Les utilisateurs de Gmail doivent se méfier des astuces d'usurpation d'identité de Google pour pirater des comptes.

Ces dernières semaines, les utilisateurs de Gmail ont été confrontés à une forme très sophistiquée d'hameçonnage utilisant l'IA pour se faire passer pour des employés de Google. Les pirates ont élaboré des scénarios d'hameçonnage complexes, allant de l'envoi de faux e-mails demandant la vérification de compte à des appels automatisés imitant la voix d'un agent du support. Ils ont ainsi trompé de nombreux utilisateurs, pris le contrôle de leurs comptes et causé de graves dommages.

Sam Mitrovic, consultant informatique chez Microsoft, recommande aux utilisateurs d'être extrêmement prudents avec toute demande de récupération de compte Gmail, en particulier celles provenant de sources inconnues. Si vous recevez un tel e-mail ou appel, consultez directement le site web officiel de Google pour vérifier les informations par vous-même.

De plus, ne communiquez jamais d'informations personnelles à qui que ce soit par téléphone, sauf si vous êtes absolument certain de l'identité de votre interlocuteur. N'oubliez pas que Google ne vous demandera jamais votre mot de passe ni vos informations de carte bancaire par téléphone.

Sam Mitrovic a ainsi partagé son expérience d'escroquerie visant à récupérer son compte Gmail. Bien qu'il ait reçu un message de confirmation, il a refusé. Immédiatement après, il a reçu un appel provenant d'un numéro de téléphone affiché comme « Google Sydney ». Cependant, le contenu de l'appel comportait de nombreux points inhabituels, comme une demande d'informations personnelles trop détaillée, une voix peu naturelle et une prise de décision pressée. Face à ces signes suspects, il a décidé de refuser toutes les demandes.

La semaine suivante, Mitrovic reçut un autre message lui demandant de confirmer la récupération de son compte. Fait remarquable, cette fois, l'appel avait été reçu seulement 40 minutes plus tôt, d'un numéro avec un indicatif régional australien. Malgré ses soupçons, Mitrovic décrocha. La voix à l'autre bout du fil était celle d'un Américain, à l'attitude polie et professionnelle.

L'appelant l'a informé qu'une activité suspecte avait été constatée sur le compte de Mitrovic, notamment un piratage et un téléchargement de données au cours de la semaine précédente. Cette information a rendu Mitrovic encore plus méfiant, car elle correspondait à ce qu'il avait déjà vécu. Cependant, il est resté sceptique et a refusé de fournir plus d'informations à l'appelant.

L'expert informatique a décidé de vérifier davantage avant d'agir. Il a vérifié le numéro de téléphone appelé et a constaté qu'il correspondait au numéro officiel du support technique de Google en Australie. Il a ensuite demandé un e-mail de confirmation, et la réponse semblait très professionnelle, comme si elle provenait de Google lui-même. Cependant, l'expert est resté prudent. Il savait que l'usurpation d'adresses e-mail et de numéros de téléphone est une tactique très courante chez les pirates informatiques : on parle alors de « spoofing ».

En y regardant de plus près, Mitrovic a découvert quelque chose de suspect : l'adresse e-mail envoyée n'était pas une adresse e-mail officielle de Google. En examinant attentivement la section « De », il a réalisé qu'il s'agissait simplement d'une fausse adresse conçue pour ressembler à une adresse e-mail Google.

De plus, en consultant l'historique du compte, il n'a trouvé aucun signe de piratage. Il a finalement compris que l'appel qu'il avait reçu pouvait avoir été généré par l'IA. La voix était si parfaite et sans erreur qu'il est très peu probable qu'il s'agisse d'un véritable appel.

Mitrovic ignorait qu'il n'était pas la seule victime de cette arnaque. Après des recherches en ligne, il a découvert que de nombreuses autres personnes avaient été victimes de la même arnaque. Sur Reddit et un forum australien, il a trouvé des messages d'utilisateurs affirmant avoir été victimes de la même arnaque.

Le magazine Forbes a déclaré qu'en l'absence de toute expertise, il est fort probable que les identifiants de connexion de Mitrovic aient été volés. L'attaquant aurait pu créer une fausse page de connexion pour inciter Mitrovic à saisir ses informations personnelles. Il aurait même pu utiliser un logiciel malveillant pour voler des cookies et contourner l'authentification à deux facteurs. Il s'agit d'une astuce très sophistiquée et dangereuse, qui montre que les cybercriminels sont de plus en plus rusés.

L'utilisation de faux messages de récupération de compte est une tactique classique utilisée par les cybercriminels pour mener des attaques de phishing. Ces astuces conduisent souvent les clients vers un faux portail de connexion où leurs identifiants sont collectés.

« Bien qu'il existe de nombreuses façons de se protéger des arnaques, la meilleure arme reste la vigilance », conseille Mitrovic. « Vérifiez toujours vos informations, surtout lorsqu'il s'agit de comptes personnels. Et en cas de doute, demandez conseil à un ami ou à un proche de confiance. »

Grâce aux progrès de l'IA, les attaques d'hameçonnage sont plus sophistiquées que jamais. L'IA peut créer de faux appels, e-mails ou SMS si réalistes qu'il est difficile pour les utilisateurs de les distinguer. Il est donc essentiel de rester vigilant et sceptique pour se protéger de ces escroqueries de plus en plus sophistiquées.