L’utilisation de l’IA est la dernière mesure sophistiquée adoptée par les pirates. Elle fait suite à de nombreuses autres tendances qui rendent les attaques de phishing plus difficiles à détecter et à prévenir. Voici un guide basé sur les tendances actuelles, les conseils d’experts et les solutions de protection.
Qu’est-ce qu’une attaque de phishing alimentée par l’IA ?
Une attaque de phishing basée sur l’IA générative utilise l’intelligence artificielle générative pour créer des messages de phishing hautement personnalisés et convaincants. Ces attaques s’appuient sur des algorithmes d’IA pour analyser de vastes quantités de données provenant des réseaux sociaux, des sites Web d’entreprise et d’autres sources publiques afin d’imiter les styles et contenus de communication légitimes. Contrairement aux attaques de phishing traditionnelles qui s’appuient souvent sur des modèles génériques, les attaques basées sur l’IA générative peuvent générer des messages spécifiques au contexte ciblant des individus ou des services spécifiques au sein d’une organisation. Ce niveau de personnalisation rend difficile pour les destinataires de faire la distinction entre les messages authentiques et les messages frauduleux, augmentant ainsi le taux de réussite des tentatives de phishing. L’IA générative permet aux cybercriminels de contourner les mesures de sécurité traditionnelles qui recherchent des indicateurs de phishing connus, rendant ces attaques plus difficiles à détecter et à prévenir avec les outils de cybersécurité standard.
Les nouvelles tendances en matière de phishing
L’intégration de l’IA générative dans les schémas de phishing a également rendu les attaques plus évolutives. Voici Les nouvelles tendances en matière de phishing :
Quishing
Le quishing consiste à utiliser des codes QR pour rediriger les utilisateurs vers des sites Web malveillants. Lorsqu’un code QR est scanné, il conduit souvent l’utilisateur vers une page de connexion contrefaite, comme une fausse connexion Microsoft. Cette tactique a connu une augmentation significative, avec une augmentation de 427 % détectée entre août et septembre 2023 seulement. Les pirates exploitent le fait que la plupart des systèmes de sécurité de messagerie ne parviennent pas à analyser les codes QR intégrés, ce qui leur permet de contourner les filtres de messagerie traditionnels.
Le phishing en deux étapes
Le phishing en deux étapes permet aux pirates d’échapper à la détection en intégrant la charge malveillante dans un service apparemment authentique. Un utilisateur peut recevoir un e-mail indiquant que son mot de passe a expiré et l’invitant à cliquer sur un lien pour le réinitialiser. Ce lien redirige vers un site apparemment légitime qui héberge un lien malveillant caché. Les pirates exploitent plus de 400 plateformes couramment utilisées comme Salesforce, SharePoint et Adobe.
Obscurcissement du texte
L’obscurcissement de texte consiste à modifier des modèles de phishing familiers pour échapper à la détection. Les pirates insèrent des caractères invisibles entre les lettres, ce qui fait que les textes de phishing semblent normaux à première vue, mais malveillants après une inspection plus approfondie. Par exemple, une seule lettre peut être composée de plusieurs caractères Unicode, transformant des mots simples en chaînes complexes qui échappent aux filtres de texte traditionnels.
Navigateur dans le navigateur « browser-in-the-browser »
Cette technique crée une fausse fenêtre de navigateur convaincante dans le navigateur réel, en utilisant HTML et CSS pour imiter des sites légitimes. Par exemple, un utilisateur peut voir une page de connexion Netflix dans une fenêtre contextuelle qui semble authentique, mais qui est en fait un domaine frauduleux. Cette méthode peut tromper les utilisateurs en les incitant à saisir leurs identifiants, en leur faisant croire qu’ils se trouvent sur un site sécurisé. Elle évite la détection en n’affichant aucun favicon, qui est utilisé par les filtres de sécurité pour vérifier la légitimité du site.
Archive .zip
Cette tactique utilise le domaine .zip pour tromper les utilisateurs en leur faisant croire qu’ils ouvrent un fichier directement dans leur navigateur. Les utilisateurs cliquent alors sur des liens tels que « facture pdf », qui téléchargent en réalité un fichier exécutable malveillant déguisé en document légitime. Cette méthode contourne de nombreux filtres de sécurité car elle ne comporte aucun indicateur évident comme des boutons de téléchargement ou des invites cliquables.
Fichiers HTML codés
Les fichiers HTML codés peuvent contourner les mesures de sécurité qui signalent généralement les URL. Les pirates utilisent des techniques telles que le codage Base64 combiné au chiffrement AES pour masquer des charges utiles malveillantes dans les fichiers HTML. Ces fichiers échappent souvent à la détection en raison de leur apparence bénigne et du fait que les fichiers ne présentent pas les mêmes risques de réputation que les URL.
