Un nouveau service clandestin nommé ATHR transforme le paysage de la fraude téléphonique : il combine l'automatisation, l'intelligence artificielle et, au besoin, les opérateurs humains pour exécuter des escroqueries vocales qui extraient des références et des codes de vérification avec une efficacité qui concerne les chercheurs. Selon l'analyse de l'entreprise de sécurité de messagerie anormale, cette plate-forme met à la disposition des criminels une chaîne d'attaque complète orientée vers le téléphone - du leurre de courrier électronique initial à l'interaction vocale avec la victime - et le fait avec des outils traditionnellement fragmentés et manuels.
La nouveauté n'est pas seulement la sophistication technique, mais la "production" de la fraude: Pour environ 4 000 $ plus une commission sur le vol, un acheteur dans les forums souterrains peut accéder à des modèles de courrier électronique spécifiques par marque, des mécanismes supplantants pour rendre le message légitime et un panneau de contrôle qui orchestre la campagne et livre les données volées en temps réel. Documents anormaux qui, au moment de ses recherches, ATHR offrait des modèles pour des services très utilisés tels que Google, Microsoft et plusieurs plateformes de cryptomoneda, y compris Coinbase et Binance; Yahoo et AOL également apparu.
Le vecteur initial est généralement un courriel qui semble être une alerte de sécurité ou une notification de compte: quelque chose avec suffisamment d'urgence pour pousser l'utilisateur à appeler, mais assez générique pour simuler des filtres basés sur le contenu. Lorsque la victime marque le numéro inclus, l'appel est acheminé par des systèmes tels qu'Astérisque et WebRTC vers des agents vocaux. C'est là que la plateforme se distingue : ces agents peuvent être des modèles IA exécutés avec des incitations soigneusement développées pour adopter le ton, le comportement et le script d'une équipe de support légitime, avec la possibilité de transférer la communication à un opérateur humain si la conversation l'exige.
Dans la pratique, le script cherche à reproduire des processus légitimes, comme la vérification ou la récupération d'un compte. Dans le cas des comptes Google, les agresseurs cherchent la victime à révéler un code à six chiffres qui, hors contexte, est précisément la clé pour réinitialiser l'accès ou compléter les processus de vérification. ATHR intègre également des outils pour personnaliser le message à chaque cible et falsifier les en-têtes de courrier, ce qui rend difficile la détection par des indicateurs conventionnels.
La plate-forme de contrôle offre une visibilité et un contrôle en temps réel: De là, nous gérons l'envoi massif de courriels, le traitement des appels et l'enregistrement des résultats par victime. Ce niveau d'intégration réduit considérablement la quantité d'expérience technique nécessaire à la mise en place d'une opération de « visionnement » qui, selon les chercheurs, peut multiplier la fréquence et la portée de ces attaques en les rendant accessibles aux acteurs moins sophistiqués.
La recherche anormale, qui peut être consultée dans son rapport technique, détaille comment l'automatisation couvre les différentes phases de ce que l'industrie appelle TOAD (la livraison d'attaques orientées vers le téléphone), et pourquoi cela représente un bond : lorsque les composants n'ont plus besoin d'être montés une par une, la barrière de faible entrée et l'échelle devient un risque réel pour les organisations et les individus. Vous pouvez lire votre rapport ici: anormal.ai - rapport sur l'ATHR.
Les médias de sécurité généralistes ont déjà recueilli ces conclusions et mis en garde contre la prolifération de plateformes similaires qui vendent des services de fraude comme s'ils étaient des logiciels légitimes; un exemple de couverture médiatique peut être trouvé dans Calculateur qui élargit la façon dont ces outils sont commercialisés et exploités.
Face à de telles menaces, les signaux d'hameçonnage traditionnels - erreurs orthographiques, domaines étranges ou messages de masse faciles à détecter - peuvent ne pas suffire, car les courriels sont conçus pour passer des vérifications de base et émuler des en-têtes légitimes. Par conséquent, les spécialistes proposent une approche différente: surveiller et modéliser le comportement de communication habituel au sein d'une organisation pour détecter des anomalies, par exemple plusieurs messages avec le même motif et un numéro de téléphone dans un court intervalle, ou des interactions atypiques entre l'expéditeur et le destinataire. Les capacités de détection assistées par l'IA axées sur les modèles comportementaux peuvent être mises en garde avant qu'un employé puisse passer l'appel.
Il convient également de rappeler les mesures pratiques qui réduisent les risques: remettre en question l'urgence des messages inattendus, éviter de fournir des codes ou des mots de passe par téléphone, et vérifier toute demande de soutien par les canaux officiels - pas ceux qui apparaissent dans le courrier suspect lui-même. Les autorités et organismes chargés de la protection des consommateurs offrent des ressources et des conseils sur les escroqueries téléphoniques qui sont utiles au grand public, par exemple la Federal Trade Commission des États-Unis maintient des lignes directrices sur la façon de reconnaître et d'agir en matière de fraude téléphonique : FTC - Escroqueries téléphoniques et l'Agence de cybersécurité (CISA) publie des recommandations sur l'ingénierie sociale et la façon de se protéger : CISA - Conseils en génie social.
Les progrès que représente l'ATHR exigent une révision de la défense : il ne suffit plus d'avoir des outils pour analyser le contenu du courrier; il faut comprendre le contexte des communications et déployer des contrôles qui rendent difficile l'accès aux ressources essentielles à un code temporaire ou à des données de vérification. Pour les entreprises, cela implique de renforcer les procédures de vérification à canaux multiples, d'éduquer les employés sur les techniques d'essai et d'envisager des technologies qui permettent de corréler les événements et de détecter les tendances anormales avant qu'un appel ne se produise.
L'émergence de plateformes telles que l'ATHR n'est pas la fin de l'histoire, mais c'est un appel à l'attention: l'automatisation et l'IA sont intégrées dans le crime avec la même logique d'économie d'échelle qui conduit à des développements légitimes. Comprendre le fonctionnement de ces outils, partager l'intelligence entre les fournisseurs et renforcer l'hygiène numérique individuelle et organisationnelle sont des mesures nécessaires pour contenir une menace qui, de par sa nature même, se nourrit d'une confiance mal dirigée et de la précipitation quotidienne.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
malveillant VS Extensions de code : l'attaque qui a exposé 3 800 dépôts internes
GitHub a confirmé qu'un dispositif d'un employé engagé par une extension malveillante de Visual Studio Code a permis l'exfiltration de centaines ou de milliers de dépôts interne...