Une visioconférence deepfake associée à des astuces d’ingénierie sociale a conduit au vol de plus de 25 millions de dollars américains auprès d’une entreprise multinationale, a rapporté le South China Morning Post.
Le stratagème et la visioconférence deepfake
L’attaque a commencé par l’envoi de messages à plusieurs employés de l’entreprise, mais il semble qu’un seul – employé au département financier de la succursale de Hong Kong de l’entreprise – ait finalement été embobiné.
Selon le SCMP, les soupçons de l’employé ont été éveillés lorsqu’ils ont reçu le message, prétendument du directeur financier de l’entreprise basé au Royaume-Uni, demandant à l’employé d’effectuer une transaction secrète. Mais elles ont ensuite été réprimées par une visioconférence de groupe à laquelle le salarié était convié.
Étaient présents à la vidéoconférence le directeur financier de l’entreprise, d’autres collaborateurs de l’entreprise et même des personnes extérieures – du moins semble-t-il.
En réalité, les fraudeurs ont utilisé des séquences vidéo et audio antérieures et la technologie de l’intelligence artificielle pour créer l’illusion que ces personnes étaient présentes à l’appel et faire « parler » ces recréations numériques pour réaliser l’illusion.
Le baron Chan Shun-ching, un surintendant de la division de cybersécurité de la police de Hong Kong, a déclaré au SCMP que « pendant la vidéoconférence, les escrocs ont demandé à la victime de se présenter elle-même, mais n’ont pas réellement interagi avec la personne. Les fausses images à l’écran donnaient surtout des ordres avant que la réunion ne se termine brusquement.»
Après l’appel, les fraudeurs ont fourni des instructions supplémentaires via messagerie instantanée, e-mails et appels vidéo individuels. Conformément aux instructions, l’employé a envoyé un total de 200 millions de dollars de Hong Kong sur cinq comptes bancaires locaux.
Plusieurs autres employés de la même succursale de l’entreprise ont également été contactés par les escrocs, a indiqué la police de Hong Kong, mais n’a pas expliqué comment ces interactions se sont déroulées.
Les deepfakes sont de plus en plus difficiles à repérer
Les deepfakes générés par l’IA (qu’ils soient audio ou vidéo) sont de plus en plus exploités par les escrocs et autres escrocs.
Ils utilisent l’intelligence artificielle pour se faire passer pour des membres de leur famille en détresse, se faire passer pour des individus pour ouvrir des comptes bancaires ou effectuer des achats frauduleux en leur nom, demander des prêts, obtenir des emplois informatiques à distance et (comme dans ce cas) tromper les dirigeants et les employés pour qu’ils transfèrent l’argent de l’entreprise. .
La plupart des gens surestiment leurs capacités de détection des deepfakes. C’est un tout nouveau territoire, et les deepfakes deviennent de jour en jour plus réalistes et plus difficiles à repérer.
« Nous voulons alerter le public sur ces nouvelles tactiques de tromperie. Dans le passé, nous pensions que ces escroqueries n’impliquaient que deux personnes dans des situations en tête-à-tête, mais nous pouvons voir dans ce cas que les fraudeurs sont capables d’utiliser la technologie de l’IA lors de réunions en ligne. Les gens doivent donc être vigilants même lors de réunions avec beaucoup de participants », a déclaré Chan Shun-ching lors d’un événement de presse.
La police de Hong Kong a conseillé au public de poser des questions lors de ces réunions, de demander aux participants de se déplacer et de confirmer les demandes formulées lors de ces appels via des canaux de communication alternatifs.