Partager
Imprimer
Télécharger

Larry Zelvin octobre 22, 2025 Style de vie

The explosive growth of artificial intelligence is not only fueling stock markets, but also turbocharging cybercrime, which had already been surging higher.

In 2024, the U.S. Federal Bureau of Investigation recorded almost 860,000 complaints of suspected cyber crime, resulting in estimated losses of US$16 billion, a 33% jump since 2023. North of the border, Canadians lost $638 million to fraud in 2024, and more than $2 billion since 2021.

Larry Zelvin, Executive Vice President and Head of Financial Crimes Unit at BMO Financial Group, has been tracking cybercrime for most of his career, including for the White House, the U.S. Department of Homeland Security and the Pentagon. Here are some of the trends he’s watching:

Are there any industries or groups that are more likely to be targeted by fraud?

Today, most of us have experienced some type of fraud, whether it’s on mobile devices or emails. But certain industries are more prone to fraud than others. For instance, financial service companies are targeted because they handle large sums of money, which is what fraudsters are after.

The healthcare and education industries are big targets as they hold critical, valuable information and continue to scale up their security posture. Industries with less developed security controls in place are the areas fraudsters are more likely to exploit.

What about individuals? Are high-net-worth families at greater risk to fraud?

High-net-worth and ultra-high-net-worth individuals are more attuned to spotting fraud, because they are heavily targeted. They also have resources that keep them informed of the latest trends and threat tactics. The most important thing is to be current on the emerging threats, because the threat landscape is changing almost by the millisecond.

How has the threat landscape evolved in the past year?

AI has been a game changer. It has not only lowered the bar for learning how to commit fraud, but it also allows fraudsters to do it at scale and with a higher degree of sophistication. It’s not hard to generate highly sophisticated, highly convincing emails and send them to people. Today, fraudsters are also using videos and phone calls (known as deepfakes) where someone can look and sound like an individual you trust such as a friend, family member or executive at your company – but it’s AI.

How can someone figure out if they are interacting with AI?

There are little signs that can help you identify if you’re interacting with an AI video. For instance, if AI says complex words like “supercalifragilisticexpialidocious,” the mouth movement may not seem natural. If someone is using AI to mask their identity – changing their voice and appearance in real time – ask the person to wave their hand across their face, as some weaker AI can’t keep up with the movement. Or you can ask a silly question, like “Hey, isn’t it great when you eat something really sour?” You and I would wonder what that person is talking about; we’d be confused. A natural human response would be “Excuse me?” to get clarification but AI might respond, “Yes, that is very good. I like it too.”

What are the first steps a business or individual can take if they’ve been a victim of cyber fraud?

The first thing to consider is whether there was a financial loss or not. If there was no financial loss, cease and desist and report it to the appropriate authorities. In Canada, it’s the Canadian Anti-Fraud Centre, jointly managed by the Royal Canadian Mounted Police, the Competition Bureau Canada, and the Ontario Provincial Police. In the United States, it’s the Federal Trade Commission. You may also want to talk to the local police. If there was a financial loss, go to your financial institution.

Time is of the essence. The sooner you report, the higher the probability of recovery. It’s not a guarantee, but the probability goes way up. Look across your other accounts to make sure that the fraud is not deeper than you thought. If you’re part of a business, get the word out so people are aware and can take precautions.

Raising awareness is essential, but people may be shy to admit they’ve clicked a suspicious link or opened a risky attachment. How do we foster a culture where people feel safe to speak up?

You have to understand that people are going to make mistakes. A lot of elderly and adolescents won’t report because they fear embarrassment or blame. Employees will feel the same way. I’ve worked in security my entire career and I will tell you that there are people who won’t speak up, even though they’re not guilty of anything, just because they’re afraid. We need to be more understanding of the complexity of these crimes and forgiving when the people we love are impacted.

How much should someone invest in cybersecurity?

You have to assess your own risk. Should you devote an hour of your day, every day, to thinking about fraud and security? No. But you have to do it on a periodic basis. If you’re a business or a family office, you should have experts come in and review your program and how you’re preparing and let them offer counsel.

If that bad day happens, even if that happens late at night or on the weekend, you should know who you are going to call, what you’re going to ask them to do, and what information they need.

QR code manipulation has been a type of fraud you’ve been talking about this year. What does that look like?

QR codes are an emerging threat – they are everywhere, and many assume they are safe. However, we should all be aware of the risks. By clicking on a fraudulent QR code, you could download malware that you may never see, and now all of a sudden, it’s copying and stealing all your information. That is one risk.

The second risk is that it will take you to a website. Let’s say you’re going to buy shoes and you get offered a 10% discount if you use a QR code, which is fraudulent. You end up going to a site created by fraudsters that can now look realistic with AI. But when you go to pay, you’re actually giving them your credit card information and they steal it.

