Selon un rapport publié mercredi par une société mondiale de sécurité des e-mails basée sur le cloud, les outils d’IA génératifs tels que ChatGPT déclenchent une augmentation des attaques par e-mail sophistiquées.
Les responsables de la sécurité s’inquiètent des possibilités d’attaques par e-mail générées par l’IA depuis la sortie de ChatGPT, et nous commençons à voir ces craintes validées, note le rapport d’Abnormal Security.
La société a indiqué qu’elle avait récemment stoppé un certain nombre d’attaques contenant un langage fortement suspecté d’être écrit par l’IA.
« Les acteurs de la menace haut de gamme ont toujours utilisé l’intelligence artificielle. L’IA générative n’est pas un gros problème pour eux car ils avaient déjà accès à des outils permettant ce type d’attaques », a déclaré Dan Shiebler, responsable de l’apprentissage automatique chez Abnormal et auteur du rapport.
« Ce que fait l’IA générative, c’est banaliser les attaques sophistiquées afin que nous en verrons davantage », a-t-il déclaré à TechNewsWorld.
« Nous avons constaté une augmentation des attaques par compromission des e-mails professionnels (BEC), que ce type de technologies rend plus faciles à réaliser », a-t-il poursuivi.
« La sortie de ChatGPT a été une étape importante pour le consommateur, mais la sortie de GPT3 en 2020 a permis aux acteurs de la menace d’utiliser l’IA dans les attaques par e-mail », a-t-il ajouté.
Application effrayante
Mika Aalto, co-fondateur et PDG de Hoxhunt, un fournisseur de solutions de sensibilisation à la sécurité des entreprises à Helsinki, a déclaré à TechNewsWorld que les attaquants adoptent la technologie de l’IA pour créer des campagnes BEC plus convaincantes et développer des kits d’attaque BEC plus sophistiqués qui sont ensuite vendus sur le dark web. .
« Selon nos propres recherches, les ingénieurs sociaux humains sont toujours meilleurs pour créer des e-mails de phishing que les grands modèles de langage, mais cet écart se réduit », a-t-il déclaré. « Les pirates s’améliorent dans l’ingénierie rapide et contournent les garde-fous contre l’utilisation abusive de ChatGPT pour les campagnes BEC. »
« Une application assez effrayante de cette technologie est le renvoi itératif d’une attaque », a noté Shiebler. «
« Un système peut envoyer une attaque, déterminer si elle est parvenue jusqu’aux destinataires et, s’il n’y parvient pas, modifier l’attaque à plusieurs reprises », a-t-il expliqué. « Essentiellement, il apprend comment la défense fonctionne et modifie l’attaque pour en profiter. »
Dans son rapport, Abnormal a démontré comment l’IA générative a été utilisée dans trois attaques contre ses clients – une attaque de phishing d’informations d’identification, une attaque BEC traditionnelle et une attaque de fraude de fournisseur.
Ces trois exemples ne représentent qu’un petit pourcentage des attaques par e-mail générées par l’IA, qu’Abnormal voit désormais presque quotidiennement, note le rapport.
Malheureusement, a-t-il poursuivi, à mesure que la technologie continue d’évoluer, la cybercriminalité évoluera avec elle, et le volume et la sophistication de ces attaques continueront d’augmenter.
Plus d’anglais fracturé
Les outils d’IA générative peuvent augmenter l’efficacité d’une campagne de phishing, en particulier celles provenant de l’extérieur des États-Unis.
« De nombreuses attaques par e-mail proviennent de l’extérieur des États-Unis par des locuteurs non natifs, entraînant des e-mails avec des problèmes grammaticaux évidents et un ton de voix inhabituel, qui déclenchent la suspicion du destinataire », a expliqué Dror Liwer, co-fondateur de Coro, une cybersécurité basée sur le cloud. société basée à Tel Aviv, Israël.
« L’IA générative permet à l’expéditeur de créer un e-mail personnalisé, conversationnel et extrêmement crédible qui ne déclencherait aucun soupçon, ce qui ferait tomber davantage d’utilisateurs dans le piège », a-t-il déclaré à TechNewsWorld.
