LastPass a révélé cette semaine que des acteurs de la menace avaient ciblé l’un de ses employés lors d’une attaque de phishing vocal, utilisant un son deepfake pour se faire passer pour Karim Toubba, le PDG de l’entreprise.
Cependant, alors que 25% des personnes ont été victimes d’une arnaque d’usurpation d’identité vocale par IA ou connaissent quelqu’un qui l’a fait, selon une récente étude mondiale, l’employé de LastPass n’a pas craqué parce que l’attaquant a utilisé WhatsApp, qui est un canal commercial très rare.
Usurpation d’identité du PDG de Deepfake audio LastPass
Attaque audio Deepfake (LastPass)
« Dans notre cas, un employé a reçu une série d’appels, de SMS et au moins un message vocal contenant un deepfake audio d’un acteur menaçant se faisant passer pour notre PDG via WhatsApp », a déclaré Mike Kosak, analyste du renseignement chez LastPass.
« Comme la tentative de communication était en dehors des canaux de communication normaux de l’entreprise et en raison des soupçons de l’employé concernant la présence de nombreuses caractéristiques d’une tentative d’ingénierie sociale (comme l’urgence forcée), notre employé a à juste titre ignoré les messages et signalé l’incident à notre équipe de sécurité interne afin que nous puissions prendre des mesures à la fois pour atténuer la menace et sensibiliser à la tactique à la fois en interne et en externe. »
Kosak a ajouté que l’attaque avait échoué et n’avait eu aucun impact sur LastPass. Cependant, l’entreprise a tout de même choisi de partager les détails de l’incident pour avertir d’autres entreprises que des deepfakes générés par l’IA sont déjà utilisés dans des campagnes de fraude par usurpation d’identité de dirigeants.
L’audio deepfake utilisé dans cette attaque a probablement été généré à l’aide de modèles audio deepfake formés sur des enregistrements audio accessibles au public du PDG de LastPass, probablement celui-ci disponible sur YouTube.
Les attaques Deepfake à la hausse
L’avertissement de LastPass fait suite à une alerte du département américain de la Santé et des Services sociaux (HHS) publiée la semaine dernière concernant des cybercriminels ciblant les services d’assistance informatique utilisant des tactiques d’ingénierie sociale et des outils de clonage vocal IA pour tromper leurs cibles.
L’utilisation de deepfakes audio permet également aux auteurs de menaces de rendre beaucoup plus difficile la vérification de l’identité de l’appelant à distance, ce qui rend les attaques où ils se font passer pour des dirigeants et des employés de l’entreprise très difficiles à détecter.
Alors que le HHS a partagé des conseils spécifiques aux attaques ciblant les services d’assistance informatique des organisations du secteur de la santé, ce qui suit s’applique également très bien aux tentatives de fraude par usurpation d’identité de PDG:
- Exiger des rappels pour vérifier les employés demandant des réinitialisations de mot de passe et de nouveaux appareils MFA.
- Surveillez les changements ACH suspects.
- Revalider tous les utilisateurs ayant accès aux sites Web des payeurs.
- Considérez les demandes en personne pour des questions sensibles.
- Exiger des superviseurs qu’ils vérifient les demandes.
- Former le personnel du service d’assistance à l’identification et au signalement des techniques d’ingénierie sociale et à la vérification de l’identité des appelants.
En mars 2021, le FBI a également publié une Notification de l’industrie privée (PIN) [PDF] avertissant que les deepfakes—y compris l’audio, le texte, les images ou la vidéo générés ou manipulés par l’IA-devenaient de plus en plus sophistiqués et seraient probablement largement utilisés par les pirates informatiques dans « cyber et opérations d’influence étrangère. »
De plus, Europol a averti en avril 2022 que deep fades pourrait bientôt devenir un outil que les groupes cybercriminels utilisent régulièrement dans la fraude des PDG, la falsification de preuves et la création de pornographie non consensuelle.