Nous sommes tous la cible : L'IA générative et l'automatisation du spear phishing

Il n’y a pas si longtemps, nous pouvions reconnaître les e-mails de phishing grâce à leur mauvaise orthographe, leurs erreurs grammaticales et leur syntaxe non anglaise. Nous pourrions repérer des stratagèmes génériques largement utilisés, comme l’arnaque du prince nigérian. La plupart d’entre nous n’ont pas été confrontés à des tentatives de spear phishing bien ciblées, car le coût de la recherche de nos antécédents et de la création de messages personnalisés s’est avéré trop élevé pour les criminels. Avec l’IA générative, cela évolue rapidement. En tant que professionnels de la sécurité, nous devons nous préparer aux conséquences.

L’IA générative permet l’automatisation de bout en bout du spear phishing, réduisant ainsi son coût et élargissant son utilisation. Pensez au travail qu’un attaquant doit effectuer pour créer un message de spear phishing efficace pour une compromission de messagerie professionnelle (BEC). L'attaquant choisit une cible, étudie ses réseaux sociaux, découvre ses relations les plus proches et identifie les intérêts de la cible. Grâce à ces informations, l’attaquant rédige un e-mail personnalisé sur un ton destiné à éviter tout soupçon. Le travail nécessite un suivi réfléchi des pistes et de l'intuition psychologique.

Ce travail pourrait-il être automatisé ? Certes, les attaquants automatisent le scraping du contenu des réseaux sociaux et utilisent le bourrage d’identifiants pour prendre le contrôle des comptes afin de collecter des informations. Grâce à l’automatisation, les attaquants peuvent créer un graphique de connaissances sur la vie d’une cible.

Grâce à ce graphique de connaissances, les attaquants peuvent alimenter un service de type ChatGPT (sans garanties éthiques) avec des informations hautement personnelles pour créer des messages de spear phishing ciblés et efficaces. L'attaquant pourrait créer des séquences entières de messages couvrant plusieurs canaux, du courrier électronique aux médias sociaux, avec des messages provenant de plusieurs faux comptes, chacun avec une personnalité bien conçue générée en fonction des propensions de confiance de la cible.

Certains signes indiquent que cette menace est imminente. Des rapports sur de nouveaux outils d’attaque en vente sur le dark web, notamment WormGPT et FraudGPT , indiquent que les criminels ont commencé à adapter l’IA générative à des fins malveillantes, notamment le phishing. Bien que l’utilisation de cette technologie n’ait pas encore atteint l’automatisation de bout en bout à grande échelle, les pièces du puzzle commencent à s’assembler et la dynamique économique de la cybercriminalité rend ce développement presque inévitable.

Au sein de l’économie de la cybercriminalité, il existe une spécialisation qui stimule l’innovation. Le Forum économique mondial (WEF) estime que la cybercriminalité est désormais la troisième économie mondiale, derrière les États-Unis et la Chine, avec des coûts qui devraient atteindre 8 000 milliards de dollars en 2023 et 10 500 milliards de dollars en 2025. Comme dans toute grande économie, l’économie de la cybercriminalité comprend des fournisseurs spécialisés : certains vendent des identifiants volés, d’autres donnent accès à des comptes compromis et d’autres encore proposent un proxy d’adresses IP sur des dizaines de millions d’adresses IP résidentielles.

De plus, il existe des fournisseurs de services de phishing qui proposent des boîtes à outils complètes, allant des modèles de courrier électronique aux sites proxy de phishing en temps réel. (Voir l'article de Jay Kelley sur la façon dont les sites de phishing utilisent un TLS valide pour usurper l'identité de sites réels.) Alors que les fournisseurs se font concurrence pour remporter les affaires des criminels, les récompenses les plus importantes reviendront aux organisations fournissant le service de bout en bout le moins cher, une dynamique susceptible de faire progresser l’automatisation du spear phishing. Nous pouvons imaginer des organisations spécialisées dans divers types de collecte de données autour de cibles, d’agrégation de données et de LLM axés sur des secteurs spécifiques ou qui excellent dans différents types de fraude.

Compte tenu de la probabilité d’une augmentation du nombre d’attaques de spear phishing visant de nouvelles cibles, les organisations doivent renforcer leurs pratiques anti-phishing existantes.

Formation de sensibilisation au phishing de niveau supérieur : Il est depuis longtemps important d’informer régulièrement les employés sur les dangers du phishing, sur la manière de reconnaître les e-mails suspects et sur les mesures à prendre s’ils sont confrontés à une tentative potentielle de phishing. Cependant, de nombreuses organisations forment leurs employés à reconnaître les e-mails de phishing grâce à leurs fautes d’orthographe et de grammaire. Au lieu de cela, la formation devra être plus approfondie pour apprendre aux gens à être attentifs à toute demande provenant d’une source non fiable et non vérifiée. Lors de la conduite de campagnes de phishing simulées pour tester la capacité des employés à identifier les e-mails de phishing, utilisez des messages de phishing bien rédigés, professionnels, ciblant des employés spécifiques et provenant de sources qui semblent légitimes.

Protégez-vous contre les proxys de phishing en temps réel : Les attaquants utilisent souvent le phishing pour contourner l’authentification multifacteur (MFA) via des proxys de phishing en temps réel. Les criminels utilisent le phishing pour tromper les utilisateurs et les inciter à saisir leurs informations d'identification et leur mot de passe à usage unique sur un site qu'ils contrôlent, qu'ils transmettent ensuite à l'application réelle pour y accéder. (Pour en savoir plus sur le contournement et les défenses MFA, consultez le livre blanc : L'authentification multifacteur résout-elle la menace de prise de contrôle de compte ? )

Se défendre plus rigoureusement contre les prises de contrôle de compte : Les criminels prennent le contrôle de comptes à grande échelle grâce au bourrage d'identifiants à l'aide de robots, ce qui entraîne un nombre massif de prises de contrôle de comptes. En plus de la fraude financière, les criminels collectent des données personnelles supplémentaires par le biais du scraping qu'ils peuvent utiliser dans d'autres attaques de phishing. Pour se défendre efficacement contre les robots, il faut une collecte de signaux riche et un apprentissage automatique.

Utiliser l’IA pour combattre l’IA : Alors que les criminels exploitent l’IA générative pour commettre des fraudes, les organisations devraient exploiter l’IA pour leur défense. F5 s'associe à des organisations pour tirer parti de la collecte de signaux riches et de l'IA pour lutter contre la fraude. F5 Distributed Cloud Account Protection surveille les transactions en temps réel tout au long du parcours utilisateur pour détecter les activités malveillantes et fournir des taux de détection de fraude précis. Si vous pouvez détecter la fraude au sein des applications, cela réduit les risques liés au phishing. (L'inspection du trafic avec l'IA nécessite de décrypter efficacement le trafic, ce que vous pouvez réaliser efficacement avec l'orchestration TLS .)