversée de numéro a montré que d’autres personnes avaient reçu le même appel frauduleux », a-t-il expliqué.

« Malgré de nombreux signaux d’alerte, cet appel semblait suffisamment légitime pour tromper de nombreuses personnes », écrit-il. « Je pense que le taux de conversion des appels reçus est relativement élevé ».

Epoch Times a contacté Google pour obtenir des commentaires sur les avertissements de messieurs Mitrovic et Tan, mais n’a reçu aucune réponse à l’heure de la publication.