Les Deepfakes (méthode utilisée qui fait appel à l’IA et qui a pour but de cloner la voix ou le visage d’une personne pour la détourner à des fins souvent malveillantes ou de désinformation), les identités synthétiques et les escroqueries basées sur l'IA rendent le vol d'identité plus difficile à détecter et à éviter. Découvrez comment vous protéger. 

L'intelligence artificielle (IA) transforme notre monde de façon à la fois attendue mais aussi totalement imprévisible. Pour les consommateurs, cette technologie se traduit par un contenu numérique personnalisé plus précis, de meilleurs diagnostics médicaux, une traduction linguistique en temps réel pour faciliter les échanges lors de vacances à l’étranger et des assistants IA génératifs pour améliorer la productivité au travail. Mais l'IA est également utilisée pour aider les cybercriminels à être plus productifs, en particulier lorsqu'il s'agit de fraude d'identité - le type de fraude le plus courant aujourd'hui.

Plus d'un tiers des responsables du risque et de l'innovation bancaire au Royaume-Uni, en Espagne et aux États-Unis citent leur plus grand défi actuel comme étant la montée de la fraude générée par l'IA et les deepfakes, ce qui en fait la réponse numéro un. Alors, comment fonctionne la fraude générée par l'IA et que pouvez-vous faire pour rester en sécurité ?

Comment fonctionne la fraude à l'identité pilotée par l'IA ?

L'usurpation d'identité consiste à utiliser vos informations personnelles identifiables (IPI) pour commettre un délit, par exemple pour contracter une dette de carte de crédit en votre nom ou pour accéder à un compte bancaire ou autre. Selon une estimation, la fraude induite par l'IA représente aujourd'hui plus des deux cinquièmes (43 %) de toutes les tentatives de fraude enregistrées par le secteur des finances et des paiements. Près d'un tiers (29 %) de ces tentatives seraient couronnées de succès.

Comment l'IA aide-t-elle les cybercriminels ?

Il existe plusieurs tactiques différentes que nous pouvons mettre en évidence :

  • Fausses prises de contrôle de comptes (ATO) et création de comptes : Les escrocs utilisent de fausses images audio et vidéo d'utilisateurs légitimes pour contourner les contrôles de connaissance du client (KYC) utilisés par les sociétés de services financiers pour vérifier que les clients sont bien ceux qu'ils prétendent être. Une image ou une vidéo de vous est récupérée sur le web et introduite dans un outil de deepfake ou d'IA générative. Elle est ensuite insérée dans le flux de données entre l'utilisateur et le fournisseur de services dans le cadre d'attaques par injection destinées à tromper les systèmes d'authentification. Selon un rapport, les deepfakes représentent aujourd'hui un quart (24 %) des tentatives frauduleuses de contrôle biométrique basé sur le mouvement et 5 % des contrôles statiques basés sur le selfie.
  • Les faux documents : Il fut un temps où les fraudeurs utilisaient des documents physiques falsifiés, tels que de fausses pages de passeport, pour ouvrir de nouveaux comptes au nom de victimes ordinaires. Mais aujourd'hui, ils ont davantage tendance à le faire par voie numérique. Selon ce rapport, les falsifications numériques représentent plus de 57 % de l'ensemble des fraudes documentaires, soit une augmentation annuelle de 244 %. Les escrocs accèdent généralement à des modèles de documents en ligne ou téléchargent des images de documents volés lors de violations de données, puis modifient les détails dans Photoshop. Les outils d'IA générative (GenAI) les aident à le faire rapidement et à grande échelle.
  • La fraude synthétique : Les escrocs créent de nouvelles identités en combinant des IPI réelles (volées) et des IPI inventées pour former une toute nouvelle identité (synthétique), ou créent une nouvelle identité en utilisant uniquement des données fabriquées de toutes pièces. Ces données sont ensuite utilisées pour ouvrir de nouveaux comptes auprès de banques et de sociétés de cartes de crédit, par exemple. Les faux documents et les deepfakes peuvent être combinés à ces identités pour augmenter les chances de succès des fraudeurs. Selon un rapport, 76 % des professionnels américains de la fraude et du risque pensent que leur organisation a des clients synthétiques. Ils estiment que ce type de fraude a augmenté de 17 % par an.
  • Les deepfakes qui trompent amis et famille : parfois, de fausses vidéos ou de faux sons peuvent être utilisés dans des escroqueries qui trompent même les proches. L'une de ces tactiques est l'enlèvement virtue : les proches reçoivent un appel téléphonique d'un malfaiteur prétendant avoir kidnappé quelqu’un de leur entourage. L’escroc diffuse un deepfake (un son truqué donc, utilisant votre voix à l’aide de l’IA) comme preuve, puis demande une rançon. La GenAI peut également être utilisée dans le cadre de ces efforts pour aider les escrocs à trouver une victime probable. L’expert en sécurité d'ESET, Jake Moore, a donné un aperçu de ce qui est actuellement possible ici et ici.
  • Le credential stuffing (pour l'ATO) : Le credential stuffing implique l'utilisation de log-ins volés dans des tentatives automatisées d'accès à d'autres comptes pour lesquels vous avez pu utiliser le même nom d'utilisateur et le même mot de passe. Les outils alimentés par l'IA pourraient rapidement générer ces listes d'identifiants à partir de multiples sources de données, ce qui permettrait d'intensifier les attaques. Ils pourraient également être utilisés pour imiter avec précision le comportement humain lors de la connexion, afin de tromper les filtres défensifs.

