How can I tell if a video call is a deepfake if the person looks completely real?

Deepfakes often show subtle artifacts: unnatural blinking patterns, misaligned lip-sync during side angles, skin texture that looks too smooth or plastic, inconsistent lighting on the face versus background, or jarring transitions when the person moves their head quickly. Use dedicated deepfake detection software like Microsoft Video Authenticator, which analyzes digital fingerprints in video files. Most importantly, if someone calls you with an urgent request, hang up and call them back at a known number—no AI video can intercept an outbound call from your phone.

Can AI phishing bypass my company's email security system?

Advanced AI phishing can partially bypass some security measures because it uses legitimate authentication protocols and personalizes content in ways that appear normal to content filters. However, no AI phishing bypasses proper MFA implementation. Even if scammers access your email credentials, they cannot access your account if your MFA requires a hardware security key or authenticator app that only you control. Email security also improves dramatically when companies implement strict DMARC policies that reject unauthenticated emails claiming to be from your domain.

I think I clicked a phishing link and entered my password. What should I do immediately?

Change your password from a different device (not the computer where you clicked the link) using a secure network, then contact your IT security team or bank immediately—before the scammers use your credentials. Enable MFA on your account right away if it wasn't already active. Monitor your accounts for unauthorized activity and consider freezing your credit with the three major bureaus (Equifax, Experian, TransUnion) if the attack involved financial information or if you suspect identity theft components.

How can my company prevent AI-powered phishing attacks targeting our employees?

Organizations should implement strict email authentication (SPF/DKIM/DMARC), mandatory hardware security key-based MFA for all employees, regular phishing simulation training that includes AI scenarios, and real-time threat detection systems that flag unusual behavioral patterns. Additionally, establish clear internal protocols where urgent financial requests always require out-of-band verification, and educate employees about verifying requests through established channels rather than using contact information from the suspicious message itself.

Is there a way to protect myself if a scammer clones my voice or creates a deepfake of me?

Register your voice and facial biometrics with fraud prevention services that create authenticated profiles, which can help trusted contacts identify legitimate versus fraudulent communications. Limit the amount of video and audio content you share publicly on social media and YouTube, as this is the primary training data scammers use for AI synthesis. Advise your family and close contacts to use an established verification method before responding to any urgent requests, and consider registering with the FBI's IC3 (Internet Crime Complaint Center) if you believe your identity has been cloned for fraud purposes.

Critique Perte moyenne: $5,000 Durée typique: 1-7 days

Hameçonnage alimenté par l’IA : comment les escrocs utilisent l’IA pour vous cibler

Le phishing alimenté par l’IA représente l’une des menaces de fraude les plus sophistiquées émergentes en 2024. Contrairement au phishing traditionnel qui repose sur des e-mails génériques envoyés en masse, les attaques pilotées par l’IA analysent vos profils sur les réseaux sociaux, vos communications précédentes et vos données personnelles pour créer des messages personnalisés d’une précision troublante. Les escrocs utilisent des algorithmes d’apprentissage automatique pour générer des vidéos deepfake de contacts de confiance, synthétiser les voix de PDG ou de membres de la famille, et concevoir des e-mails qui imitent parfaitement le style de communication de votre banque — incluant logos exacts, terminologie et même des numéros de référence internes récupérés lors de fuites de données. Le FBI a rapporté une augmentation de 350 % des tentatives de phishing assistées par IA au premier semestre 2024, avec des pertes moyennes de 5 000 € par victime, certaines variantes d’usurpation de PDG dépassant les 100 000 €. Ces attaques s’exécutent généralement en 1 à 7 jours, combinant tactiques d’urgence et manipulation émotionnelle. Ce qui rend le phishing par IA particulièrement dangereux, c’est qu’il contourne de nombreuses mesures de sécurité traditionnelles : il passe les contrôles d’authentification des e-mails en imitant des structures de domaine légitimes, personnalise le contenu de manière à ne pas être reconnu comme spam, et crée des preuves deepfake quasi impossibles à contester.

