En résumé:
- PCWorld rapporte que les escroqueries par phishing basées sur l’IA utilisent désormais des données personnalisées provenant des violations et des médias sociaux pour créer des messages convaincants ciblant des individus spécifiques.
- Ces attaques sophistiquées exploitent des informations personnelles telles que les noms, les lieux et les intérêts pour instaurer la confiance, ce qui les rend beaucoup plus difficiles à détecter que les escroqueries traditionnelles.
- La protection nécessite des gestionnaires de mots de passe, un comportement en ligne prudent, un logiciel de sécurité mis à jour et une action immédiate en cas de victime, notamment en contactant les banques et les agences de crédit.
Les escroqueries continuent de nous frapper et elles deviennent de plus en plus difficiles à repérer. Comment? Les escrocs ont commencé à les adapter davantage à leurs marques. C’est… nous.
Les escroqueries personnalisées, comme les appellent les experts en sécurité, utilisent des informations vous concernant dans l’espoir de vous tromper plus facilement. Ces informations proviennent de sources illicites telles que des fuites et des violations de données, des attaques de phishing réussies, des sites Web compromis et des logiciels malveillants, ainsi que de sources légitimes telles que des informations marketing, des archives publiques et des médias sociaux. Comme vous pouvez le deviner, la plage de données peut couvrir un éventail assez large, allant de l’emplacement aux habitudes d’achat.
Mais à quoi ressemble une arnaque personnalisée ? Et comment en repérer un ? J’ai posé ces questions (et d’autres) lors d’une conversation avec Steve Grobman, directeur de la technologie chez McAfee. Il s’avère que, tout comme les données qu’un escroc peut détenir sur vous, les types d’escroqueries qu’il crée relèvent également de catégories assez larges.
L’arnaque personnalisée « générale »
Ces types d’escroqueries ont tendance à cibler de larges groupes, comme une zone géographique spécifique. Les escroqueries aux péages sont par exemple devenues personnalisées. Avant, les messages affirmant que vous aviez des frais de péage impayés étaient génériques. Désormais, les textes feront référence à l’autorité de péage de votre région et au nom du système, en fonction de l’indicatif régional de votre numéro de téléphone.
Si vous n’êtes pas naturellement une personne suspecte, cette approche mise à jour pourrait vous surprendre. Le langage semble plus naturel, bien qu’il soit très large. Qu’est-ce qui a changé ? IA. Les fraudeurs peuvent utiliser l’IA pour extraire des informations régionales et les intégrer rapidement dans leurs messages.
Les fraudeurs n’ont pas besoin d’en savoir beaucoup sur vous pour établir ce genre de lien. Ils l’extrapoleront à partir de vos coordonnées. Pensez à l’indicatif régional d’un numéro de téléphone ou d’un service spécifique lié à votre fournisseur de messagerie. Par exemple, j’ai récemment vu des e-mails concernant les limites de stockage de Google, affirmant que vos fichiers seraient bientôt supprimés parce que vous manquiez d’espace.
L’arnaque personnalisée « spécifique »
C’est ici que toutes ces fuites et violations de données deviennent un problème. Même lorsqu’un vidage de données ne concerne que des détails tels que le nom et l’emplacement (comme, par exemple, une adresse), le message d’arnaque qui en résulte peut sembler beaucoup plus officiel. Il peut vous adresser par votre nom, cibler votre tranche d’âge et/ou se concentrer sur quelque chose de spécifique à votre région. Les informations supplémentaires permettent une personnalisation supplémentaire du message.
Grobman appelle cela des escroqueries « à remplir », dans lesquelles un avis effrayant peut facilement échanger votre nom et celui d’une entité pertinente pour vous effrayer. Pour mon emplacement, il l’a décrit comme « ___(nom)____, le département californien de _________.»
(Un exemple possible serait : John, le Département des véhicules automobiles de Californie a révoqué votre enregistrement en raison de frais impayés.)
Si elle correspond suffisamment à votre région, cette approche pourrait vous amener à cliquer ou à tomber dans le piège de l’arnaque, car elle semble assez réaliste.
L’arnaque « hyperpersonnalisée »
Ce type d’arnaque personnalisée est plus insidieux que carrément effrayant. (La plupart du temps.) Grobman dit qu’ils sont axés sur le « style de vie ». Les fraudeurs utilisent ce qu’ils savent de vos habitudes, comme les sites que vous avez visités ou les liens sur lesquels vous avez cliqué, pour déterminer vos intérêts. Ensuite, ils se concentreront pour exploiter cette information. Par exemple, si vous avez manifesté de l’intérêt pour la perte de poids, vous pourriez être ciblé par un lien vers un faux médicament amaigrissant.