Quel est l'impact de la fraude basée sur l'IA ?

La fraude est loin d'être un crime sans victime. En fait, la fraude basée sur l'IA peut :

  • Provoquer une détresse émotionnelle majeure chez la personne victime de la fraude. Selon un rapport, 16 % des victimes ont envisagé de se suicider à la suite d'une usurpation d'identité.
  • Augmenter les chances de réussite des escroqueries, qui induirait une réduction des bénéfices, et donc une obligation pour les entreprises d’augmenter leurs prix pour tout le monde.
  • Avoir un impact sur l'économie nationale. La baisse des bénéfices se traduit par une diminution des recettes fiscales, ce qui signifie moins d'argent à dépenser pour les services publics.
  • Détériorer la confiance du public envers l’état et même la démocratie
  • Affaiblir la confiance des entreprises, ce qui pourrait entraîner une baisse des investissements dans le pays

Comment protéger votre identité contre la fraude induite par l'IA ?

Pour lutter contre l'utilisation offensive de l'IA à leur encontre, les entreprises se tournent de plus en plus vers des outils d'IA défensifs pour repérer les signes révélateurs de la fraude. Mais que pouvez-vous faire ? La stratégie la plus efficace consiste sans doute à minimiser les occasions pour les acteurs de la menace d'obtenir vos IIP et vos données audio/vidéo en premier lieu. En d'autres termes :

  • Ne divulguez pas trop d'informations sur les réseaux sociaux et limitez vos paramètres de confidentialité.
  • Soyez attentif au phishing : vérifiez les domaines des expéditeurs, recherchez les fautes de frappe et de grammaire, et ne cliquez jamais sur les liens ou n'ouvrez pas les pièces jointes dans les courriels non sollicités.
  • Activez l'authentification multifactorielle (MFA) sur tous les comptes.
  • Utilisez toujours des mots de passe forts et uniques stockés dans un gestionnaire de mots de passe.
  • Maintenez les logiciels à jour sur tous les ordinateurs portables et les appareils mobiles
  • Gardez un œil sur les comptes bancaires et les cartes de crédit, en vérifiant régulièrement s'il y a des activités suspectes et en gelant les comptes immédiatement si quelque chose ne semble pas normal.
  • Installez un logiciel de sécurité multicouche d'un éditeur réputé sur tous vos appareils.

Pensez également à vous tenir au courant des dernières tactiques de fraude basées sur l'IA et à sensibiliser vos amis et votre famille aux deepfakes et à la fraude basée sur l'IA.

Les attaques frauduleuses basées sur l'IA ne feront que croître à mesure que la technologie deviendra moins chère et plus efficace. Alors que cette nouvelle course aux armes cyber se joue entre les défenseurs des réseaux d'entreprise et leurs adversaires, ce sont les consommateurs qui seront pris entre deux feux. Assurez-vous de ne pas être le prochain.