Getty Images/iStockphoto
L’IA générative rend les opérations de phishing plus dangereuses
Les cybercriminels utilisent des chatbots IA tels que ChatGPT pour lancer des attaques de compromission sophistiquées des emails professionnels. Les praticiens de la cybersécurité doivent combattre le feu par le feu.
Alors que la popularité de l’IA croît et que son utilisabilité s’élargit, grâce au modèle d’amélioration continue de l’IA générative, elle devient également plus intégrée dans l’arsenal des acteurs malveillants.
Pour atténuer le risque présenté par les opérations de phishing dopées à l’IA, les praticiens de la cybersécurité doivent à la fois comprendre comment les cybercriminels utilisent cette technologie et adopter l’IA et l’apprentissage automatique à des fins défensives.
Le phishing dopé à l’IA
Du côté des attaquants, l’IA générative augmente l’efficacité et l’impact d’une variété de menaces et d’escroqueries par phishing. Considérez les éléments suivants.
Phishing généraliste
L’IA générative peut rendre les opérations de phishing traditionnelles – via des emails, des messages directs et des sites web frauduleux – plus réalistes en éliminant les fautes d’orthographe et de grammaire et en adoptant des styles d’écriture professionnellement convaincants.
Les grands modèles de langage (LLMs) peuvent également absorber des informations en temps réel provenant de médias, de sites web d’entreprises et d’autres sources. L’intégration de détails actuels dans les emails de phishing pourrait à la fois rendre les messages plus crédibles et générer un sentiment d’urgence qui pousse les cibles à agir.
Enfin, les chatbots IA peuvent créer et diffuser des campagnes de compromission des emails professionnels (BEC) et d’autres opérations de phishing à un rythme beaucoup plus rapide que les humains, élargissant ainsi le périmètre concerné.
Hameçonnage ciblé
Les opérations d’hameçonnage ciblé, ou spear phishing, utilisent l’ingénierie sociale pour cibler des individus spécifiques avec des informations glanées sur les réseaux sociaux, les violations de données et d’autres sources. Les emails de spear phishing générés par IA sont souvent très convaincants et susceptibles de tromper les destinataires.
Par exemple, lors de Black Hat USA 2021, l’Agence de technologie du gouvernement de Singapour a présenté les résultats d’une expérience, dans le cadre de laquelle l’équipe de sécurité a envoyé des emails de spear phishing simulés à des utilisateurs internes. Certains étaient rédigés par des humains et d’autres étaient générés par la technologie GPT-3 d’OpenAI. Plus de personnes ont cliqué sur les liens dans les emails de phishing générés par IA que dans ceux rédigés par des humains, et ce, de manière significative.
Aujourd’hui, alors que la technologie LLM est plus largement disponible et de plus en plus sophistiquée, l’IA générative peut – en quelques secondes – collecter et organiser des informations sensibles sur une organisation ou un individu et les utiliser pour créer des messages hautement ciblés et convaincants, voire des appels téléphoniques et des vidéos deepfake.
Vishing
Le vishing, ou phishing vocal, s’appuie sur des appels téléphoniques ou des messages vocaux pour tromper les personnes afin qu’elles partagent des informations sensibles. Comme pour les autres types de phishing, les opérations de vishing tentent généralement de créer un sentiment d’urgence, peut-être en faisant référence à une échéance importante ou à un problème client critique.
Dans une escroquerie de vishing traditionnelle, le cybercriminel collecte des informations sur une cible et passe un appel ou laisse un message prétendant être un contact de confiance. Par exemple, une attaque massive de ransomware contre MGM Resorts aurait commencé lorsqu’un attaquant a appelé le service informatique et a prétendu être un employé de MGM. Le pirate a réussi à tromper l’équipe informatique pour réinitialiser le mot de passe de l’employé, donnant ainsi aux attaquants un accès au réseau.