Les escroqueries hyperpersonnalisées peuvent également prendre plus de temps à se transformer en fraude – pensez aux escroqueries amoureuses, dans lesquelles l’escroc utilise des informations vous concernant pour instaurer la confiance. Peut-être qu’ils savent où vous êtes allé à l’école et qu’ils l’utilisent pour commencer et établir des relations. Plus vous partagez, plus ils intègrent cela dans la relation en cours de construction. Finalement, les demandes de faveurs et d’argent commencent. Ou bien les communications partagées, les photos et d’autres détails sont ensuite transformés en matériel de chantage, utilisé pour extorquer de l’argent en échange du secret.
Souvent, ce type d’escroquerie peut sembler si personnel – et si honteux d’en être tombée amoureuse – que de nombreuses victimes ne diront à personne qu’elles ont été victimes d’une arnaque. Auparavant, les jeunes et les personnes âgées étaient des cibles privilégiées pour les escrocs, car ils pouvaient exploiter non seulement leur solitude, mais aussi leur manque d’expérience ou leurs capacités cognitives diminuées. Mais aujourd’hui, la menace d’une généralisation de cette situation à toutes les tranches d’âge est plus faible qu’auparavant… c’est pourquoi nous devons être en alerte.
Que faire si vous avez été victime d’une arnaque
D’abordrespirez profondément. Vous pourriez vous sentir dépassé par vos sentiments, qu’il s’agisse de choc, de gêne ou de honte, mais c’est courant et normal.
Aussi courant et normal : faire ce genre d’erreur. Tomber dans le piège d’une arnaque peut vraiment arriver à n’importe qui, même aux professionnels de la sécurité chevronnés.
Suivantdemandez de l’aide. Le problème peut sembler énorme au début, mais obtenir de l’aide évite que le problème ne dégénère en un énorme désastre. Vous pouvez commencer par la page de conseils aux consommateurs de la FTC, qui répertorie les scénarios d’arnaque courants et les mesures à prendre par la suite.
En règle générale, vous souhaitez d’abord résoudre le problème immédiat. Supposons que vous ayez utilisé votre numéro de carte de crédit sur un site frauduleux ou que vous ayez transféré de l’argent à un « ami spécial » : alertez immédiatement votre banque de ces transactions frauduleuses. Plus vous agissez vite, plus vite vous limitez les dégâts.
Ou vous avez partagé votre numéro de sécurité sociale et vous avez ensuite réalisé votre erreur. Ajoutez immédiatement un gel de sécurité à vos rapports de crédit et ajoutez également une alerte de sécurité pour faire bonne mesure. (Le gel est cependant l’outil le plus puissant, car il empêche quiconque de vérifier ou d’ouvrir un crédit à votre nom jusqu’à ce que vous en auriez temporairement autorisé l’accès, c’est-à-dire « dégeler » votre rapport.)
Prenez également soin de votre santé émotionnelle. Au départ, parler à un ami ou à un membre de la famille qui peut vous aider à clarifier ou à donner de bons commentaires peut vous aider pendant que vous êtes dans un ragoût. Vous pouvez également contacter votre employeur ou même la police si vous avez simplement besoin d’aide pour vous orienter.
Comment éviter les arnaques personnalisées
La triste réalité est que les escroqueries personnalisées pourrait deviennent plus courants : les outils destinés à aider les fraudeurs continuent de s’améliorer grâce aux progrès de l’IA. (Merci mais non merci, AI.)
Reste à savoir à quelle vitesse cela se produira : Grobman affirme que les escrocs sont des propriétaires d’entreprise. Ils font ce qui rapporte de l’argent, donc un changement d’approche n’intervient que lorsque les efforts actuels perdent en rentabilité. Et cela se produira à mesure que la sensibilisation et les outils de détection s’amélioreront. (N’oubliez pas que les experts en sécurité disposent également de l’IA.) À mesure que cette course continue de s’intensifier, l’évolution vers une personnalisation croissante augmentera la difficulté de repérer les messages légitimes parmi les faux.
Heureusement, les meilleures mesures pour se protéger sont aussi les plus simples. Ayez un logiciel antivirus actif sur votre PC. Méfiez-vous de l’installation d’applications sur votre ordinateur ou votre téléphone. Gardez vos logiciels à jour, notamment votre navigateur. Utilisez un gestionnaire de mots de passe. Les applications et les services ont commencé à intégrer davantage de garanties et de protections : considérez-les comme une approche de surveillance de quartier en matière de sécurité en ligne.
La dernière pièce du puzzle ? Toi. Les sites que vous choisissez de visiter, les logiciels que vous téléchargez, les extensions de navigateur que vous installez, les liens sur lesquels vous cliquez dans les e-mails et les messages : tout cela peut également augmenter ou diminuer votre risque d’être victime d’une arnaque. Surfez judicieusement sur Internet.
