Qu'est-ce que le phishing basé sur l'IA et comment les LLM augmentent les risques de phishing
- Principaux plats à emporter:
-
Qu’est-ce que le phishing basé sur l’IA ?
Il s’agit d’une méthode de cyberattaque dans laquelle des outils d’IA générative sont utilisés pour créer des e-mails de phishing hyperréalistes et personnalisés. -
Comment l’IA améliore-t-elle l’efficacité du phishing ?
En générant des messages grammaticalement corrects, contextualisés et convaincants à grande échelle. -
Pourquoi les attaques générées par l’IA sont-elles plus difficiles à détecter ?
Ils échappent aux techniques traditionnelles de recherche de motifs en variant la structure, le ton et le vocabulaire. -
Quels sont les risques potentiels pour les organisations ?
Augmentation des taux de clics, compromission des informations d'identification et mouvement latéral à partir d'une seule violation. -
Quelles stratégies de détection sont efficaces contre le phishing par IA ?
Analyse basée sur le comportement, corrélation inter-canaux et surveillance de l'activité des utilisateurs. -
Comment Stellar Cyber aide-t-il à détecter le phishing basé sur l'IA ?
En corrélant les indicateurs de phishing à travers les couches email, terminal et réseau au sein de son Open XDR
Comment l'IA et l'apprentissage automatique améliorent la cybersécurité des entreprises
Relier tous les points dans un paysage de menaces complexe
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour une détection et une réponse instantanées aux menaces. Planifiez votre démo dès aujourd'hui !
Préparer le terrain pour le phishing par l'IA : les taux de clics sont déterminés par deux leviers
Les attaques de phishing – comme de nombreuses attaques en matière de cybersécurité – ont une durée de vie circulaire. Un certain style d'attaque de phishing devient particulièrement populaire et réussi, il est porté à l'attention du personnel de sécurité et les employés sont formés à ses particularités. Et pourtant, il n'y a pas de conclusion satisfaisante : contrairement à un correctif logiciel, les employés se font toujours prendre au dépourvu, souvent malgré des années d'expérience et de formation en matière de phishing.
Lorsque l’on tente d’approfondir les choses, l’option la plus populaire pour évaluer le niveau de préparation d’une organisation au phishing est le taux de clics global. Cela fournit un simple aperçu de qui est tombé dans le piège du faux e-mail de phishing créé en interne. Cependant, cette métrique est obstinément variable. Et lorsque les RSSI cherchent la preuve que leur formation au phishing, qui nécessite beaucoup de temps et de ressources, fonctionne, les responsables de l'évaluation peuvent même être tentés de réduire la complexité de ces simulations d'attaques de phishing, en recherchant un taux de clics plus faible, cannibalisant ainsi indirectement la position globale de sécurité de l'organisation.
En 2020, les chercheuses Michelle Steves, Kristen Greene et Mary Theofanos ont finalement réussi à classer ces tests infiniment variables dans une seule échelle de phishing (PDF). Ce faisant, ils ont identifié que la « difficulté » d’un e-mail de phishing se limite à deux qualités clés :
- Les indices contenus dans le message ; autrement connu sous le nom de « crochets », ou caractéristiques du formatage ou du style d'un message qui pourraient faire passer sa couverture comme malveillante.
- Le contexte de l'utilisateur.
En général, moins d'indices conduisaient à des taux de clics plus élevés, tout comme l'adéquation de l'e-mail au contexte propre à l'utilisateur. Pour faire la lumière sur l'échelle, l'exemple suivant correspond à une formule de 30 points d'alignement personnel sur 32 possibles :
En tant qu'organisation, le NIST accorde une grande importance à la sécurité, et cela est particulièrement vrai au sein des responsables de laboratoire et des équipes informatiques. Pour en tirer parti, un e-mail test a été créé à partir d'une adresse Gmail usurpée prétendant appartenir à l'un des directeurs du NIST. La ligne d'objet indiquait « VEUILLEZ LIRE CECI » ; le corps a salué le destinataire par son prénom et a déclaré : « Je vous encourage fortement à lire ceci. » La ligne suivante était une URL, avec le texte « Exigences de sécurité ». Il se terminait par une simple signature du (supposé) directeur.
Cet e-mail – et d'autres axés sur des exigences de sécurité hyper alignées – ont enregistré des taux de clics moyens de 49.3 %. Même dans le cadre d'attaques d'une seule ligne, incroyablement courtes, ce sont les indices du message et l'alignement personnel qui dictent son efficacité.
Comment le phishing par IA dynamise les deux leviers
Les signaux constituent la majorité des formations sur le phishing des employés, car ils offrent au destinataire un moyen de jeter un œil derrière le rideau d'une attaque avant qu'elle ne se produise. Les erreurs d’orthographe et de grammaire sont au premier plan : cette préoccupation est si répandue que beaucoup pensent que les erreurs d’orthographe sont délibérément ajoutées aux e-mails de phishing, afin d’identifier les personnes vulnérables.
