Phishing de nouvelle génération : l’essor des arnaques de vishing par IA

Dans le domaine de la cybersécurité, les menaces en ligne posées par l’IA peuvent avoir des impacts très concrets sur les individus et les organisations du monde entier. Les arnaques de phishing traditionnelles ont évolué grâce à l’abus d’outils d’IA, devenant plus fréquentes, sophistiquées et difficiles à détecter avec chaque année qui passe. Le vishing par IA est peut-être la technique la plus inquiétante de ces évolutions.

Qu’est-ce que le vishing par IA ?

Le vishing par IA est une évolution du vishing (phishing vocal), où les attaquants se font passer pour des individus de confiance, tels que des représentants de banques ou des équipes de support technique, pour tromper les victimes et les amener à effectuer des actions comme le transfert de fonds ou la remise d’accès à leurs comptes.

L’IA améliore les arnaques de vishing avec des technologies telles que le clonage de voix et les deepfakes qui imitent les voix d’individus de confiance. Les attaquants peuvent utiliser l’IA pour automatiser les appels téléphoniques et les conversations, leur permettant de cibler un grand nombre de personnes en un laps de temps relativement court.

Le vishing par IA dans le monde réel

Les attaquants utilisent les techniques de vishing par IA de manière indiscriminée, ciblant tout le monde, des individus vulnérables aux entreprises. Ces attaques se sont avérées remarquablement efficaces, avec le nombre d’Américains ayant perdu de l’argent à cause du vishing augmentant de 23% entre 2023 et 2024. Pour mettre cela en perspective, nous allons explorer certaines des arnaques de vishing par IA les plus médiatisées qui ont eu lieu au cours des dernières années.

Arnaque aux entreprises italiennes

Au début de 2025, des arnaqueurs ont utilisé l’IA pour imiter la voix du ministre italien de la Défense, Guido Crosetto, dans une tentative de tromper certains des dirigeants d’entreprise les plus éminents d’Italie, notamment le créateur de mode Giorgio Armani et le cofondateur de Prada, Patrizio Bertelli.

En se faisant passer pour Crosetto, les attaquants ont prétendu avoir besoin d’une aide financière urgente pour la libération d’un journaliste italien kidnappé au Moyen-Orient. Seule une cible a été victime de l’arnaque dans ce cas – Massimo Moratti, ancien propriétaire de l’Inter de Milan – et la police a réussi à récupérer les fonds volés.

Les hôtels et les entreprises de voyage sous attaque

Selon le Wall Street Journal, le dernier trimestre de 2024 a vu une augmentation significative des attaques de vishing par IA contre l’industrie de l’hôtellerie et du voyage. Les attaquants ont utilisé l’IA pour se faire passer pour des agents de voyage et des dirigeants d’entreprise pour tromper le personnel de réception des hôtels et leur faire divulguer des informations sensibles ou accorder un accès non autorisé aux systèmes.

Ils ont fait cela en dirigeant les représentants du service clientèle, souvent pendant les heures de pointe, pour ouvrir un e-mail ou un navigateur avec une pièce jointe malveillante. En raison de la capacité remarquable de l’IA à imiter les partenaires qui travaillent avec l’hôtel, les arnaques téléphoniques étaient considérées comme « une menace constante ».

Arnaques amoureuses

En 2023, des attaquants ont utilisé l’IA pour imiter les voix de membres de la famille en détresse et ont trompé des personnes âgées, leur faisant perdre environ 200 000 dollars. Les appels d’arnaque sont difficiles à détecter, en particulier pour les personnes âgées, mais lorsque la voix à l’autre bout du fil ressemble exactement à celle d’un membre de la famille, ils sont presque indétectables. Il est important de noter que cet incident a eu lieu il y a deux ans – le clonage de voix par IA est devenu encore plus sophistiqué depuis.

