Les mauvais acteurs ont appris : plus ils sont en mesure de récolter de données sur vous, plus ils seront en mesure de réussir à vous hameçonner. C’est probablement pourquoi ce vecteur d’attaque n’a jamais été aussi populaire.
Proofpoint 2022 State of the Phish rapport a révélé que 83 % des organisations ont subi une attaque de phishing par e-mail réussie en 2021, soit une augmentation de 46 % par rapport à 2020. 78 % des entreprises ont été confrontées à une attaque de ransomware propagée à partir d’un e-mail de phishing, tandis que 86 % % des entreprises ont été victimes d’attaques de phishing en masse et 77 % d’attaques de compromis de messagerie professionnelle (BEC) soutenues.
Les attaques de phishing dans le monde ont augmenté de 29 % au cours des 12 derniers mois pour atteindre un record de 873,9 millions d’attaques, selon le dernier rapport Zscaler ThreatLabz Phishing Report, et il y a eu un nombre record d’attaques de phishing (1 025 968) au cours du premier trimestre 2022, selon le Tendances des activités d’hameçonnage rapport du groupe de travail anti-hameçonnage (APWG). Mais les choses deviennent encore plus compliquées.
Les escrocs prennent et ingèrent désormais toutes les données piratées trouvées sur Internet et les combinent avec l’intelligence artificielle (IA) pour cibler et attaquer les utilisateurs. Cette pratique inquiète plus que jamais certaines des plus grandes entreprises du monde à mesure que le niveau de sophistication des tentatives de phishing augmente. La partie effrayante ? Il y a une augmentation des paiements réussis de phishing et de ransomware, et l’IA utilisée n’est même pas encore aussi intelligente.
L’évolution du phishing
À la base, l’ingénierie sociale consiste à tirer sur la corde sensible émotionnelle d’un utilisateur pour susciter une réponse qui, en fin de compte, l’amène à fournir des informations personnelles telles que des mots de passe, des informations de carte de crédit, etc.
Les attaques de phishing non sophistiquées sous la forme d’e-mails, de SMS, de codes QR, etc. sont généralement faciles à repérer si vous savez ce qu’il faut rechercher. Les erreurs grammaticales, les fautes de frappe, les liens suspects, les faux logos et les adresses e-mail « de » qui ne correspondent pas à la source crédible qu’ils prétendent être sont des cadeaux morts.
Ces attaques étaient souvent menées en masse, ciblant des millions de personnes pour voir qui mordrait. Mais les mauvais acteurs ont évolué, et leurs tactiques aussi.
Les pirates ont commencé à utiliser l’IA pour cibler des individus de manière plus intelligente. Les messages de votre « service informatique » contenant des informations sur votre travail ou une attaque de harponnage personnalisée et directe (y compris votre mot de passe réel) vous informant que votre compte a été piraté en sont de parfaits exemples.
Maintenant, une fois de plus, les mauvais acteurs vont encore plus loin.
La révolution de l’hameçonnage par IA
Les pirates adorent et accumulent les données. Mais les données qu’ils apprécient le plus sont les données piratées – et pas seulement les informations qu’ils ont personnellement piratées ou rançonnées. Les acteurs de la menace aiment chaque bit de données qui a déjà été divulgué sur le dark web.
Les violations de données peuvent tout révéler aux pirates, du nom de jeune fille de votre mère à votre date de naissance, en passant par vos mots de passe précédents et même vos intérêts personnels. Bien que ce ne soit probablement pas quelque chose que vous n’ayez pas déjà entendu, ce qui a changé, c’est la façon dont les escrocs utilisent ces informations.
Les acteurs malveillants associent désormais ces données à l’IA pour cibler les utilisateurs avec des attaques de phishing incroyablement sophistiquées et plus convaincantes que jamais. Et ils le font avec une IA qui n’est même pas encore si intelligente.
L’IA ne peut pas s’écarter de sa trajectoire préprogrammée, nous n’avons donc pas à nous soucier qu’elle pense par elle-même. Mais à mesure que les gens deviennent plus intelligents, ils peuvent créer des modèles plus sophistiqués et former l’IA pour exécuter des scénarios plus complexes. À mesure que le niveau de sophistication augmente, tous les signes indiquent un avenir où le phishing ressemblera beaucoup à des publicités ciblées.
Les annonces ciblées rencontrent le phishing ciblé
Il est presque impossible d’éviter les publicités de nos jours. Ils apparaissent partout en fonction de votre historique de navigation, de recherche et de médias sociaux. Nous en sommes arrivés au point où nous plaisantons sur le fait que les annonceurs savent ce que vous voulez avant de savoir que vous le voulez.
Combien de temps avant que les attaquants obtiennent cette avancée ? Combien de temps avant qu’une entreprise d’intelligence commerciale ne soit piratée et que les pirates utilisent les mêmes données que celles utilisées par les annonceurs pour vous hameçonner ? Les campagnes de phishing ciblées en temps quasi réel ne sont pas un concept lointain ; c’est à l’horizon.
Imaginez que vous cherchiez des billets pour le Super Bowl et, en quelques minutes, des e-mails de phishing dans votre boîte de réception vous proposent des expériences VIP pour le Super Bowl. C’est la menace réelle et immédiate que représente l’IA, et nous nous rapprochons de plus en plus de cette réalité.
L’avenir du phishing
L’IA et l’apprentissage automatique (ML) sont actuellement utilisés pour contourner systématiquement tous nos contrôles de sécurité. Les attaques se produisent à un niveau et une sophistication qu’aucun humain – ou groupe d’humains – ne pourrait réaliser sans un peu d’intelligence (artificielle).
Si vous pensez que les mauvais acteurs ont besoin de créer un brillant robot de piratage d’IA auto-réalisé pour atteindre ces objectifs, vous vous trompez. Ils ont simplement besoin de créer une IA suffisamment intelligente pour interpréter et manipuler des ensembles de données spécifiques dans des scénarios spécifiques – c’est exactement ce que les pirates criminels et les acteurs des États-nations font activement pour cibler et compromettre les personnes et les organisations.
L’IA n’est pas aussi high-tech que certains le pensent, mais elle peut toujours être utilisée pour tirer parti d’individus sans méfiance. En combinant l’IA et les données piratées, les pirates créent des campagnes de phishing plus ciblées et sophistiquées et obtiennent plus de succès.
L’IA et le ML ont réécrit les règles et changé le jeu du phishing, et il n’y a pas de retour en arrière. Si nous ne réglons pas cela maintenant, le jeu deviendra rapidement hors de portée.
.
