09.04.2024 - Le service financier d’une entreprise reçoit de son patron une demande de paiement soi-disant urgente. Le CEO explique que si le responsable financier n’effectue pas le paiement dans les plus brefs délais, cela aura de graves conséquences pour l’entreprise, car une commande importante sera perdue. Ensuite, le chef n’est étrangement plus joignable pour répondre à d’autres questions. Tel est le scénario typique d’une fraude au CEO. La plupart du temps, ces attaques ne sont pas très sophistiquées et sont faciles à détecter. L’intelligence artificielle et le deep fake ne s’arrêtent toutefois pas à cette méthode d’escroquerie plutôt simple, comme le montre un exemple récent signalé à l’OFCS.
La fraude classique au CEO
Pour préparer ce que l’on appelle une fraude au CEO, les cybercriminels repèrent en principe systématiquement les noms et les adresses électroniques des patrons et des responsables financiers sur les pages web publiques des entreprises. Pour ce faire, ils utilisent principalement des pages web présentant les équipes. Certaines entreprises publient, sur leur site internet, des informations sur l’ensemble de leur équipe, comme le nom, la fonction, la photo, le numéro de téléphone et l’adresse électronique de chaque membre. Cela donne une image certes conviviale, mais c’est aussi une mine d’informations pour des personnes malintentionnées. L’OFCS observe par ailleurs que des profils Linkedin sont eux aussi systématiquement passés au crible pour repérer des employeurs et des fonctions. Si les cybercriminels trouvent ce qu’ils cherchent, ils font ensuite parvenir un courriel avec une fausse adresse d’expéditeur du CEO au service financier, courriel qui contient un ordre de paiement urgent. Dans la plupart des cas, il s’agit toutefois d’attaques de masse peu sophistiquées. Les cybercriminels ne se donnent pas particulièrement de peine pour aborder les victimes de manière spécifique et personnaliser leurs demandes. Les textes utilisés sont généralement toujours les mêmes.
La fraude au CEO avec technique de deep fake – conférence en ligne avec un faux chef
Un cas signalé à l’OFCS la semaine dernière se distingue toutefois de ces attaques de masse. Contrairement à la procédure habituelle, les cybercriminels n’ont pas essayé d’empêcher la victime de prendre contact avec son chef. Bien au contraire. Pour commencer, un avocat supposé a pris contact avec le responsable financier par téléphone et l’a invité à une vidéoconférence avec son chef dans les minutes suivantes. La victime a ensuite reçu un courriel contenant les données d’accès à la réunion. Lorsque le responsable financier s’est ensuite connecté à la conférence en ligne, il a effectivement pu voir son patron à l’écran et lui parler. Au cours de la conversation, le prétendu patron a ensuite tenté d’obtenir le numéro de téléphone portable du responsable financier et de le convaincre de déclencher des transactions financières.
Dans ce cas, les cybercriminels ont créé la vidéo du CEO à l’aide de l’intelligence artificielle. L’origine exacte du matériel de base utilisé pour créer les fausses vidéos n’a pas pu être établie avec certitude. Toutefois, l’OFCS part du principe que du matériel vidéo disponible publiquement a été employé pour créer ces vidéos avec une technique de deep fake. Une autre possibilité, notamment pour copier la voix, est de passer des appels téléphoniques en amont. Plusieurs entreprises ont en effet signalé avoir reçu dernièrement des appels téléphoniques d’inconnus leur demandant diverses informations les concernant. Outre les informations obtenues qui pourraient être utilisées pour des attaques ciblées, ces appels peuvent permettre, au moyen de l’intelligence artificielle ou d’une technique de deep fake, de copier la voix du patron.
Cet incident montre une fois de plus que les cybercriminels tentent désormais d’utiliser l’intelligence artificielle pour servir leurs fins, même si son application n’est pas encore très professionnelle. En effet, dans le cas exposé, l’escroquerie a été découverte assez rapidement. Les cybercriminels s’étaient limités à la manipulation du visage du chef. Sa tenue vestimentaire ne correspondait pas du tout à ses habitudes. La voix n’était pas non plus très bien imitée.
Mesures de précaution
- Sensibilisez l’ensemble de votre personnel au risque de fraude au CEO ! Celles et ceux qui travaillent au service financier ou qui occupent des postes clés doivent impérativement être informés du risque que représentent de telles attaques. Dans les associations, il y a lieu de former tous les membres qui exercent une fonction de président ou de trésorier.
- Sensibilisez le personnel au fait que des attaques ciblées peuvent être menées avec des informations disponibles publiquement.
- Sur votre site internet, publiez le strict nécessaire en matière d’informations concernant votre personnel. Cela vaut également pour les vidéos.
- Ne divulguez aucune information interne, ni par courriel, ni au téléphone.
- Faites preuve de prudence lorsque vous recevez des demandes de paiement : ne donnez pas suite à des demandes inhabituelles.
- Tous les processus relatifs aux opérations de paiement (p. ex. le principe du double contrôle ou la signature collective à deux) doivent être clairement réglementés à l’interne et respectés par le personnel dans tous les cas.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 09.04.2024