Top 3 des cyberescroqueries les plus créatives de l’histoire

Un problème bien connu en matière de cybersécurité est que les attaques deviennent de plus en plus créatives, ce qui met au défi les professionnels de la sécurité en ligne et les amène fréquemment à être confrontés à des attaques d'une ampleur sans précédent. Quels exemples ont le plus repoussé les limites ?

1. L'arnaque bancaire Dyre

Les pirates informatiques aiment cibler les secteurs les plus lucratifs. Il n’est donc pas surprenant que les banques soient fréquemment impliquées dans les cyberattaques. Il s'agit soit d'entreprises menacées, soit de sujets destinés à inciter les consommateurs à prendre des mesures spécifiques après avoir reçu des courriels qui semblent provenir de leurs institutions bancaires.

Une escroquerie spécifique au secteur bancaire détectée pour la première fois en 2014 utilisait le logiciel malveillant Dyre, qui a compromis les navigateurs des victimes et volé les informations d'identification permettant de se connecter aux plateformes des institutions financières et à d'autres interfaces sécurisées. L’arnaque a commencé lorsque quelqu’un a reçu une pièce jointe à un e-mail censée contenir une facture impayée. De plus, les pièces jointes contenaient des logiciels malveillants conçus pour exploiter des vulnérabilités non corrigées du logiciel Adobe Reader des destinataires.

Ces aspects témoignent d’une réflexion créative de la part des cybercriminels. Premièrement, ils savaient qu’un nom de pièce jointe aussi vague mais pertinent à propos d’une facture attirerait l’intérêt des gens. Étant donné que la vie peut être si mouvementée, quelqu’un peut parfois oublier de payer pour certaines choses. Les fautes d'orthographe dans le nom du fichier étaient des caractéristiques distinctives de cette cyberattaque, mais les criminels espéraient probablement que les gens ne le remarqueraient pas ou ne s'en soucieraient pas.

Les escrocs pensaient également à juste titre que leurs cibles ne mettraient pas à jour leurs logiciels Adobe assez fréquemment, créant ainsi de nombreux points d'entrée potentiels pour les pirates entreprenants. Une fois que quelqu'un tombait dans le piège et téléchargeait la pièce jointe, le malware se copiait et créait le « service de mise à jour Google » apparemment innocent sur l'ordinateur de la personne. Il a ensuite défini les clés de registre et a commencé à enregistrer les données de frappe avant de les envoyer aux pirates.

Depuis 2016, les autorités gouvernementales des États-Unis a dit tous les principaux logiciels antivirus les produits des fournisseurs avaient détecté cette menace. Cependant, la détection nécessite que les utilisateurs utilisent et mettent régulièrement à jour ces outils.

Les employés de la banque effectuent des procédures de connaissance de vos clients pour prévenir la fraude et établir des profils de risque. Celles-ci sont sans aucun doute nécessaires, mais cette arnaque montre avec quelle facilité les choses peuvent mal tourner lorsque les clients tombent dans le piège des logiciels malveillants.

2. L'arnaque WPP Deepfake

À mesure que les technologies ont progressé, la créativité des cybercriminels pour les exploiter a également progressé. L'intelligence artificielle (IA) est devenue si crédible que les consommateurs ont dû apprendre qu'ils ne peuvent pas nécessairement faire confiance à tout ce qu'ils voient ou entendent en raison de deepfakes élaborés.

L’état des choses a été mis au premier plan par Mark Read, PDG de WPP, une multinationale britannique de publicité et de relations publiques. L’exécutif a récemment détaillé une arnaque deepfake qui exploitait de nombreuses plateformes et types de médias.

Read a expliqué comment les pirates ont créé un nouveau compte WhatsApp et utilisé une image publique de lui comme photo de profil. Ils l'ont utilisé pour planifier une réunion sur Microsoft Teams avec un autre cadre supérieur qui pensait interagir avec Read.

Au cours de la réunion, les cybercriminels ont déployé un clone vocal et des images YouTube de Read, tout en interagissant simultanément dans la fenêtre de discussion de Microsoft Teams pour se faire passer pour lui et tromper l'autre participant avec du matériel qui ressemblait, sonnait et se lisait comme le leader. L’objectif était de convaincre un responsable d’agence de créer une nouvelle entreprise, après quoi les escrocs obtiendraient des informations financières et personnelles.

