Phishing et intelligence artificielle : les nouvelles méthodes des cybercriminels

Le 11/09/24
Partagez sur

Votre banque ou un imposteur ? Le phishing est une fraude en ligne qui brouille les pistes pour vider vos comptes. Découvrez comment le déjouer !

Vous en avez peut-être déjà entendu parler : le phishing — ou hameçonnage en français — est une escroquerie utilisée par les cybercriminels depuis plusieurs années. Vols de données, usurpation d’identité ou pillage de comptes bancaires, les cyberescrocs ne manquent pas d’imagination pour vous nuire et ils peuvent compter sur des nouvelles technologies et des méthodes toujours plus sophistiquées, notamment l’intelligence artificielle (phishing IA). De quoi s’agit-il ? Comment vous protéger ? Et comment agir ? On vous aide à y voir plus clair…

Le phishing, c’est quoi exactement ?

Le but de la fraude est assez simple à comprendre : les cybercriminels tentent de « pêcher » vos données confidentielles, telles que votre numéro de compte en banque, le code secret de votre carte bancaire ou simplement votre code CVV, vos mots de passe, votre numéro de carte d’identité, etc. Une fois en possession de ces « sésames », ils vont essayer de vider vos comptes bancaires ou de vous dérober de l’argent en usurpant votre identité.

Les cyberarnaqueurs tentent donc par tous les moyens de vous faire baisser la garde en se faisant passer pour des « entités » légitimes et de confiance : votre banque, un service public, un fournisseur d’énergie, un site de vente en ligne, une plateforme de streaming comme Netflix et même un membre de votre famille ou un ami. Par e-mail, SMS, WhatsApp, Facebook Messenger ou téléphone, ils vous font croire que vous dialoguez avec un tiers de confiance. Vous pensez qu’il faut être « idiot » pour tomber dans le panneau ? Détrompez-vous : c’est tellement bien réalisé que ça passe, même pour les personnes aguerries, notamment à cause des outils d’intelligence artificielle (IA). Regardons de plus près ce phénomène croissant…

Des méthodes toujours plus sophistiquées

Avec les nouvelles technologies, les cybercriminels disposent d’armes toujours plus redoutables pour tenter de vous faire mordre à l’hameçon. Cela leur permet de mettre au point de nouvelles méthodes de phishing IA ou de cyberfraude pour :

  • reproduire fidèlement l’apparence des communications officielles de votre banque ou de n’importe quelle autre institution ou entreprise ;
  • pirater votre messagerie Facebook ;
  • créer une plateforme de paiement en ligne bidon mais parfaitement imitée ;
  • reproduire la voix de votre fils en voyage (le vishing ou hameçonnage vocal) ;
  • et même créer une fausse visioconférence avec de « vrais-faux » collègues.

Ces escrocs numériques peuvent désormais pousser très loin la personnalisation des appâts et vous cibler de façon toujours plus précise. Grâce aux algorithmes puissants d’IA, ils glanent rapidement vos informations personnelles sur le web — sur votre compte Facebook ou Instagram, vos différents profils digitaux, votre messagerie WhatsApp — afin de reproduire des communications réellement bluffantes. Pour réussir cette « pêche fine », plus ils en savent sur vous, mieux ils peuvent vous tromper.

Ce n’est pas un hasard si les messages frauduleux reçus par SMS (smishing) se multiplient et atteignent leur objectif : ils sont plus personnalisés et convaincants que jamais. Un ami qui vous demande une aide financière rapide ? Votre enfant parti en vacances qui vous dit qu’il a perdu son portefeuille ? Votre boss qui réclame une réunion virtuelle inopinée ?

Autre approche : la « pêche au gros ». Ils utilisent alors des robots numériques pour envoyer d’énormes quantités de messages plus « généraux » à un très grand nombre de victimes potentielles. Par exemple, veuillez renouveler votre abonnement Netflix.

