Les cybercriminels exploitent des outils d'IA comme ChatGPT pour créer des attaques de phishing plus convaincantes, alarmant les experts en cybersécurité.

Si vous avez remarqué une augmentation du nombre d'e-mails suspects au cours de la dernière année, cela pourrait être en partie dû à l'un de nos chatbots IA préférés : ChatGPT. Je sais - beaucoup d'entre nous ont eu des conversations intimes et privées au cours desquelles nous avons appris à nous connaître grâce à ChatGPT, et nous ne voulons pas croire que ChatGPT pourrait nous aider à nous arnaquer.

Selon la société de cybersécurité SlashNext, ChatGPT et ses cohortes d'IA sont utilisés pour diffuser des e-mails de phishing à un rythme accéléré. Le rapport s'appuie sur l'expertise de l'entreprise en matière de menaces et a interrogé plus de trois cents professionnels de la cybersécurité en Amérique du Nord. En particulier, on prétend que les e-mails de phishing malveillants ont augmenté de 1 265 % - en particulier le phishing d'identifiants, qui a augmenté de 967 % - depuis le quatrième trimestre 2022. Le phishing d'identifiants cible vos informations personnelles telles que les noms d'utilisateur, les identifiants, les mots de passe ou les codes personnels en usurpant l'identité d'un personne, groupe ou organisation de confiance via des e-mails ou un canal de communication similaire.

Les acteurs malveillants utilisent des outils d’intelligence artificielle générative, tels que ChatGPT, pour rédiger des messages de phishing soignés et spécifiquement ciblés. Outre le phishing, les messages de compromission des courriers électroniques professionnels (BEC) constituent un autre type courant d'escroquerie cybercriminelle visant à escroquer les finances des entreprises. Le rapport conclut que ces menaces alimentées par l’IA se multiplient à une vitesse vertigineuse, augmentant rapidement en volume et en sophistication.

Le rapport indique que les attaques de phishing étaient en moyenne de 31 000 par jour et qu'environ la moitié des professionnels de la cybersécurité interrogés ont déclaré avoir reçu une attaque BEC. En matière de phishing, 77 % de ces professionnels déclarent avoir subi des attaques de phishing.

Les experts interviennent

Le PDG de SlashNext, Patrick Harr, a déclaré que ces résultats « renforcent les inquiétudes concernant l'utilisation de l'IA générative contribuant à une croissance exponentielle du phishing ». Il a expliqué que la technologie générative de l’IA permet aux cybercriminels d’accélérer la rapidité avec laquelle ils lancent leurs attaques, tout en augmentant la variété de leurs attaques. Ils peuvent produire des milliers d’attaques d’ingénierie sociale avec des milliers de variantes – et il suffit de se laisser prendre à une seule.

Harr continue en pointant du doigt ChatGPT, qui a connu une croissance considérable vers la fin de l'année dernière. Il affirme que les robots d'IA générative ont permis aux novices de se lancer beaucoup plus facilement dans le jeu du phishing et de l'escroquerie, et sont désormais devenus un outil supplémentaire dans l'arsenal des plus compétents et expérimentés - qui peuvent désormais intensifier et cibler davantage leurs attaques. facilement. Ces outils peuvent aider à générer des messages plus convaincants et convaincants qui, espèrent les fraudeurs, hameçonneront les gens.

Chris Steffen, directeur de recherche chez Enterprise Management Associates, l'a confirmé lors d'un entretien avec CNBC, déclarant : « L'époque du « Prince du Nigeria » est révolue ». Il a poursuivi en expliquant que les e-mails sont désormais « extrêmement convaincants et légitimes ». Les mauvais acteurs imitent et se font passer pour les autres de manière convaincante dans le ton et le style, ou envoient même une correspondance d'apparence officielle qui semble provenir d'agences gouvernementales et de prestataires de services financiers. Ils peuvent y parvenir mieux qu’avant en utilisant des outils d’IA pour analyser les écrits et les informations publiques d’individus ou d’organisations afin d’adapter leurs messages, donnant ainsi l’impression que leurs e-mails et leurs communications sont réels.

De plus, il est prouvé que ces stratégies rapportent déjà des bénéfices aux mauvais acteurs. Harr fait référence au rapport sur la criminalité sur Internet du FBI, selon lequel les attaques BEC auraient coûté aux entreprises environ 2,7 milliards de dollars, ainsi que 52 millions de dollars de pertes dues à d'autres types de phishing. Le filon mère est lucratif et les escrocs sont en outre motivés à multiplier leurs efforts de phishing et de BEC.

