L'IA est là pour vous aider, que vous rédigiez un e-mail, que vous créiez un concept art ou que vous exécutiez une arnaque sur des personnes vulnérables en leur faisant croire que vous êtes un ami ou un parent en détresse. L'IA est tellement polyvalente ! Mais comme certaines personnes préfèrent ne pas se faire arnaquer, parlons un peu des éléments à surveiller.
Ces dernières années ont vu une énorme amélioration non seulement de la qualité des médias générés, du texte à l'audio en passant par les images et la vidéo, mais également de la facilité et du moindre coût de création de ces médias. Le même type d’outil qui aide un artiste conceptuel à concocter des monstres ou des vaisseaux spatiaux fantastiques, ou qui permet à un locuteur non natif d’améliorer son anglais des affaires, peut également être utilisé à des fins malveillantes.
Ne vous attendez pas à ce que Terminator frappe à votre porte et vous vende une chaîne de Ponzi : ce sont les mêmes vieilles escroqueries auxquelles nous sommes confrontés depuis des années, mais avec une touche d'IA générative qui les rend plus faciles, moins chères ou plus convaincantes.
Il ne s’agit en aucun cas d’une liste complète, mais seulement de quelques-unes des astuces les plus évidentes que l’IA peut booster. Nous ne manquerons pas d'en ajouter de nouvelles au fur et à mesure de leur apparition dans la nature, ou toute mesure supplémentaire que vous pouvez prendre pour vous protéger.
Clonage vocal de la famille et des amis
Les voix synthétiques existent depuis des décennies, mais ce n’est qu’au cours des deux dernières années que les progrès technologiques ont permis de générer une nouvelle voix à partir de quelques secondes seulement d’audio. Cela signifie que toute personne dont la voix a déjà été diffusée publiquement – par exemple dans un reportage, une vidéo YouTube ou sur les réseaux sociaux – est vulnérable au clonage de sa voix.
Les fraudeurs peuvent utiliser cette technologie, et l’ont déjà fait, pour produire de fausses versions convaincantes d’êtres chers ou d’amis. Bien sûr, on peut leur faire dire n'importe quoi, mais au service d'une arnaque, ils sont plus susceptibles de créer un clip vocal demandant de l'aide.
Par exemple, un parent peut recevoir un message vocal d'un numéro inconnu qui ressemble à celui de son fils, expliquant comment ses affaires ont été volées lors d'un voyage, une personne l'a laissé utiliser son téléphone et maman ou papa pourrait-il envoyer de l'argent à cette adresse, destinataire Venmo. , affaires, etc. On peut facilement imaginer des variantes avec des problèmes de voiture (« ils ne me libéreront pas ma voiture jusqu'à ce que quelqu'un les paie »), des problèmes médicaux (« ce traitement n'est pas couvert par l'assurance »), etc.
Ce type d'arnaque a déjà été réalisé en utilisant la voix du président Biden. Ils ont identifié les coupables , mais les futurs escrocs seront plus prudents.
Comment lutter contre le clonage vocal ?
Tout d’abord, n’essayez pas de repérer une fausse voix. Ils s'améliorent chaque jour et il existe de nombreuses façons de masquer tout problème de qualité. Même les experts sont dupes.
Tout ce qui provient d'un numéro, d'une adresse e-mail ou d'un compte inconnu doit automatiquement être considéré comme suspect. Si quelqu'un vous dit qu'il est votre ami ou votre proche, contactez-le comme vous le feriez normalement. Ils vous diront probablement qu’ils vont bien et qu’il s’agit (comme vous l’avez deviné) d’une arnaque.
Les fraudeurs ont tendance à ne pas donner suite s’ils sont ignorés – alors qu’un membre de la famille le fera probablement. Vous pouvez laisser un message suspect en lecture pendant que vous réfléchissez.
Phishing personnalisé et spam par e-mail et messagerie
Nous recevons tous du spam de temps en temps, mais l'IA génératrice de texte permet d'envoyer en masse des e-mails personnalisés pour chaque individu. Les violations de données se produisant régulièrement, une grande partie de vos données personnelles sont accessibles.
