Fausses invitations créées par IA : le nouveau scam des hackers à éviter d’urgence
Des hackers exploitent désormais l'intelligence artificielle pour générer de fausses invitations à des fêtes ou dîners, une nouvelle forme de phishing identifiée par Rachel Tobac, directrice de SocialProof Security, spécialiste américaine de la cybersécurité. Le mécanisme a particulièrement proliféré durant les périodes festives. John Lantigua, ancien journaliste de 78 ans installé à Miami Beach, en a été victime : il a reçu dans sa boîte mail un message semblant provenir d'un ex-collègue du Palm Beach Post, l'invitant à une soirée avec un lien pour les détails. Après avoir cliqué à deux reprises sans résultat apparent, c'est un ami commun, ayant reçu la même arnaque, qui l'a alerté. Alyssa Williamson, professionnelle des relations publiques à New York, a vécu le scénario inverse : après avoir cliqué sur une invitation d'une ancienne camarade et saisi son adresse e-mail, ses propres contacts ont commencé à recevoir de fausses invitations en son nom, son compte ayant été compromis.
Le danger est double et particulièrement insidieux. D'un côté, certains liens déclenchent discrètement un logiciel malveillant qui collecte des données personnelles sans que la victime ne s'en aperçoive. De l'autre, certains redirigent vers une fausse page de connexion : si la victime entre son mot de passe, les pirates prennent le contrôle de sa messagerie, et par extension de ses réseaux sociaux, comptes bancaires et services en ligne. La technique est efficace parce qu'elle contourne les réflexes habituels de méfiance : le message ne vient pas d'un inconnu, mais d'une vraie connaissance dont le compte a été préalablement détourné. Olivia Pollock, d'Evite, note que le signe révélateur est souvent la vagueur du message : les vraies invitations précisent un thème, une occasion, un lieu, tandis que les fausses restent sur des formules génériques comme "anniversaire" ou "célébration".
Ces arnaques surfent sur une vulnérabilité profondément humaine. Alexa Hirschfeld, fondatrice de Paperless Post, souligne que l'enthousiasme suscité par une invitation d'une connaissance prend naturellement le dessus sur la prudence. Les cybercriminels le savent et renouvellent leurs approches précisément pour court-circuiter les défenses psychologiques que le public a développées face aux tentatives classiques de phishing fondées sur la peur ou l'urgence. Face à cette menace, les plateformes d'invitation comme Paperless Post ont mis en place des adresses dédiées pour signaler les tentatives suspectes, qui sont ensuite analysées et bloquées via des réseaux de cybersécurité. Le conseil des experts reste simple : avant de cliquer sur n'importe quel lien d'invitation, contacter directement l'expéditeur supposé par un autre canal pour confirmer que l'événement existe réellement.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