Tactiques courantes Comment l'identifier Comment se protéger Cas réels Questions fréquentes Où signaler

Tactiques courantes

• L’IA analyse votre profil LinkedIn, votre historique Instagram et les métadonnées de vos e-mails pour identifier votre poste, le nom de votre manager, vos projets récents et vos habitudes de communication, puis génère un e-mail de phishing hyper-personnalisé faisant référence à des détails que seuls vos véritables collègues connaissent.
• Les escrocs utilisent la technologie vidéo deepfake pour créer des vidéos convaincantes de votre PDG, directeur des ressources humaines ou gestionnaire bancaire demandant des virements urgents ou des réinitialisations de mot de passe, avec des expressions faciales, des intonations et des décors de bureau extraits de vidéos publiques.
• L’IA de synthèse vocale reproduit les caractéristiques vocales exactes, l’accent et les intonations de contacts de confiance, permettant des attaques de phishing téléphonique où les victimes entendent une voix familière demandant des informations sensibles lors d’une « urgence » temporelle.
• Les modèles d’apprentissage automatique copient les modèles d’e-mails, la charte graphique, les avertissements de sécurité et les informations en pied de page des banques ou entreprises légitimes, incorporant même l’historique récent des transactions pour renforcer la crédibilité.
• Les chatbots IA engagent des conversations réalistes à plusieurs échanges avec les victimes, posant des questions ciblées pour instaurer la confiance et extraire progressivement des identifiants au lieu de faire des demandes suspectes évidentes en un seul message.
• Les escrocs utilisent l’IA pour générer de faux mais plausibles badges d’employés, cartes de sécurité et documents internes respectant les standards graphiques de votre organisation, rendant les revendications d’autorité fausses parfaitement crédibles.

Comment l'identifier

Vous recevez un e-mail de votre PDG ou manager demandant une action urgente (réinitialisation de mot de passe, virement bancaire, vérification d’identifiants) avec une charte graphique parfaite et des références précises à des projets, mais l’adresse e-mail réelle de l’expéditeur présente une différence subtile comme « c0m » au lieu de « com » ou un domaine similaire.
Un appel vidéo ou un message enregistré d’un contact de confiance semble légèrement décalé dans le timing ou la synchronisation labiale, avec des pauses non naturelles, des mouvements oculaires robotiques ou des incohérences d’éclairage inhabituelles qui ne correspondent pas à leur environnement habituel.
Vous recevez un appel téléphonique d’une personne prétendant appartenir au service fraude de votre banque, utilisant votre vrai numéro de compte et des détails de transactions récentes, mais qui demande des informations sensibles que votre vraie banque ne vous demanderait jamais.
Un e-mail d’un contact interne IT ou RH utilise la mise en forme exacte et le logo de votre entreprise mais vous demande de cliquer sur un lien pour « vérifier votre compte » ou « confirmer votre identité », surtout s’il crée une urgence artificielle autour d’un incident de sécurité inexistant.
Vous remarquez lors d’appels vidéo que l’arrière-plan, les vêtements ou l’environnement de la personne correspondent exactement aux informations publiques de son profil LinkedIn ou site web de l’entreprise, donnant une impression presque mise en scène ou générée par ordinateur.
Une conversation par messages montre un échange naturel mais trop parfait — faisant référence à vos événements récents avec une précision inhabituelle, utilisant des blagues internes au bon moment, ou anticipant vos objections avant même que vous ne les exprimiez.

Comment se protéger

Mettez en place une authentification multifactorielle (MFA) sur tous vos comptes e-mail, bancaires et financiers en utilisant des applications d’authentification plutôt que des codes SMS, plus faciles à intercepter lors d’attaques alimentées par l’IA.
Établissez un protocole de vérification hors bande : lorsque vous recevez des demandes urgentes d’exécutifs ou d’institutions financières, rappelez toujours en utilisant un numéro trouvé indépendamment (pas celui fourni dans l’e-mail), et ne cliquez jamais sur les liens ni ne composez les numéros fournis dans des messages suspects.
Utilisez des outils de vérification d’images et vidéos inversées comme Google Lens ou des logiciels spécialisés de détection de deepfake pour analyser les vidéos suspectes avant d’en accepter l’authenticité — recherchez des artefacts d’IA tels que texture de peau non naturelle, mouvements oculaires, ou anomalies en arrière-plan.
Formez-vous à reconnaître les schémas d’ingénierie sociale en prenant au moins 10 minutes de pause avant de répondre à des demandes urgentes évoquant des urgences, des pannes système ou des actions immédiates — les institutions légitimes attendront une vérification appropriée.
Configurez les standards d’authentification des e-mails (SPF, DKIM, DMARC) sur les domaines de votre entreprise et activez les indicateurs stricts dans votre client mail qui signalent les messages non authentifiés ou usurpés, puis signalez immédiatement toute tentative de phishing authentifiée à votre équipe de sécurité informatique.
Créez une clé de vérification personnelle ou une question de sécurité avec vos contacts de confiance (famille, collègues proches, conseillers financiers) que vous établissez à l’avance — lorsque vous recevez des demandes urgentes, demandez-leur de fournir la réponse à cette question préétablie avant de poursuivre.