C'est une chose d'obtenir un de ces « Cliquez ici pour voir votre facture ! » des e-mails frauduleux avec des pièces jointes manifestement effrayantes qui semblent si peu d'effort. Mais avec même un peu de contexte, ils deviennent tout à coup tout à fait crédibles , utilisant des lieux récents, des achats et des habitudes pour donner l'impression qu'il s'agit d'une vraie personne ou d'un vrai problème. Armé de quelques informations personnelles, un modèle de langage peut personnaliser un générique de ces e-mails à des milliers de destinataires en quelques secondes.
Ainsi, ce qui était autrefois « Cher client, veuillez trouver votre facture en pièce jointe » devient quelque chose comme « Salut Doris ! Je fais partie de l'équipe de promotions d'Etsy. Un article que vous regardiez récemment est désormais à 50 % de réduction ! Et la livraison à votre adresse à Bellingham est gratuite si vous utilisez ce lien pour réclamer la réduction. Un exemple simple, mais quand même. Avec un vrai nom, une habitude d'achat (facile à trouver), une localisation générale (idem) etc., du coup le message est beaucoup moins évident.
En fin de compte, ce ne sont encore que du spam. Mais ce type de spam personnalisé devait autrefois être réalisé par des personnes mal payées dans des fermes de contenu situées dans des pays étrangers. Cela peut désormais être réalisé à grande échelle par un LLM doté de meilleures compétences en prose que de nombreux écrivains professionnels.
Comment lutter contre le spam par courrier électronique ?
Comme pour le spam traditionnel, la vigilance est votre meilleure arme. Mais ne vous attendez pas à détecter du texte généré à partir de texte écrit par des humains dans la nature. Rares sont ceux qui le peuvent, et certainement pas un autre modèle d’IA.
Aussi amélioré que soit le texte, ce type d'arnaque présente toujours le défi fondamental de vous amener à ouvrir des pièces jointes ou des liens fragmentaires. Comme toujours, à moins d'être sûr à 100 % de l'authenticité et de l'identité de l'expéditeur, ne cliquez et n'ouvrez rien. Si vous n'êtes qu'un tout petit peu incertain – et c'est un bon sens à cultiver – ne cliquez pas, et si vous avez quelqu'un de compétent à qui le transmettre pour une deuxième paire d'yeux, faites-le.
Fraude à l'identification et à la vérification du type « Fake you »
En raison du nombre de violations de données au cours des dernières années ( merci Equifax ), on peut affirmer sans se tromper que nous disposons presque tous d'une bonne quantité de données personnelles flottant sur le dark web. Si vous suivez de bonnes pratiques de sécurité en ligne , une grande partie du danger est atténuée car vous avez modifié vos mots de passe, activé l'authentification multifacteur, etc. Mais l’IA générative pourrait constituer une nouvelle et sérieuse menace dans ce domaine.
Avec autant de données sur une personne disponibles en ligne et, pour beaucoup, même un extrait ou deux de sa voix, il est de plus en plus facile de créer un personnage IA qui ressemble à une personne cible et a accès à une grande partie des faits utilisés pour vérifier son identité.
Pensez-y comme ça. Si vous rencontriez des problèmes de connexion, si vous ne parveniez pas à configurer correctement votre application d'authentification ou si vous perdiez votre téléphone, que feriez-vous ? Appelez probablement le service client – et ils « vérifieront » votre identité en utilisant des faits triviaux comme votre date de naissance, votre numéro de téléphone ou votre numéro de sécurité sociale. Des méthodes encore plus avancées, comme « prendre un selfie », deviennent de plus en plus faciles à utiliser.
L'agent du service client - pour autant que nous sachions, également une IA - peut très bien obliger ce faux vous et lui accorder tous les privilèges que vous auriez si vous appeliez réellement. Ce qu'ils peuvent faire à partir de cette position varie considérablement, mais rien de tout cela. est bon.
Comme pour les autres personnes figurant sur cette liste, le danger ne réside pas tant dans le réalisme de ce faux, mais dans le fait qu'il est facile pour les escrocs de mener ce type d'attaque à grande échelle et à plusieurs reprises. Il n’y a pas si longtemps, ce type d’attaque par usurpation d’identité était coûteux et chronophage et, par conséquent, se limitait à des cibles de grande valeur comme les riches et les PDG. De nos jours, vous pouvez créer un flux de travail qui crée des milliers d'agents d'usurpation d'identité avec une surveillance minimale, et ces agents pourraient appeler de manière autonome les numéros de service client de tous les comptes connus d'une personne – ou même en créer de nouveaux. Il suffit qu’une poignée d’entre elles réussissent pour justifier le coût de l’attaque.
Comment lutter contre la fraude à l’identité ?
Tout comme c'était le cas avant que les IA ne viennent renforcer les efforts des fraudeurs, « Cybersécurité 101 » est votre meilleur pari. Vos données sont déjà disponibles ; vous ne pouvez pas remettre le dentifrice dans le tube. Mais vous pouvez vous assurer que vos comptes sont correctement protégés contre les attaques les plus évidentes.
L’authentification multifacteur est de loin l’étape la plus importante que quiconque puisse franchir ici. Tout type d'activité sérieuse sur votre compte est envoyé directement sur votre téléphone, et les connexions suspectes ou les tentatives de modification de mot de passe apparaîtront dans les e-mails. Ne négligez pas ces avertissements et ne les marquez pas comme spam, même (surtout) si vous en recevez beaucoup.
Deepfakes et chantage générés par l’IA
La forme la plus effrayante d’arnaque naissante à l’IA est peut-être la possibilité de chantage à l’aide de fausses images de vous ou d’un être cher. Vous pouvez remercier le monde en évolution rapide des modèles d’images ouvertes pour cette perspective futuriste et terrifiante. Les personnes intéressées par certains aspects de la génération d’images de pointe ont créé des flux de travail non seulement pour restituer des corps nus, mais aussi pour les attacher à n’importe quel visage dont ils peuvent prendre une photo. Je n’ai pas besoin de préciser comment il est déjà utilisé.
Mais une conséquence involontaire est une extension de l’arnaque communément appelée « porno de vengeance », mais plus précisément décrite comme une distribution non consensuelle d’images intimes (bien que, comme pour « deepfake », il puisse être difficile de remplacer le terme original). Lorsque les images privées d'une personne sont divulguées par un piratage ou par un ex vengeur, elles peuvent être utilisées comme chantage par un tiers qui menace de les publier largement à moins qu'une somme ne soit payée.
L’IA améliore cette arnaque en faisant en sorte qu’aucune imagerie intime réelle n’ait besoin d’exister en premier lieu. Le visage de n'importe qui peut être ajouté à un corps généré par l'IA, et même si les résultats ne sont pas toujours convaincants, c'est probablement suffisant pour vous tromper, vous ou les autres, s'il est pixelisé, en basse résolution ou partiellement obscurci. Et c’est tout ce qu’il faut pour effrayer quelqu’un et l’inciter à payer pour garder le secret – même si, comme la plupart des escroqueries au chantage, il est peu probable que le premier paiement soit le dernier.
Comment lutter contre les deepfakes générés par l’IA ?
Malheureusement, le monde vers lequel nous nous dirigeons est un monde dans lequel de fausses images nues de presque tout le monde seront disponibles sur demande. C'est effrayant, bizarre et dégoûtant, mais malheureusement, le chat est sorti du sac ici.
Personne n’est content de cette situation, sauf les méchants. Mais il y a plusieurs choses à faire pour les victimes potentielles. Ces modèles d’images peuvent produire des corps réalistes d’une certaine manière, mais comme les autres IA génératives, ils ne savent que sur quoi ils ont été formés. Ainsi, les fausses images n’auront aucun signe distinctif, par exemple, et seront probablement manifestement fausses à d’autres égards.
Et même si la menace ne diminuera probablement jamais complètement, les victimes disposent de plus en plus de recours , qui peuvent légalement contraindre les hébergeurs d'images à supprimer des photos ou interdire aux fraudeurs l'accès aux sites sur lesquels ils publient. À mesure que le problème s’aggrave, les moyens juridiques et privés permettant de le combattre augmentent également.
TechCrunch n'est pas un avocat. Mais si vous en êtes victime, prévenez la police. Il ne s'agit pas seulement d'une arnaque mais de harcèlement, et même si vous ne pouvez pas vous attendre à ce que les policiers effectuent le genre de travail de détective Internet approfondi nécessaire pour retrouver quelqu'un, ces cas sont parfois résolus, ou les escrocs sont effrayés par les demandes envoyées à leur FAI ou hôte du forum.