You’ve got to be careful – emails and links are more prolific now than attachments, but attachments are still a threat you need to watch out for.

What’s the one piece of advice you give to everyone to lower their risk of fraud?

You have to understand how to slow down. If something seems suspicious, stop. There’s an old expression, if you see something, say something. It’s simple, but it stopped terrorist attacks; it made people safer. Another one said, stop, think, connect. It hasn’t quite resonated, but it really still holds true.

If you want to know more about the latest trends and ways you can help protect yourself or your business from cybercrime, visit our website at BMO.com/security.

L’intelligence artificielle rend plus difficile la détection de la cybercriminalité

Par : Larry Zelvin

Style de vie octobre 22, 2025

La croissance exponentielle de l’intelligence artificielle (IA) alimente non seulement les marchés boursiers, mais aussi la cybercriminalité, qui avait déjà augmenté.

En 2024, le Federal Bureau of Investigation des États-Unis a enregistré près de 860 000 plaintes liées à des soupçons de cybercriminalité, ce qui s’est traduit par des pertes estimées à 16 milliards de dollars américains, soit une hausse de 33 % depuis 2023. Au nord de la frontière, les Canadiens ont perdu 638 millions de dollars à cause de la fraude en 2024, et plus de 2 milliards de dollars depuis 2021.

Larry Zelvin, vice-président à la direction et chef, Unité Crime financier à BMO Groupe financier, a passé la majeure partie de sa carrière à suivre l’évolution de la cybercriminalité, y compris pour la Maison-Blanche, le département de la Sécurité intérieure des États-Unis et le Pentagone. Voici quelques-unes des tendances qu’il observe :

Y a-t-il des secteurs ou des groupes qui sont plus susceptibles d’être ciblés par la fraude?

Aujourd’hui, la plupart d’entre nous ont été exposés d’un certain type de fraude, que ce soit sur des appareils mobiles ou par courriel. Mais certains secteurs sont plus susceptibles à la fraude que d’autres. Par exemple, les entreprises de services financiers sont ciblées parce qu’elles gèrent de grandes sommes d’argent, ce que les fraudeurs recherchent.

Les secteurs des soins de santé et de l’éducation sont de grandes cibles, car ils détiennent des renseignements essentiels et précieux et continuent à renforcer leur position en matière de sécurité. Les secteurs où les contrôles de sécurité sont moins élaborés sont les secteurs que les fraudeurs sont plus susceptibles d’exploiter.

Qu’en est-il des particuliers? Les familles à valeur nette élevée sont-elles plus à risque de fraude?

Les personnes à valeur nette élevée et très élevée sont plus attentives à repérer les fraudes, car elles sont fortement ciblées. Elles disposent également de ressources qui les tiennent au courant des tendances et des tactiques de menace les plus récentes. Le plus important est de se tenir au courant des menaces émergentes, car le contexte des menaces évolue presque à chaque milliseconde.

Comment le contexte des menaces a-t-il évolué au cours de la dernière année?

L’IA a tout changé. Cette technologie a non seulement rendu plus facile d’apprendre à commettre une fraude, mais elle permet également aux fraudeurs de le faire à grande échelle et avec un degré de sophistication plus élevé. Il n’est pas difficile de générer des courriels très sophistiqués et très convaincants et de les envoyer aux gens. Aujourd’hui, les fraudeurs utilisent également des vidéos et des appels (appelés hypertrucages) où quelqu’un peut ressembler à une personne en qui vous avez confiance, comme un ami, un membre de votre famille ou un dirigeant de votre entreprise, alors qu’il s’agit d’une création de IA.

Comment une personne peut-elle déterminer si elle interagit avec de l’IA?

De petits signes peuvent vous aider à déterminer si vous interagissez avec une vidéo générée par IA. Par exemple, si l’IA utilise des termes complexes comme « supercalifragilisticexpialidocious », le mouvement de la bouche peut ne pas sembler naturel. Si une personne utilise l’IA pour masquer son identité – en changeant sa voix et son apparence en temps réel – demandez-lui de passer sa main devant son visage, car les formes d’IA plus faibles ne peuvent pas suivre le mouvement. Ou vous pouvez poser une question ridicule, comme : « C’est pas trop bien de manger quelque chose de super acidulé? ». Vous et moi nous demanderions de quoi cette personne parle; nous serions confus. Une réponse naturelle de l’être humain pour obtenir des précisions serait : « Pardon? ». L’IA pourrait répondre : « Oui, c’est génial. J’aime ça aussi. »

Quelles sont les premières mesures qu’une entreprise ou une personne peut prendre si elle a été victime de cyberfraude?