Cette arnaque a échoué et Read a été attribué qui résultent de la vigilance de son entreprise , y compris celle du cadre visé qui n'a pas réagi comme l'espéraient les hackers. Le PDG a souligné que chacun doit se méfier des astuces de plus en plus élaborées, y compris celles allant au-delà de la boîte de réception de courrier électronique de quelqu'un.

Certains experts en technologie suggèrent que la blockchain est idéale pour sécuriser les caractéristiques vocales des personnes et empêcher les parties malveillantes de falsifier avec des clips authentifiés. Cependant, comme les voix de personnalités connues sont diffusées à la télévision, à la radio, sur YouTube et même dans les livres audio, les cybercriminels motivés disposent de nombreuses données à exploiter.

3. Publicités trompeuses sur l'IA ciblant les petites entreprises

Aucune entreprise ni personne n’est totalement à l’abri des cyberescroqueries, mais les effets d’attaques orchestrées avec succès sont plus désastreux pour certaines victimes que pour d’autres. Les petites entreprises sont d’excellents exemples car elles manquent souvent de ressources pour se rétablir complètement et rapidement.

Cependant, comme l’a montré une étude de 2023, 73 % des petites entreprises ont été victimes de cyberattaques , des violations de données ou les deux au cours de l’année précédente. Un rapport de 2024 a révélé des cyberattaques étaient la principale préoccupation pour 60 % des personnes interrogées, ce qui suggère que les personnes interrogées comprennent la gravité de la menace.

Malheureusement, les fraudeurs savent que les propriétaires de petites entreprises sont d'excellentes cibles et peuvent exploiter le désir des victimes d'améliorer leurs flux de travail grâce aux nouvelles technologies. Ce fut le cas d'une escroquerie contre des petites entreprises qui a attiré l'attention des dirigeants de Google et a donné lieu à des poursuites judiciaires contre les fraudeurs.

Les tactiques étaient centrées sur Google Bard – le grand modèle de langage désormais connu sous le nom de Gemini. La première action en justice de l'entreprise technologique concernait des acteurs malveillants qui créaient des profils sur les réseaux sociaux et des publicités encourageant les propriétaires de petites entreprises à télécharger Bard.

Cependant, Google n’exigeait pas que les gens téléchargent quoi que ce soit pour l’utiliser ; au lieu de cela, il a intégré l’outil dans plusieurs de ses produits existants. Ceux qui sont tombés dans le piège de cette arnaque s'attendaient à ce que le téléchargement de quelque chose leur permette d'utiliser Bard. Au lieu de cela, il leur a transmis des logiciels malveillants qui ont compromis leurs profils sur les réseaux sociaux.

D'avril à novembre 2023, Google a déposé environ 300 avis de retrait associés avec cette arnaque. Il cherchait à obtenir une ordonnance pour empêcher les criminels de créer des sites similaires et de désactiver ceux actuellement enregistrés auprès des bureaux d'enregistrement de domaines.

Cette arnaque s'est distinguée par sa créativité car elle a capitalisé sur la reconnaissance de la marque Google et sur l'intérêt des gens à essayer un nouveau produit pour rendre les opérations commerciales plus pratiques.

Des vérités mêlées de mensonges

Ces cyber-escroqueries créatives prouvent que ceux qui les orchestrent ne reculeront devant rien pour atteindre leurs objectifs. Même lorsque les efforts ne portent pas leurs fruits – comme dans le cas du deepfake WPP – ils deviennent des avertissements selon lesquels les gens doivent toujours être sur leurs gardes car les choses ne sont pas ce qu'elles semblent être. Après tout, la plupart des escroqueries en ligne comportent des éléments véridiques mêlés de mensonges.

Il existait un produit appelé Google Bard, mais son utilisation ne nécessitait pas de téléchargement de logiciel. Mark Read est le PDG de WPP, mais il n'a jamais organisé ni participé à cette réunion concernant la création d'une nouvelle entreprise. Ces cas soulignent l’importance de bien réfléchir avant d’agir et de vérifier les affirmations avant de prendre des décisions qui pourraient avoir des conséquences catastrophiques.