L’IA générative change les attaques de vishing de deux manières :
- Comme mentionné précédemment, l’IA peut rendre la phase de recherche plus efficace pour les attaquants. Un LLM tel que GPT-4o peut collecter des informations à des fins d’ingénierie sociale à travers le web, presque instantanément.
- Les attaquants peuvent également utiliser l’IA générative pour cloner la voix d’un contact de confiance et créer des deepfakes audio. Imaginez, par exemple, qu’un employé reçoive un message vocal de quelqu’un qui semble être le directeur financier, demandant un virement bancaire urgent.
Comment se défendre contre le phishing dopé à l’IA
Il est clair que l’IA générative compliquera la vie des praticiens de la cybersécurité et des utilisateurs finaux. Mais les outils d’IA peuvent également renforcer les défenses de multiples manières.
Détecter le phishing dopé à L’IA
On dit qu’il faut un semblable pour en reconnaître un autre, et, sans surprise, les outils d’IA sont particulièrement adaptés pour détecter les tentatives de phishing alimentées par l’IA. Pour cette raison, les responsables de la sécurité devraient envisager de déployer l’IA générative à des fins de sécurité des emails.
Cependant, les DSI doivent également prendre en compte les coûts opérationnels. Bien que l’utilisation d’un modèle d’IA pour surveiller tous les messages entrants puisse grandement contribuer à prévenir le phishing dopé à l’IA, le coût pourrait s’avérer prohibitif.
À l’avenir, cependant, les modèles deviendront probablement plus efficaces et rentables, à mesure qu’ils seront de plus en plus personnalisés – construits sur des ensembles de données plus petits axés sur des industries, des démographies, des lieux spécifiques, etc.
L’émergence des PC infusés à l’IA – et son intégration dans un nombre croissant d’appareils numériques personnels ouvre également de nouvelles perspectives de lutte contre l’hameçonnage au plus près de l’utilisateur.
Formation des utilisateurs finaux
Les modèles d’IA générative peuvent rendre la formation de sensibilisation à la sécurité beaucoup plus personnalisée, efficace et efficiente.
Par exemple, un chatbot IA pourrait adapter automatiquement un programme de formation en fonction des points faibles de chaque utilisateur, basés sur des données de performance historiques ou en temps réel.
De plus, la technologie pourrait identifier le mode d’apprentissage qui convient le mieux à chaque employé – en personne, audio, interactif, vidéo, etc. – et présenter le contenu en conséquence. En maximisant l’efficacité de la formation de sensibilisation à la sécurité à un niveau granulaire, l’IA générative pourrait réduire de manière significative le risque cybernétique global.
Défenses contextualisées
Les outils d’IA et d’apprentissage automatique peuvent rapidement collecter et traiter une vaste gamme de renseignements sur les menaces pour prédire et prévenir les attaques futures et détecter les menaces actives. Par exemple, l’IA pourrait analyser des incidents historiques et en cours dans diverses organisations, en se basant sur les caractéristiques suivantes :
- Types de cyberattaques.
- Régions géographiques ciblées.
- Secteurs d’activité visés.
- Divisions ciblées.
- Types d’employés ciblés.
En utilisant ces informations, l’IA générative pourrait identifier quels types d’attaques une organisation donnée est la plus susceptible de rencontrer, puis former automatiquement les outils de sécurité en conséquence. Par exemple, l’IA pourrait signaler des signatures de malware particulières pour un moteur antivirus, mettre à jour la liste de blocage d’un pare-feu ou déclencher des méthodes d’authentification additionnelles pour les tentatives d’accès à haut risque. C’est d’ailleurs l’objet de l’authentification à facteurs multiples (MFA) adaptative.
L’IA générative change indéniablement notre monde connecté à un rythme effréné. Les responsables de la sécurité doivent être conscients de la manière dont les acteurs malveillants utilisent l’IA et les technologies d’apprentissage automatique, et combattre le feu par le feu – en utilisant la même technologie pour renforcer le modèle de défense.