Utilisateurs de Gmail, méfiez-vous des astuces d'usurpation d'identité de Google pour pirater des comptes

Ces dernières semaines, les utilisateurs de Gmail ont été confrontés à une forme de fraude très sophistiquée utilisant l'IA pour se faire passer pour des employés de Google. Les pirates ont élaboré des scénarios d'hameçonnage complexes, allant de l'envoi de faux e-mails demandant la vérification de compte à des appels automatisés imitant la voix d'un membre du personnel d'assistance. Ils ont ainsi trompé de nombreux utilisateurs, prenant le contrôle de comptes et causant de graves dommages.

Sam Mitrovic, consultant informatique chez Microsoft, recommande aux utilisateurs d'être extrêmement prudents avec les demandes de récupération de compte Gmail, en particulier celles provenant de sources inconnues. Si vous recevez un tel e-mail ou appel, consultez directement le site web officiel de Google pour vérifier les informations par vous-même.

De plus, ne communiquez jamais d'informations personnelles à qui que ce soit par téléphone, sauf si vous êtes absolument certain de l'identité de votre interlocuteur. N'oubliez pas que Google ne vous demandera jamais votre mot de passe ni vos informations de carte bancaire par téléphone.

Sam Mitrovic a ainsi partagé son expérience d'escroquerie visant à récupérer son compte Gmail. Bien qu'il ait reçu un message de confirmation, il a refusé. Peu après, il a reçu un appel d'un numéro de téléphone affiché comme « Google Sydney ». Cependant, l'appel comportait de nombreux points inhabituels, comme une demande d'informations personnelles trop détaillée, une voix peu naturelle et une prise de décision pressée. Face à ces signes suspects, il a décidé de refuser toutes les demandes.

La semaine suivante, Mitrovic reçut un autre message lui demandant de confirmer la récupération de son compte. Cette fois, l'appel avait eu lieu seulement 40 minutes plus tôt, d'un numéro avec un indicatif régional australien. Malgré ses soupçons, Mitrovic décrocha. La voix à l'autre bout du fil était celle d'un Américain, poli et professionnel.

L'appelant l'a informé qu'une activité suspecte avait été constatée sur le compte de Mitrovic, notamment un piratage et un téléchargement de données au cours de la semaine précédente. Cette information a rendu Mitrovic encore plus méfiant, car elle correspondait à ce qu'il avait déjà vécu. Cependant, il est resté sceptique et a refusé de fournir plus d'informations à l'appelant.

L'expert informatique a décidé de vérifier davantage avant d'agir. Il a vérifié le numéro de téléphone appelé et a constaté qu'il correspondait au numéro officiel du support technique de Google en Australie. Il a ensuite demandé un e-mail de confirmation, et la réponse semblait très professionnelle, comme si elle provenait de Google lui-même. Cependant, l'expert est resté prudent. Il savait que l'usurpation d'adresses e-mail et de numéros de téléphone est une tactique très courante utilisée par les pirates informatiques : on parle alors d'« usurpation ».

En y regardant de plus près, Mitrovic a découvert quelque chose de suspect : l'adresse e-mail d'origine n'était pas une adresse e-mail officielle de Google. En examinant attentivement la section « Envoyé à », il a réalisé qu'il s'agissait simplement d'une fausse adresse conçue pour ressembler à une adresse e-mail Google.

De plus, en vérifiant l'historique du compte, il n'a trouvé aucun signe de piratage. Il a finalement compris que l'appel qu'il avait reçu pouvait avoir été généré par l'IA. La voix était trop parfaite et sans la moindre erreur, ce qui est très peu probable qu'il s'agisse d'un véritable appel.

Mitrovic ne savait pas qu'il n'était pas la seule victime de cette arnaque. Après des recherches en ligne, il a découvert que de nombreuses autres personnes avaient été victimes de la même arnaque. Sur Reddit et un forum australien, il a trouvé des messages d'utilisateurs affirmant avoir été victimes de la même arnaque.

Le magazine Forbes a déclaré qu'en l'absence d'expertise professionnelle, il est fort probable que les identifiants de connexion de Mitrovic aient été volés. L'attaquant aurait pu créer une fausse page de connexion pour inciter Mitrovic à saisir ses informations personnelles. Il aurait même pu utiliser un logiciel malveillant pour voler des cookies et contourner l'authentification à deux facteurs. Il s'agit d'une astuce très sophistiquée et dangereuse, qui démontre la ruse croissante des cybercriminels.

L'utilisation de faux messages de récupération de compte est une tactique classique utilisée par les cybercriminels pour mener des attaques d'hameçonnage. Ces escroqueries conduisent souvent les clients vers un faux portail de connexion où leurs identifiants sont collectés.

« Bien qu'il existe de nombreuses façons de se protéger des arnaques, la meilleure arme reste la vigilance », conseille Mitrovic. « Vérifiez toujours vos informations, surtout lorsqu'il s'agit de comptes personnels. Et en cas de doute, demandez conseil à un ami ou à un proche de confiance. »

Grâce aux progrès rapides de l'IA, les attaques d'hameçonnage sont plus sophistiquées que jamais. L'IA peut créer de faux appels, e-mails ou SMS si réalistes qu'il est difficile pour les utilisateurs de les distinguer. Il est donc essentiel de rester vigilant et sceptique pour se protéger de ces arnaques de plus en plus sophistiquées.