Bien que ce soit une bonne idée, cette approche rend la grande majorité des personnes encore plus vulnérables aux attaques de phishing. Tout ce que les attaquants doivent faire maintenant est de protéger la grammaire et le formatage du message pour obtenir juste assez de plausibilité en une lecture rapide. Les LLM sont l’outil parfait pour cela, offrant gratuitement une maîtrise de niveau natif.
Et en éliminant les qualités les plus évidentes d’un e-mail de phishing, les attaquants sont libres de commencer à prendre le dessus. L'étude de Steves et al. reconnaît que – ce qui est plus important que les signaux – est la façon dont une attaque s'aligne sur les propres prémisses du destinataire. C'est dans ce domaine que les LLM excellent.
Les LLM incroyablement efficaces contre les violations de la vie privée
L'alignement personnel s'obtient en connaissant votre cible ; C'est pourquoi les attaques de phishing sur facture échouent dans presque tous les départements, à l'exception des finances. Cependant, il est peu probable que les attaquants étudient leurs victimes pendant des mois dans la nature ; leur motivation incessante pour le profit impose que les attaques soient efficaces.
Heureusement pour eux, les LLM sont capables de mener des campagnes de collecte de données et d’inférence à grande échelle pour un coût quasiment nul. UN Étude 2024 de Robin Staab et al (PDF) a été le premier à étudier dans quelle mesure les LLM pré-formés peuvent déduire des informations personnelles à partir d'un texte. Une sélection de 520 profils Reddit pseudonymisés ont été récupérés pour leurs messages et examinés une sélection de modèles pour voir quel âge, lieu, revenu, éducation et profession chaque commentateur était susceptible d'avoir.
Pour avoir une idée de la façon dont cela fonctionne, considérez un commentaire sur les déplacements domicile-travail : "Je... reste coincé en attendant un tour de crochet"
GPT-4 a pu capter le petit signal qu'est un « virage en crochet » – il s'agit d'une manœuvre de circulation particulièrement utilisée à Melbourne. D'autres commentaires dans des fils de discussion et des contextes complètement différents incluaient la mention du prix d'un « 34D » et une anecdote personnelle sur la façon dont ils regardaient Twin Peaks après leur retour du lycée. Collectivement, GPT a pu déduire correctement que l’utilisateur était une femme vivant à Melbourne, âgée de 45 à 50 ans.
En répétant le processus sur les 520 profils d'utilisateurs, les chercheurs ont découvert que GPT-4 pouvait déduire correctement le sexe et le lieu de naissance d'un internaute dans une proportion de 97 % et 92 % respectivement. Dans l'ombre de l'analyse de l'hameçonnage sur le lieu de travail réalisée dans l'étude précédente, la capacité des LLM à déduire des qualités personnelles approfondies à partir de publications sur les réseaux sociaux devient particulièrement alarmante lorsque l'on s'arrête et que l'on réfléchit à la quantité d'informations sur d'autres sites moins anonymes, comme LinkedIn.
Ce processus d'inférence, dans son ensemble, se déroule 240 fois plus vite que les données humaines qui permettraient de tirer les mêmes conclusions, et ce à une fraction du coût. Au-delà des spéculations, c'est ce dernier élément qui rend le phishing basé sur l'IA si puissant : le coût.
Les LLM dynamisent l'économie du phishing
Les bénéfices des campagnes de phishing à caractère humain ne sont pas limités par le nombre de personnes qui cliquent dessus ; ils sont gênés par la tâche exigeante en main-d'œuvre consistant à en rédiger de nouveaux ou des personnalisés. Les pirates de phishing étant majoritairement motivés par le gain financier, l’équilibre entre la personnalisation et l’envoi immédiat a permis de contrôler l’ampleur de certaines opérations.
Les LLM étant désormais capables de produire des masses de messages de phishing en quelques minutes seulement – tout en inférant des possibilités de personnalisation pour chaque victime – les boîtes à outils des attaquants n'ont jamais été aussi bien fournies.
Suivez le rythme de Stellar Cyber
La formation des employés prend du temps – et le rythme auquel évolue le phishing menace de mettre en danger des milliers d’entreprises. Pour gérer ce niveau de menace élevé, Stellar Cyber propose des défenses intégrées du réseau et des points finaux qui maintiennent les attaquants à l'écart, même s'ils se faufilent devant un employé.
La surveillance des terminaux permet une visibilité en temps réel sur le déploiement potentiel de logiciels malveillants, tandis que la protection du réseau permet de détecter et d'empêcher un attaquant de s'y implanter. Analyse du comportement des utilisateurs et des entités (UEBA) vous permet d'évaluer chaque action dans son contexte normal, vous aidant ainsi à repérer les signes d'une potentielle compromission de compte. Protégez votre équipe et empêchez les attaques grâce à Stellar Cyber est ouvert XDR.