Ce qu'il faudra pour renverser les menaces

Certains experts et géants de la technologie s’y opposent, Amazon, Google, Meta et Microsoft s’étant engagés à effectuer des tests pour lutter contre les risques de cybersécurité. Les entreprises exploitent également l’IA de manière défensive, en l’utilisant pour améliorer leurs systèmes de détection, leurs filtres, etc. Harr a réitéré que les recherches de SlashNext soulignent cependant que cela est tout à fait justifié, car les cybercriminels utilisent déjà des outils tels que ChatGPT pour lancer ces attaques.

SlashNext a trouvé en juillet un BEC particulier qui utilisait ChatGPT, accompagné de WormGPT. WormGPT est un outil de cybercriminalité présenté comme « une alternative noire aux modèles GPT, conçue spécifiquement pour les activités malveillantes telles que la création et le lancement d'attaques BEC », selon Harr. Un autre chatbot malveillant, FraudGPT, circulerait également. Harr affirme que FraudGPT a été présenté comme un outil « exclusif » conçu pour les fraudeurs, les pirates informatiques, les spammeurs et autres personnes similaires, doté d'une longue liste de fonctionnalités.

Une partie des recherches de SlashNext a porté sur le développement de « jailbreaks » d'IA, qui sont des attaques assez ingénieusement conçues contre les chatbots d'IA qui, une fois entrées, entraînent la suppression des garde-fous de sécurité et de légalité des chatbots d'IA. Il s’agit également d’un domaine d’investigation majeur dans de nombreux instituts de recherche liés à l’IA.

Comment les entreprises et les utilisateurs doivent procéder

Si vous pensez que cela pourrait constituer une menace sérieuse sur le plan professionnel ou personnel, vous avez raison – mais tout n’est pas désespéré. Les experts en cybersécurité se mobilisent et réfléchissent aux moyens de contrer et de répondre à ces attaques. L'une des mesures prises par de nombreuses entreprises est l'éducation et la formation continues des utilisateurs finaux pour voir si les employés et les utilisateurs sont réellement surpris par ces e-mails.

L’augmentation du volume d’e-mails suspects et ciblés signifie qu’un rappel ici et là ne suffira peut-être plus, et les entreprises devront désormais s’entraîner de manière très persistante à sensibiliser les utilisateurs à la sécurité. Les utilisateurs finaux doivent également être non seulement rappelés, mais encouragés à signaler les e-mails qui semblent frauduleux et à discuter de leurs préoccupations en matière de sécurité. Cela ne s'applique pas seulement aux entreprises et à la sécurité à l'échelle de l'entreprise, mais également à nous en tant qu'utilisateurs individuels. Si les géants de la technologie veulent que nous fassions confiance à leurs services de messagerie pour nos besoins personnels en matière de messagerie, ils devront alors continuer à renforcer leurs défenses de cette manière.

Outre ce changement de culture dans les entreprises et les entreprises, Steffen réitère également l'importance des outils de filtrage des e-mails qui peuvent intégrer des capacités d'IA et aider à empêcher les messages malveillants de parvenir aux utilisateurs. Il s'agit d'une bataille perpétuelle qui nécessite des tests et des audits réguliers, car les menaces évoluent constamment et, à mesure que les capacités des logiciels d'IA s'améliorent, les menaces qui les utilisent évoluent également.

Les entreprises doivent améliorer leurs systèmes de sécurité et aucune solution unique ne peut répondre pleinement à tous les dangers posés par les attaques par courrier électronique générées par l’IA. Steffen avance qu'une stratégie de confiance zéro peut aider à combler les lacunes de contrôle causées par les attaques et à fournir une défense à la plupart des organisations. Les utilisateurs individuels devraient être plus attentifs à la possibilité d’être hameçonnés et trompés, car ce nombre a augmenté.

Il peut être facile de céder au pessimisme sur ce type de questions, mais nous pouvons nous méfier davantage de ce sur quoi nous choisissons de cliquer. Prenez un moment supplémentaire, puis un autre, et vérifiez toutes les informations. Vous pouvez même rechercher l'adresse e-mail à partir de laquelle vous avez reçu un e-mail particulier et voir si quelqu'un d'autre a eu des problèmes liés à celui-ci. C'est un monde miroir délicat en ligne, et il vaut de plus en plus la peine de garder son sang-froid.