Des appâts presque indétectables

Cela vous semble trop simple ou trop gros ? Il faut garder à l’esprit que nous cliquons toujours plus vite sur OK, souvent sans prendre le temps de lire le message reçu. De plus, les « appâts » sont tellement bien ficelés qu’il est parfois difficile de différencier le réel du fake… Logo, mise en page, personnalisation, ton du message ou faux sites internet, les arnaques sont plus vraies que nature, notamment grâce aux « contenus » générés par l’intelligence artificielle. En effet, les cybercriminels peuvent désormais produire des vidéos, des messages vocaux ou des photos qui imitent parfaitement vos proches, votre banquier, vos collègues ou vos amis.

Connaissez-vous le deepfake ? Cette technique (effrayante) utilise l’intelligence artificielle pour créer ou modifier des vidéos et des images. À Hong Kong, un employé travaillant dans la finance est tombé dans ce cyberpiège et tout a commencé par un e-mail de phishing… Bien informés, les cybercriminels se sont fait passer pour le directeur financier de la société asiatique et envoyé un faux e-mail au malheureux salarié : une invitation à participer à une visioconférence. Malgré sa méfiance, le collaborateur piégé a cliqué sur le lien. Au cours de la réunion virtuelle truquée, les fraudeurs, sous les traits du directeur, lui ont demandé d’effectuer plusieurs transferts d’argent… Malheureusement, tout était faux, sauf le résultat de l’opération : une escroquerie à 24 millions d’euros !

Des dizaines de techniques

Vous l’avez compris : les cybercriminels sont très créatifs. Il existe une multitude de méthodes de fraude en fonction du mode de communication (SMS, e-mail, téléphone, réseaux sociaux, etc.) et de l’action qui vous est sollicitée (cliquer sur un lien, remplir un formulaire, documents partagés, etc.).

Quelques exemples :  

  • Vous recevez un SMS de votre banque qui vous invite à cliquer — dans les plus brefs délais — sur un lien qui vous mène vers un site frauduleux où vous devez « vérifier votre identité ».
  • La mécanique peut également se présenter par e-mail. Vous recevez par exemple un e-mail de votre fournisseur d’énergie qui vous indique qu’il y a un problème avec votre dernière facture et que vous devez rapidement résoudre la situation en fournissant des informations personnelles ou bancaires.
  • Le mode opératoire peut prendre la forme d’un coup de fil de votre « prétendu » conseiller bancaire qui vous signale une activité suspecte sur votre compte et vous demande de fournir vos identifiants, une validation via itsme® ou d’installer un logiciel sur votre ordinateur, en apparence pour régler un problème, alors qu’en réalité, le cybercriminel prendra le contrôle à distance de votre PC.

Mais la vigilance est de mise, car cela peut aussi être une fausse invitation calendrier, une annonce sur un site de vente en seconde main, un faux QR code pour payer une prétendue facture et même un WhatsApp se faisant passer pour quelqu’un que vous connaissez vraiment ! Voilà pourquoi certains signaux doivent vous alerter…

Une mécanique bien rodée

Pour vous faire mordre à l’hameçon, les cybercriminels investissent donc beaucoup d’efforts et de moyens. Mais le scénario est souvent le même :

  1. Lancer un appât en usurpant une identité connue : « recevez votre nouvelle prime régionale en ouvrant cette page » ; « retirez votre colis en cliquant sur ce lien » ; « votre dernier paiement n’est pas passé » ; etc.  
  2. Créer un climat de confiance : « Hello, c’est Angélique, j’ai perdu mon téléphone, donc j’ai un nouveau numéro » ; « Bonjour, je me présente, Didier Grimbert, je suis votre conseiller bancaire » ; « Rendez-vous sur notre plateforme de paiement » ; etc.
  3. Susciter un sentiment d’urgence et vous pousser à agir rapidement : « Désolé de vous appeler si tard, mais c’est urgent ! » ; « J’ai des ennuis et j’ai vraiment besoin de votre aide » ; « Si vous ne payez pas dans la journée, votre compte sera annulé », etc.
  4. Voler vos données confidentielles : « Veuillez fournir votre code secret » ; « Envoyez-nous une photocopie de votre carte d’identité » ; « Le livreur a besoin de vos coordonnées bancaires » ; etc.

