Un responsable financier vire 25 millions de dollars à des escrocs après une visioconférence avec un CFO deepfake

 (edition.cnn.com)
7 points par GN⁺ 2024-02-05 | 1 commentaires | Partager sur WhatsApp
  • Selon la police de Hong Kong, un responsable financier d’une multinationale a été trompé et a viré 25 millions de dollars à des escrocs qui se faisaient passer pour le directeur financier (CFO) de l’entreprise à l’aide de la technologie de deepfake
  • Les escrocs ont piégé le responsable financier via une visioconférence avec de faux employés recréés par deepfake
  • Le responsable financier a reçu un message du CFO, basé au Royaume-Uni, demandant une transaction confidentielle et a d’abord soupçonné une tentative de phishing, mais il a fini par écarter ses doutes après avoir été trompé par l’apparence et la voix de personnes qu’il croyait être ses collègues lors de la visioconférence

Une affaire d’escroquerie au deepfake à Hong Kong

  • La police de Hong Kong a annoncé que plusieurs affaires récentes ont utilisé la technologie de deepfake pour tromper des personnes et leur voler de l’argent
  • La police a arrêté six personnes dans le cadre de cette affaire
  • Elle a indiqué que 90 demandes de prêt et 54 ouvertures de comptes bancaires avaient été effectuées à l’aide de huit cartes d’identité de Hong Kong signalées perdues entre juillet et septembre de l’année dernière
  • Dans au moins 20 cas, des deepfakes générés par IA ont imité les personnes figurant sur les pièces d’identité afin de tromper les systèmes de reconnaissance faciale
  • L’escroquerie liée au faux CFO n’a été découverte qu’après vérification auprès du siège par le responsable financier

Des inquiétudes croissantes dans le monde autour des technologies d’IA

  • Les inquiétudes grandissent à l’échelle mondiale face aux progrès des technologies de deepfake et aux possibilités d’usage malveillant qui en découlent
  • Fin janvier, des images pornographiques générées par IA de la pop star américaine Taylor Swift se sont propagées sur les réseaux sociaux, mettant en lumière le potentiel nuisible des technologies d’intelligence artificielle
  • Ces photos de la chanteuse dans des poses sexuellement suggestives et explicites ont été vues des dizaines de millions de fois avant d’être supprimées des plateformes sociales

L’avis de GN⁺

  • Les progrès de la technologie de deepfake montrent qu’elle peut constituer une menace grave sur les plans social et économique. Il est important de comprendre comment elle peut être détournée à des fins d’escroquerie et de criminalité
  • Cet article sensibilise aux risques des technologies de deepfake et souligne pourquoi les particuliers comme les entreprises doivent accorder davantage d’attention à la sécurité
  • Il contribue à alerter sur les aspects négatifs que peut entraîner le progrès technologique et à rappeler l’importance de mettre en place des mesures de réponse adaptées

À lire aussi

1 commentaires

 
GN⁺ 2024-02-05
Commentaires sur Hacker News

  • De nombreux hôtels américains de catégorie moyenne à supérieure appartiennent à des personnes d’origine indienne portant le nom de famille Patel.

    • Les arnaques où quelqu’un portant le nom Patel appelle en invoquant une situation urgente pour demander un virement d’argent sont fréquentes.
    • Des employés d’hôtel y croient parfois au point de forcer un coffre-fort ou de virer de l’argent depuis leur compte personnel.
    • Ces arnaques reposent sur l’ingénierie sociale, sans IA ni technologie de deepfake.

  • Un facteur culturel appelé « distance hiérarchique » peut influencer ce type d’arnaque.

    • Dans certaines cultures, on contourne les procédures et on obéit sans discuter aux ordres d’un supérieur.
    • Des cas similaires ont aussi été rapportés dans certaines entreprises américaines de matériel informatique.

  • En France, des employés ont déjà effectué des virements après avoir été trompés par des appels se faisant passer pour un CEO, un CFO ou un avocat.

    • Un gang franco-israélien arrêté en 2022/2023 a escroqué au moins 38 millions d’euros.
    • Ils usurpaient l’identité de CEO sans recourir à l’IA deepfake.

  • Certains affirment que, dans une visioconférence à plusieurs participants, tous les participants étaient faux.

    • C’est peut-être vrai, mais il est aussi possible qu’un employé invoque le deepfake comme excuse.
    • Cela soulève la question du moment où des escrocs lanceront à grande échelle des appels vidéo à des parents ou grands-parents en se faisant passer pour leurs enfants, et de la manière de s’en protéger.

  • Un professionnel de la finance basé à Boston a viré 6 millions de dollars à des escrocs en 2023.

    • Il y avait une dimension d’ingénierie sociale, mais aucune mention de deepfake.
    • Lors du piratage du casino MGM en 2023, des deepfakes ont été utilisés pour tromper le personnel du support technique et contourner la MFA.

  • Certains spéculent sur la possibilité que le CFO soit de mèche avec un spécialiste du deepfake pour se partager les gains.

    • Ce n’est pas ce qui s’est produit ici, mais cela met l’accent sur un scénario possible à l’avenir.

  • L’affirmation selon laquelle tous les participants d’une visioconférence étaient faux est de nouveau mentionnée.

    • Cela laisse entendre une préparation importante, comme la collecte d’images et d’échantillons de voix de chaque participant.
    • Si un tel niveau de sophistication existe déjà, on peut s’attendre à l’apparition de nouvelles méthodes de vérification des participants pour les réunions sensibles.

  • Il est difficile de comprendre comment cela peut arriver dans une grande entreprise.

    • Il faut des procédures documentées et explicites pour qu’une transaction ait lieu.
    • Plusieurs niveaux d’approbation sont nécessaires pour valider une transaction, et la personne qui saisit le paiement doit être différente de celle qui l’approuve.
    • Lorsqu’une transaction est saisie, elle doit recevoir une première approbation, puis, selon le plafond de paiement, des validations supplémentaires peuvent être requises.

  • Une interrogation est soulevée sur l’existence de logiciels capables de tromper des gens à l’aide de deepfakes.

    • Beaucoup disent n’avoir encore jamais vu ce type de logiciel et se demandent s’il existe réellement des produits capables de duper efficacement quelqu’un.

  • Ces arnaques semblent surtout découler de mauvais processus internes dans l’entreprise.

    • Pour des montants importants, un simple appel vidéo ne suffit pas.
    • Il faut aussi une confirmation par e-mail, une conversation via le chat de l’entreprise et un appel sur le téléphone portable d’un cadre dirigeant.