Cyber-kidnapping : une nouvelle forme d'escroquerie gagne du terrain
C'est le pire cauchemar de tous les parents : le téléphone sonne et un numéro inconnu apparaît sur l'écran. A l'autre bout du fil, on entend son propre enfant crier à l'aide. Le "ravisseur" se manifeste alors et demande une rançon, sinon quelque chose de grave se produit. Ce que les personnes concernées ne savent pas : Il s'agit d'un faux appel, leur enfant ne court aucun danger et le prétendu appel à l'aide ne vient pas de la progéniture enlevée, mais d'une voix d'IA.
"Les technologies sont désormais si avancées qu'il est possible de reproduire des images et des vidéos à s'y méprendre. Il n'est même plus nécessaire d'avoir des connaissances approfondies pour utiliser l'intelligence artificielle", explique Ildikó Bruhns, chef de projet de l'initiative Safer Kids Online d'Eset, "avec un peu de pratique, il est possible de créer de faux messages vocaux ou de fausses images de membres de la famille prétendument en situation d'urgence avec une qualité convaincante. Et de nombreuses personnes fournissent gratuitement les modèles aux criminels, car les réseaux sociaux sont une véritable mine de matériel, et pas seulement pour ce type d'escroquerie".
Voici comment les kidnappeurs virtuels procèdent
Selon Eset, une escroquerie au kidnapping virtuel typique se compose des étapes suivantes :
- Les escrocs recherchent des victimes potentielles qu'ils appellent et à qui ils peuvent extorquer de l'argent. Pour ce faire, ils utilisent déjà des outils d'intelligence artificielle qui les aident dans leur recherche.
- Les ravisseurs identifient une "victime d'enlèvement". Le choix se porte souvent sur un enfant de la personne qu'ils ont identifiée lors de la première étape. Pour ce faire, ils s'appuient principalement sur les informations que les parents révèlent publiquement, par exemple sur les réseaux sociaux.
- Les cybercriminels élaborent ensuite un scénario imaginaire pour intimider les parents. Plus les parents ont peur pour leurs enfants, plus ils sont susceptibles de prendre des décisions irréfléchies. Comme dans toute bonne tentative d'ingénierie sociale, les escrocs font monter la pression pour pousser les parents à une réaction à chaud.
- Les escrocs trouvent le moment idéal pour passer leur appel de chantage. Pour cela, ils se basent à nouveau sur des informations qui peuvent être disponibles sur les médias sociaux : Quand l'enfant est-il à l'école ? Le fils ou la fille est-il(elle) en vacances chez des proches ou en colonie de vacances ? L'idée est la suivante : Les kidnappeurs contactent les parents à un moment où leur enfant n'est pas présent et où ils n'ont pas la possibilité de lui parler.
- Un autre outil d'IA est maintenant utilisé : à l'aide d'un logiciel facilement disponible, les escrocs créent des enregistrements audio avec la voix de la victime et tentent ainsi de convaincre sa famille qu'ils ont enlevé sa progéniture. D'autres informations provenant des médias sociaux peuvent également être utilisées pour rendre la fraude plus convaincante, par exemple en ajoutant des détails sur l'enfant "enlevé" qu'un étranger ne semble pas connaître.
- Si les parents tombent dans le panneau, les kidnappeurs leur demandent de transférer de l'argent, par exemple sous la forme d'une crypto-monnaie.
Un auxiliaire des cyber-kidnappeurs ?
Le potentiel de ChatGPT et d'autres outils d'IA pour les kidnappeurs virtuels est préoccupant, selon Eset. Les bases techniques utilisées ici existent depuis longtemps. Ce sont surtout les annonceurs et les spécialistes du marketing qui utiliseraient des techniques similaires pour analyser les groupes cibles. Les spécialistes parlent ici de "Propensity Modelling" : à l'aide de modèles statistiques, on calcule quand un événement donné est susceptible de se produire, afin de diffuser le bon message de manière ciblée au bon groupe de personnes.
Selon Eset, les cybercriminels utilisent cette technique pour trouver le moment idéal pour ce qui semble être un enlèvement. Il suffit de "nourrir" une IA générative avec les bonnes questions pour qu'elle présente des victimes potentielles qui :
- disposent des revenus nécessaires et sont prêts à payer une rançon en cas d'enlèvement,
- donnent beaucoup d'informations sur eux-mêmes et leur famille sur les réseaux sociaux ou
- vivent dans une région donnée.
"Malheureusement, les voix clonées ont déjà un son convaincant inquiétant. Et la technologie qui se cache derrière est facilement accessible aux fraudeurs : les fournisseurs de clonage vocal en tant que service se sont déjà adaptés à la demande et proposent des services simples d'utilisation pour une somme modique. Si cette tendance se poursuit, le cyber-kidnapping et les attaques similaires ne seront plus des cas isolés", poursuit M. Bruhns.
Conseils pour les parents
Tout cela peut paraître inquiétant, selon Eset. Toutefois, quelques conseils aideraient déjà les parents à être mieux armés contre de telles escroqueries :
- Ne divulguez pas trop d'informations personnelles sur les médias sociaux. Évitez de publier des détails tels que des adresses et des numéros de téléphone. Si possible, ne publiez même pas de photos ou d'enregistrements vidéo/audio de votre famille, et encore moins de détails sur les projets de vacances de vos proches.
- Gardez vos profils de médias sociaux privés. Ainsi, il sera plus difficile pour les criminels de vous trouver en ligne.
- Faites attention aux messages d'hameçonnage qui visent à vous inciter à divulguer des données personnelles confidentielles ou des identifiants de comptes de médias sociaux.
- Installez des applications de contrôle parental sur les smartphones de vos enfants. Celles-ci contiennent une fonction de suivi qui vous permet de suivre rapidement la position de votre enfant. Si un inconnu prétend avoir enlevé votre fils ou votre fille, il vous suffit de jeter un coup d'œil à l'application pour voir si votre enfant se trouve vraiment dans un endroit inhabituel.
- Si vous recevez un appel de chantage, essayez de faire durer la conversation avec les "ravisseurs" le plus longtemps possible. Essayez en même temps d'appeler la personne prétendument kidnappée ou de la faire appeler par quelqu'un d'autre.
- Restez calme, ne donnez pas d'informations personnelles et, si possible, faites en sorte que l'appelant réponde à une question dont seul le kidnappé connaît la réponse.
- Prévenez la police le plus rapidement possible - même si l'enlèvement s'avère être un faux.
Source : Eset Allemagne / pts