La première chose à prendre en considération est de savoir s’il y a eu une perte financière ou non. S’il n’y a pas eu de perte financière, cessez toute communication, puis signalez l’incident aux autorités compétentes. Au Canada, il s’agit du Centre antifraude du Canada, géré conjointement par la Gendarmerie royale du Canada, le Bureau de la concurrence du Canada et la Sûreté provinciale de l’Ontario. Aux États-Unis, il s’agit de la Federal Trade Commission. Vous voudrez peut-être également communiquer avec la police locale. S’il y a eu une perte financière, adressez-vous à votre institution financière.

Le temps est précieux. Plus vous signalez l’incident tôt, plus la probabilité de recouvrement est élevée. Ce n’est pas une garantie, mais la probabilité augmente considérablement. Examinez vos autres comptes pour vous assurer que la fraude n’est pas plus importante que vous ne le pensiez. Si vous faites partie d’une entreprise, passez le mot afin que les gens soient au courant et puissent prendre des précautions.

Il est essentiel de faire de la sensibilisation, mais les gens peuvent avoir peur d’admettre qu’ils ont cliqué sur un lien suspect ou ouvert une pièce jointe risquée. Comment favoriser une culture où les gens se sentent à l’aise de faire des signalements?

Vous devez comprendre que les gens vont faire des erreurs. Beaucoup de personnes âgées et d’adolescents ne signalent pas ce genre de situations parce qu’ils craignent l’embarras ou le blâme. C’est pareil pour les employés. J’ai travaillé dans le domaine de la sécurité pendant toute ma carrière et je peux vous dire que certaines personnes ne veulent pas parler, même si elles ne sont pas coupables de quoi que ce soit, simplement parce qu’elles ont peur. Nous devons mieux comprendre la complexité de ces crimes et pardonner lorsque les personnes que nous aimons sont touchées.

Quel montant une personne devrait-elle investir dans la cybersécurité?

Vous devez évaluer vos propres risques. Est-ce qu’il faut consacrer une heure de votre journée, chaque jour, à penser à la fraude et à la sécurité? Non. Mais vous devez le faire périodiquement. Si vous êtes une entreprise ou un bureau de gestion familiale, vous devriez demander à des experts de passer en revue votre programme et la façon dont vous vous préparez, puis les laisser vous offrir des conseils.

Si un événement fâcheux se produit, même s’il se produit tard le soir ou la fin de semaine, vous devriez savoir qui vous allez appeler, ce que vous allez lui demander de faire et les renseignements dont il a besoin.

La manipulation des codes QR est un type de fraude dont vous avez parlé cette année. À quoi est-ce que ça ressemble?

Les codes QR sont une menace émergente – ils sont partout, et bon nombre supposent qu’ils sont sûrs. Toutefois, nous devons tous être conscients des risques. En cliquant sur un code QR frauduleux, vous pourriez télécharger un logiciel malveillant que vous ne verrez peut-être jamais, et soudainement, il copie et vole tous vos renseignements. C’est le premier risque.

Le deuxième risque est que le code QR vous amène sur un site Web. Supposons que vous achetez des chaussures et qu’on vous offre un rabais de 10 % si vous utilisez un code QR, qui est frauduleux. Vous vous retrouvez sur un site créé par des fraudeurs qui peut maintenant sembler réaliste grâce à l’IA. Lorsque vous procédez au paiement, vous leur donnez les renseignements sur votre carte de crédit et ils les volent.

Vous devez faire preuve de prudence – les courriels et les liens sont plus prolifiques maintenant que les pièces jointes, mais les pièces jointes demeurent une menace à surveiller.

Quel conseil donnez-vous à tout le monde pour réduire le risque de fraude?

Vous devez comprendre comment ralentir. Si quelque chose semble suspect, arrêtez-vous. Il y a une vieille expression : si vous voyez quelque chose, dites quelque chose. C’est simple, mais cela a permis d’arrêter des attaques terroristes et de rendre les gens plus en sécurité. Une autre expression nous demande de nous arrêter, de réfléchir et de communiquer. Cela n’a pas tout à fait trouvé écho, mais c’est tout de même vrai.

Si vous souhaitez en savoir plus sur les dernières tendances et les façons dont vous pouvez vous protéger ou protéger votre entreprise contre la cybercriminalité, consultez notre site Web à l’adresse BMO.com/securite.

Larry Zelvin Chef, Unité Crime financier – équipes Cybersécurité, Gestion du risque de fraude, Sécurité physique et Gestion de crise, BMO Groupe financier

Larry Zelvin est chef, Unité Crime financier à BMO Groupe financier, où il est responsable de l’ensemble de la cybersécu…

VOIR LE PROFIL

Larry Zelvin Chef, Unité Crime financier – équipes Cybersécurité, Gestion du risque de fraude, Sécurité physique et Gestion de crise, BMO Groupe financier

VOIR LE PROFIL