L’ampleur du phénomène

Selon Febelfin*, environ 40 millions d’euros ont été dérobés par le biais du phishing en Belgique au cours de l’année 2023. C’est évidemment énorme ! Un véritable fléau qui ne cesse d’augmenter et qui a connu un boom pendant la période covid.

Toujours selon la même source, 69% des Belges ont reçu au moins un message de phishing au cours des 6 derniers mois. Plus inquiétant : seules 62% des victimes belges d’hameçonnage connaissaient les mesures à prendre en cas de message frauduleux. Voilà pourquoi il est capital d’être informé·e et attentif·ve. Comment faire ?

Comment ne pas tomber dans le panneau ?

  1. Méfiez-vous de toute communication qui vous demande de cliquer sur un lien, remplir un formulaire ou fournir des données confidentielles ou personnelles. En effet, votre banque ou une administration ne vous demandera jamais de le faire par SMS ou par e-mail.

    Les situations inhabituelles doivent également vous mettre la puce à l’oreille. Pourquoi un livreur de colis vous demanderait-il de payer un colis que vous n’avez jamais commandé ? Pourquoi votre assureur vous demanderait-il de régler une facture alors que cela se fait habituellement par domiciliation ? Pourquoi votre conseiller bancaire vous demanderait-il vos coordonnées bancaires par téléphone ? Pourquoi un service public vous offrirait-il une prime pour laquelle vous n’avez jamais postulé ?

  2. Soyez attentif aux signes. Un logo un peu flou ? Des fautes d’orthographe ? Une erreur dans votre nom ? Une adresse e-mail peu crédible (votre banque n’utilisera jamais Gmail ou Hotmail !) ? Un lien « à cliquer » ou une pièce jointe « à ouvrir absolument » ? Un soi-disant site web sécurisé qui commence par « http » au lieu de « https » ? Un appel téléphonique en dehors des heures de bureau ? Un SMS de votre banque ou d’une administration envoyé depuis un numéro de GSM classique ? Autant de signaux qui doivent impérativement vous alerter.

  3. Choisissez la sécurité en toutes circonstances ! Une grande partie de notre vie est désormais digitale… Comme 75% des Belges*, vous faites vos achats en ligne ? Là aussi, la prudence est de mise, puisque vous devez fournir des informations personnelles et vous manipulez vos données bancaires. Avant de cliquer sur « J’achète », soyez certain·e d’avoir bien vérifié la fiabilité et la la fiabilité et la sécurité du site marchand du site marchand. Votre meilleure arme pour des achats sécurisés et faciles ? Votre carte de débit Bancontact — Visa Debit ou, mieux encore, la carte de la carte de crédit Hello* de Hello bank! Hello* de Hello bank! (sous réserve d’acceptation de votre demande) qui inclut des assurances « garantie achat », y compris en ligne ! Précaution utile lors de votre shopping en ligne : n’enregistrez jamais les données de votre carte bancaire sur le site pour faciliter votre prochain achat.
  • N’agissez jamais dans la précipitation. Même si la situation peut sembler réelle, cela ne coûte rien de prendre le temps de la réflexion. Vous avez reçu un prétendu e-mail de votre banque ? Appelez votre conseiller pour confirmer que ce n’est pas une arnaque. Dans tous les cas, si vous avez le moindre doute, n’hésitez pas à signaler la tentative de fraude au Point de contact du SPF SPF Économie, et transférez le message suspect à suspect@safeonweb.be.be.

Vous êtes victime d’une fraude ? Vous avez fourni vos données personnelles ? Ce n’est peut-être pas trop tard : on vous explique comment réagir.

* https://febelfin.be/fr/presse/fraude-et-securite/le-phishing-ca-se-joue-dans-les-details