Vishing par IA en tant que service

Le vishing par IA en tant que service (VaaS) a été un contributeur majeur à la croissance du vishing par IA au cours des dernières années. Ces modèles d’abonnement peuvent inclure des capacités de spoofing, des invites personnalisées et des agents adaptables, permettant aux acteurs malveillants de lancer des attaques de vishing par IA à grande échelle.

Chez Fortra, nous suivons PlugValley, l’un des principaux acteurs du marché du vishing par IA en tant que service. Ces efforts nous ont donné une vision de la menace et, plus important encore, ont montré à quel point les attaques de vishing sont devenues avancées et sophistiquées.

PlugValley : vishing par IA découvert

Le bot de vishing de PlugValley permet aux acteurs menaçants de déployer des voix personnalisables et réalistes pour manipuler les victimes potentielles. Le bot peut s’adapter en temps réel, imiter les modèles de parole humaine, spoofing les identificateurs d’appel et même ajouter du bruit de fond de centre d’appel aux appels vocaux. Cela rend les arnaques de vishing par IA aussi convaincantes que possible, aidant les cybercriminels à voler des informations de connexion bancaire et des mots de passe à usage unique (OTPs).

PlugValley supprime les barrières techniques pour les cybercriminels, offrant une technologie de fraude évolutive à l’échelle pour des abonnements mensuels nominaux.

Les fournisseurs de vishing par IA comme PlugValley ne font pas que mener des arnaques ; ils industrialisent le phishing. Ils représentent la dernière évolution de l’ingénierie sociale, permettant aux cybercriminels de mettre à profit les outils d’apprentissage automatique (ML) et de profiter des gens à grande échelle.

Protection contre le vishing par IA

Les techniques d’ingénierie sociale basées sur l’IA, telles que le vishing par IA, devraient devenir plus courantes, efficaces et sophistiquées dans les années à venir. Par conséquent, il est important pour les organisations de mettre en œuvre des stratégies proactives telles que la formation des employés, les systèmes de détection de fraude améliorés et l’intelligence de menace en temps réel,

Au niveau individuel, les conseils suivants peuvent aider à identifier et à éviter les tentatives de vishing par IA :

• Soyez sceptique des appels non sollicités : Faites preuve de prudence avec les appels téléphoniques inattendus, en particulier ceux qui demandent des informations personnelles ou financières. Les organisations légitimes ne demandent généralement pas d’informations sensibles au téléphone. ​
• Vérifiez l’identité de l’appelant : Si un appelant prétend représenter une organisation connue, vérifiez son identité en contactant l’organisation directement en utilisant des informations de contact officielles. ​WIRED suggère de créer un mot de passe secret avec votre famille pour détecter les attaques de vishing qui prétendent provenir d’un membre de la famille.
• Limitez le partage d’informations : Évitez de divulguer des informations personnelles ou financières lors d’appels non sollicités. Soyez particulièrement prudent si l’appelant crée un sentiment d’urgence ou menace de conséquences négatives. ​
• Éduquez-vous et les autres : Restez informé sur les tactiques de vishing courantes et partagez ces connaissances avec vos amis et votre famille. La sensibilisation est une défense critique contre les attaques d’ingénierie sociale.​
• Signalez les appels suspects : Informez les autorités compétentes ou les agences de protection des consommateurs des tentatives de vishing. Le signalement aide à suivre et à atténuer les activités frauduleuses.

Tous les indicateurs montrent que le vishing par IA est là pour rester. En fait, il devrait continuer à augmenter en volume et à améliorer son exécution. Avec la prévalence des deepfakes et la facilité d’adoption des campagnes avec des modèles en tant que service, les organisations devraient s’attendre à être ciblées par une attaque à un moment donné.

La formation des employés et la détection de la fraude sont clés pour se préparer et prévenir les attaques de vishing par IA. La sophistication du vishing par IA peut amener même les professionnels de la sécurité bien formés à croire à des demandes ou à des récits apparemment authentiques. C’est pourquoi une stratégie de sécurité complète et en couches, qui intègre des garanties technologiques avec une main-d’œuvre constamment informée et vigilante, est essentielle pour atténuer les risques posés par le phishing par IA.