Captchas, Geofencing et Redirections
Les pirates utilisent des CAPTCHA, des géorepérages et des tactiques de redirection pour créer une illusion de légitimité et contourner les filtres de sécurité. Par exemple, ils peuvent utiliser des CAPTCHA pour empêcher les systèmes de sécurité automatisés d’accéder à la charge malveillante finale. Le géorepérage restreint l’accès au site malveillant en fonction de la localisation de l’utilisateur, bloquant ainsi les principales entreprises de sécurité. Les tactiques de redirection compliquent la détection en dirigeant les utilisateurs vers des pages inoffensives dans un premier temps, puis en les redirigeant vers des sites malveillants par la suite.
Deepfake et arnaques téléphoniques
Les arnaques téléphoniques ont évolué et incluent désormais de fausses alertes de renouvellement de services bien connus comme McAfee, Norton et PayPal. Ces escroqueries incitent les utilisateurs à appeler un numéro fourni sur une fausse facture, les connectant ainsi à des centres d’appels qui les guident dans l’installation de logiciels d’accès à distance comme TeamViewer. Cela permet aux attaquants de prendre le contrôle de l’appareil de la victime et de voler des informations sensibles sans avoir recours à des méthodes basées sur le courrier électronique.
À l’ère de l’intelligence artificielle, les arnaques téléphoniques prennent une nouvelle direction. La technologie Deepfake permet de créer de faux fichiers audio ou même de fausses vidéos imitant la voix et l’apparence d’une personne réelle. Dans un cas largement médiatisé , un employé financier d’une grande entreprise a participé à un appel vidéo avec des cadres supérieurs de son entreprise et a approuvé un paiement de 25 millions de dollars, pour finalement découvrir que les autres participants à l’appel avaient été fabriqués à l’aide de vidéos Deepfake.
Comment détecter les attaques de phishing alimentée par l’IA ?
Pour lutter contre les attaques de phishing basées sur l’IA générative, les entreprises doivent adopter des solutions anti-phishing avancées qui exploitent elles-mêmes l’intelligence artificielle. Ces technologies analysent les modèles et les comportements révélateurs de tentatives de phishing, allant au-delà des méthodes de détection traditionnelles basées sur les signatures. Les solutions anti-phishing avancées utilisent des LLM pour identifier les signes d’IA générative dans les messages de phishing et déterminer la probabilité d’une attaque de phishing sophistiquée.
Les solutions pour se protéger contre le phishing alimentée par l’IA ?
Voici quelques solutions fiables basées sur l’IA efficacement contre les attaques sophistiquées générées par l’IA dans le domaine du phishing.
1. Perception Point
Ce système utilise des outils de détection d’anomalies pilotés par l’IA pour surveiller en permanence les modèles de communication des emails. Il est capable de détecter des écarts subtils qui peuvent indiquer une attaque par phishing générée par IA, en se basant sur des comportements anormaux des utilisateurs plutôt que sur des signatures fixes. Il offre aussi une détection avancée des obfuscations, telles que les caractères invisibles et les chaînes multi-unicode, qui permettent de contourner les systèmes traditionnels.
2. Palo Alto Networks Cortex XDR
Cette solution utilise des règles de détection dynamique et des analyses comportementales pour identifier et neutraliser les menaces générées par l’IA. Elle se concentre sur l’analyse des comportements des programmes et des connexions en temps réel, permettant de détecter les nouveaux types de phishing et de malwares qui utilisent des techniques sophistiquées comme l’obfuscation et le polymorphisme.
3. Microsoft Defender for Office 365
Intégré à la suite Microsoft, cet outil utilise l’IA pour protéger contre les attaques de phishing en analysant les modèles d’emails et en utilisant des techniques de machine learning pour identifier les menaces. Il permet de bloquer les emails suspects avant qu’ils n’atteignent les utilisateurs, même si ceux-ci ont été générés par une IA sophistiquée.
4. Darktrace Antigena Email
Darktrace utilise une technologie d’IA appelée « cyber intelligence » qui surveille en temps réel l’ensemble des activités réseau. Son module Antigena Email peut détecter les emails générés par IA, en se concentrant sur les anomalies dans les communications par email et en arrêtant les attaques avant qu’elles ne causent des dommages.
5. Vade Secure
Ce logiciel combine l’intelligence artificielle avec des techniques de filtrage contextuel pour protéger les entreprises contre le phishing. Vade Secure utilise l’IA pour analyser les modèles comportementaux dans les emails et détecter les tentatives de phishing avec des techniques avancées telles que les redirections vers des pages malveillantes ou l’utilisation de QR codes.
La formation régulière en cybersécurité est essentielle. Étant donné que l’IA permet de créer des emails de phishing sans les signes habituels (fautes de grammaire, urgence suspecte), il est important de former les utilisateurs aux dernières tactiques de phishing et de les encourager à signaler tout email ou interaction douteuse.