Cas réels

Un ingénieur logiciel reçoit un e-mail semblant provenir de son CTO demandant une réinitialisation immédiate du mot de passe suite à un « incident de sécurité critique ». L’e-mail inclut le logo exact de son entreprise, utilise des noms de projets internes précis et fait référence à une vraie fuite affectant un de leurs fournisseurs. L’ingénieur clique sur le lien et saisit ses identifiants sur une page de connexion quasi identique. En quelques heures, les escrocs accèdent au dépôt de code source de l’entreprise et extorquent 50 000 €.

Un directeur financier reçoit un appel vidéo d’une personne semblant être le PDG de son entreprise demandant un virement urgent de 85 000 € pour « finaliser une acquisition » avant l’ouverture des marchés. Le « PDG » présente une reconnaissance faciale parfaite, porte un costume assorti et un décor de bureau crédible, et cite des membres spécifiques du conseil d’administration. Le directeur financier approuve le virement via les canaux bancaires habituels avant de réaliser que le vrai PDG se trouvait dans un fuseau horaire différent et ignorait totalement cette opération.

Une responsable RH reçoit une série de conversations textuelles apparemment naturelles de son supérieur lui demandant de traiter une demande de prêt d’urgence d’un employé et d’accélérer un virement de 7 500 €. La conversation inclut des références partagées aux récents défis de l’entreprise et mentionne même la récente promotion d’une connaissance commune. La responsable traite la demande, pour découvrir que l’employé victime avait reçu une attaque de phishing IA identique lui demandant de soumettre ses coordonnées bancaires pour « traiter » un faux prêt.

Questions fréquentes

Comment savoir si un appel vidéo est un deepfake alors que la personne semble complètement réelle ?

Les deepfakes présentent souvent des artefacts subtils : clignements non naturels, synchronisation labiale décalée sur les angles latéraux, texture de peau trop lisse ou plastique, éclairage incohérent entre le visage et l’arrière-plan, ou transitions brusques lors de mouvements rapides de tête. Utilisez des logiciels dédiés à la détection de deepfake comme Microsoft Video Authenticator, qui analyse les empreintes numériques dans les fichiers vidéo. Surtout, si quelqu’un vous appelle avec une demande urgente, raccrochez et rappelez-le à un numéro connu — aucune vidéo IA ne peut intercepter un appel sortant depuis votre téléphone.

Où signaler — France

Canaux officiels de votre région pour signaler cette escroquerie.

Cybermalveillance.gouv.fr

Cybercriminalité

Plateforme officielle d'assistance aux victimes d'actes de cybermalveillance.

Visiter →

Pharos (signalement)

Signalement

Signalement officiel des contenus et comportements illicites en ligne.

Visiter →

Info Escroqueries

Numéro vert

Numéro vert national pour les victimes d'escroqueries (du lundi au vendredi).

0805 805 817

DGCCRF SignalConso

Protection des consommateurs

Signalement des problèmes rencontrés avec une entreprise.

Visiter →

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), hameçonnage alimenté par l’ia : comment les escrocs utilisent l’ia pour vous cibler is described at https://scamlens.org/fr/encyclopedia/ai-powered-phishing.

https://scamlens.org/fr/encyclopedia/ai-powered-phishing

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API

Hameçonnage alimenté par l’IA : comment les escrocs utilisent l’IA pour vous cibler

Tactiques courantes

Comment l'identifier

Comment se protéger

Cas réels

Questions fréquentes

Où signaler — France

Cybermalveillance.gouv.fr

Pharos (signalement)

Info Escroqueries

DGCCRF SignalConso

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide