Mais c'était bien la voix de mon patron !

Et si cela vous arrivez :  vous recevrez un message vocal de votre supérieur hiérarchique vous demandant de virer de toute urgence un paiement sur un compte bancaire spécifique.
Vous n'hésitez pas une seconde et vous exécutez l'ordre.

Ce que vous ignorez est que derrière ce message se cachent des éléments malveillants qui ont imité à la perfection la voix de votre supérieur hiérarchique en utilisant la technologie audio DeepPike.

L'arnaque au faux président sous forme de logiciel risque de faire son Alyah

L'arnaque au faux président sous forme de logiciel risque de faire son Alyah

Ce logiciel a déjà causé d’énormes dégâts à l’étranger et Israël craint qu’il ne fasse bientôt son aliya et qu’il soit également utilisé contre les soldats des FDI.

"L'histoire enseigne que si quelque chose a fonctionné dans le monde, elle sera bientôt chez nous aussi !"

Une nouvelle technologie appelée Audio deep pike est utilisé par les cybercriminels de phishing.
Ceci fonctionne par l'intermédiaire de la messagerie vocale, la voix du donneur d'ordre est parfaitement imitée et passe par son profil , ce qui a déjà  donné lieu à des dommages à hauteur de plusieurs millions de dollars aux Etats - Unis et également pour des entreprises du Royaume - Uni.

Tableau National Cyber a récemment publié un avertissement que les attaques par la voix peut aussi être fait depuis Israël, et a appelé les entreprises et les organisations à prendre des précautions et d'augmenter leur vigilance par des appels de sécurité après la réception du message vocal afin de confirmer le message.

On craint également que la technologie ne soit utilisée pour attaquer les commandants et les soldats des FDI.

La technologie audio Deep-Pike est basée sur l'intelligence artificielle et crée une imitation parfaite du son original à partir des enregistrements du locuteur.
L'utilisation de DeepAudio Pike rend le phishing vocal très difficile à détecter pendant son exécution.

Les employés reçoivent des messages vocaux via Whats app , de la voix du PDG, qui leur demande d'effectuer une action qui ne semble pas inhabituelle. Le fait que l'ordre ait été donné par le directeur général n'a pas suscité de doute, et les paiements ont été effectués.

"C'est un peu gênant"

Symantec a signalé trois cas de phishing au Royaume-Uni, qui ont entraîné la perte de millions de livres, selon Eric Volovsky, directeur de l’ingénierie chez Symantec Israël.
"Il n’y a pas d’incidents similaires en Israël", at-il déclaré.

Ce n'est pas seulement une insulte à la réputation, c'est aussi un peu gênant. Même si cela se produisait en Israël, personne n'en parlerai...

"Pour résoudre le problème, il convient de sensibiliser les employés et de leur faire comprendre que les messages vocaux doivent être remis en question en appelant en direct l'interlocuteur et de demander de confirmer l'ordre par mail également "

La technologie vidéo de DeepPike a bien plus attiré l'attention du public ces derniers temps, alors que  l'audio de DeepPike est presque inconnu, malgré son potentiel de dommages bien plus importants.

Les experts ont noté qu’il était facile de produire des messages audios factices (dans certains cas, en quelques secondes) et que les résultats obtenus étaient bien plus convaincants que la capacité vidéo actuelle.

Pike Audio peut être utilisé pour créer Pike News, des activités criminelles et des tentatives d’influence sur le système politique.

En outre, la large distribution des systèmes d’exploitation vocale permet aux contrevenants d’imiter la voix du propriétaire de l’appareil et de mener une attaque à l’aide d’assistants numériques tels que Alexa et Siri.

Aharon Zeevi Farkash, ancien chef du renseignement militaire qui a fondé l'entreprise dans l'identification biométrique SGO Biométrie, dit que la technologie de Deep Pike est un grand danger de la politique du terrorisme, et  particulièrement aux commandants sur un champ de bataille.

Le principal danger a-t-il dit est la combinaison de visage humain imité avec l'imitation de la voix !
Ze'evi Farkash a déclaré que l'anti-dotedevait émaner de l'éducation dès le plus jeune âge pour suspecter et identifier les contrefaçons, ainsi que des start-ups développant une technologie capable d'identifier rapidement les contrefaçons avant qu'ils ne soient diffusés sous la forme d'informations véritables.

Les nouvelles capacités de phishing peuvent également être utilisées contre des unités des forces de l'armée israélienne, puisque, comme indiqué précédemment, les  commandants de l’IDF conversent et même transmettent des commandes via des applications de discussion telles que Whatsapp.

Ainsi un cybercriminel  peut atteindre les soldats et les commandants en leur donnant des ordres avec la voix et le visage du  commandant supérieur, notamment en imitant la voix du chef d'état-major.

Voici la procédure mise en oeuvre afin de limiter les dégâts qui peuvent s'avérer très graves pour la sécurité nationale du pays, Israë.

Utilisez une authentification forte - vérification en deux étapes - il faut accéder aux comptes de messagerie d'entreprise sensibles, en particulier si les comptes s'exécutent sur un cloud ou sur des systèmes d'accès distant.

Mécanisme multicanal: s'il est nécessaire d'exécuter une action ou d'exposer des détails sensibles par accès à distance, il est recommandé d'examiner et de créer un mécanisme multicanal à cette fin. 

Par exemple: envoyer un nom d'utilisateur par SMS et un mot de passe par courrier électronique, ou envoyer des informations chiffrées avec le mot de passe à ouvrir par un autre moyen, etc.

 Confirmation de l’enseignement sur un autre canal: lorsqu’il reçoit des instructions d’un haut responsable de l’organisation de transférer de l’argent ou de réaliser une action délicate, il est recommandé de vérifier par un autre canal indépendant que l’instruction a bien été reçue de sa part.

Par exemple, si la commande a été reçue par courrier électronique, elle doit être confirmée par téléphone avec un numéro prédéterminé.

L'exécution de cette étape de la procédure devrait être obligatoire et ne pas être autorisée à en déroger pour des raisons urgentes ou des problèmes de communication, sauf avec l'approbation d'un haut responsable qualifié de l'organisation.

Conditionner des transactions de transfert à grande échelle ou mettre à jour les informations sur les fournisseurs et les clients avec l'approbation d'une partie indépendante.

Mécanisme à signatures multiples: il est recommandé d'effectuer des transactions financières, en mettant l'accent sur le transfert de fonds, uniquement dans les systèmes désignés, tout en mettant en œuvre un mécanisme à signatures multiples.

Mise en œuvre de technologies dédiées, telles qu'un système permettant de cartographier les fournisseurs de l'organisation et de vérifier leurs coordonnées lors du transfert de fonds.

Utilisation de moyens technologiques pour éviter les utilisations abusives du courrier électronique - définissez DKIM, SPF et DMARC pour rendre difficile l'envoi de courriers électroniques à partir d'adresses qui se présentent comme une organisation.

Contactez le centre opérationnel du réseau cyber: Si vous avez été victime d'une cyberattaque ou si vous soupçonnez une telle attaque, vous pouvez appeler un appel préliminaire au numéro sans frais 119. Le centre est actif 24h / 24h