Alors que la popularité de l’IA croît et que son utilisabilité s’élargit, grâce au modèle d’amélioration continue de l’IA générative, elle devient également plus intégrée dans l’arsenal des acteurs malveillants.

Pour atténuer le risque présenté par les opérations de phishing dopées à l’IA, les praticiens de la cybersécurité doivent à la fois comprendre comment les cybercriminels utilisent cette technologie et adopter l’IA et l’apprentissage automatique à des fins défensives.

Le phishing dopé à l’IA

Du côté des attaquants, l’IA générative augmente l’efficacité et l’impact d’une variété de menaces et d’escroqueries par phishing. Considérez les éléments suivants.

Phishing généraliste

L’IA générative peut rendre les opérations de phishing traditionnelles – via des emails, des messages directs et des sites web frauduleux – plus réalistes en éliminant les fautes d’orthographe et de grammaire et en adoptant des styles d’écriture professionnellement convaincants.

Les grands modèles de langage (LLMs) peuvent également absorber des informations en temps réel provenant de médias, de sites web d’entreprises et d’autres sources. L’intégration de détails actuels dans les emails de phishing pourrait à la fois rendre les messages plus crédibles et générer un sentiment d’urgence qui pousse les cibles à agir.

Enfin, les chatbots IA peuvent créer et diffuser des campagnes de compromission des emails professionnels (BEC) et d’autres opérations de phishing à un rythme beaucoup plus rapide que les humains, élargissant ainsi le périmètre concerné.

Hameçonnage ciblé

Les opérations d’hameçonnage ciblé, ou spear phishing, utilisent l’ingénierie sociale pour cibler des individus spécifiques avec des informations glanées sur les réseaux sociaux, les violations de données et d’autres sources. Les emails de spear phishing générés par IA sont souvent très convaincants et susceptibles de tromper les destinataires.

Par exemple, lors de Black Hat USA 2021, l’Agence de technologie du gouvernement de Singapour a présenté les résultats d’une expérience, dans le cadre de laquelle l’équipe de sécurité a envoyé des emails de spear phishing simulés à des utilisateurs internes. Certains étaient rédigés par des humains et d’autres étaient générés par la technologie GPT-3 d’OpenAI. Plus de personnes ont cliqué sur les liens dans les emails de phishing générés par IA que dans ceux rédigés par des humains, et ce, de manière significative.

Aujourd’hui, alors que la technologie LLM est plus largement disponible et de plus en plus sophistiquée, l’IA générative peut – en quelques secondes – collecter et organiser des informations sensibles sur une organisation ou un individu et les utiliser pour créer des messages hautement ciblés et convaincants, voire des appels téléphoniques et des vidéos deepfake.

Vishing

Le vishing, ou phishing vocal, s’appuie sur des appels téléphoniques ou des messages vocaux pour tromper les personnes afin qu’elles partagent des informations sensibles. Comme pour les autres types de phishing, les opérations de vishing tentent généralement de créer un sentiment d’urgence, peut-être en faisant référence à une échéance importante ou à un problème client critique.

Dans une escroquerie de vishing traditionnelle, le cybercriminel collecte des informations sur une cible et passe un appel ou laisse un message prétendant être un contact de confiance. Par exemple, une attaque massive de ransomware contre MGM Resorts aurait commencé lorsqu’un attaquant a appelé le service informatique et a prétendu être un employé de MGM. Le pirate a réussi à tromper l’équipe informatique pour réinitialiser le mot de passe de l’employé, donnant ainsi aux attaquants un accès au réseau.

L’IA générative change les attaques de vishing de deux manières :

Comme mentionné précédemment, l’IA peut rendre la phase de recherche plus efficace pour les attaquants. Un LLM tel que GPT-4o peut collecter des informations à des fins d’ingénierie sociale à travers le web, presque instantanément. Les attaquants peuvent également utiliser l’IA générative pour cloner la voix d’un contact de confiance et créer des deepfakes audio. Imaginez, par exemple, qu’un employé reçoive un message vocal de quelqu’un qui semble être le directeur financier, demandant un virement bancaire urgent.