« Un contexte et une grammaire appropriés rendent le contenu plus crédible et moins susceptible d’être suspect pour l’utilisateur », a ajouté James McQuiggan, un défenseur de la sensibilisation à la sécurité chez KnowBe4, un fournisseur de formation à la sensibilisation à la sécurité à Clearwater, en Floride.
« De plus », a-t-il déclaré à TechNewsWorld, « l’IA générative peut extraire des informations d’Internet sur une organisation pour créer une campagne de harponnage ciblée ou plus crédible ».
Joey Stanford, responsable de la sécurité mondiale et de la confidentialité chez Platform.sh, une plate-forme mondiale en tant que fournisseur de services, a noté que les attaques par e-mail conçues avec l’IA générative pourraient sembler plus réalistes et convaincantes car elles utilisent des techniques linguistiques sophistiquées et de grands ensembles de données d’e-mails de phishing.
« Cela permet aux mauvais acteurs de générer automatiquement de nouveaux e-mails de phishing convaincants qui sont plus difficiles à détecter », a-t-il déclaré à TechNewsWorld. « Des outils d’IA génératifs comme ChatGPT d’OpenAI pourraient être à l’origine de l’augmentation de 135 % des e-mails frauduleux utilisant ces techniques révélée dans un récent rapport de Darktrace. »
Combattre l’IA avec l’IA
Stanford a soutenu que les organisations pouvaient se protéger au niveau du réseau contre les attaques par e-mail conçues avec une IA générative en utilisant des outils de cybersécurité avec une IA auto-apprenante. Ces outils, a-t-il expliqué, peuvent détecter et répondre à une activité de messagerie anormale et malveillante en temps réel sans s’appuyer sur une connaissance préalable des menaces passées.
« Ces outils peuvent également aider les organisations à former leurs employés sur la façon de repérer et de signaler les e-mails de phishing et d’appliquer les politiques de sécurité et les meilleures pratiques sur l’ensemble du réseau », a-t-il déclaré.
Il a reconnu que ces outils étaient nouveaux et connaissaient un développement rapide, mais combattre l’IA par l’IA semble être la meilleure solution au problème pour plusieurs raisons. Ceux-ci incluent :
- Les attaques d’IA génératives sont dynamiques et adaptatives et peuvent échapper aux modèles de sécurité traditionnels qui reposent sur une connaissance préalable des menaces passées.
- Les outils d’IA auto-apprenants peuvent détecter et répondre à une activité de messagerie anormale et malveillante en temps réel sans intervention humaine ni règles prédéfinies.
- Les outils d’intelligence artificielle peuvent également analyser le contenu et le contexte des e-mails et des SMS et signaler tout élément suspect ou malveillant pour une enquête ou une action plus approfondie.
- Les outils d’IA peuvent aider à éduquer et à habiliter les équipes de science des données et de sécurité à collaborer et à créer un programme de sécurité d’IA proactif et holistique.
Au-delà de l’IA vers l’analyse comportementale
Cependant, le problème de l’IA générative ne peut pas être résolu à long terme avec plus d’IA, a répliqué John Bambenek, principal chasseur de menaces chez Netenrich, une société d’opérations informatiques et de sécurité numérique à San Jose, en Californie.
« Ce qu’il faut, c’est regarder ce qui est normal et anormal du point de vue de l’analyse du comportement et se rendre compte que le courrier électronique n’est pas sécurisé et non sécurisé », a-t-il déclaré à TechNewsWorld. « Plus quelque chose compte, moins il devrait dépendre du courrier électronique. »
« La clé est toujours la même, réfléchissez-y à deux fois avant d’agir sur un e-mail, surtout s’il s’agit de quelque chose de sensible comme une transaction financière ou une demande d’authentification », a-t-il ajouté.
Qu’un e-mail soit généré par une IA, un bot ou un humain, les étapes de vérification restent les mêmes, a conseillé McQuiggan. Un destinataire doit se poser trois questions : Cet e-mail est-il inattendu ? Est-ce de quelqu’un que je ne connais pas ? Est-ce qu’ils me demandent de faire quelque chose d’inhabituel ou pressé ?
« Si la réponse est oui à l’une de ces questions, prenez le temps supplémentaire pour vérifier les informations contenues dans l’e-mail », a-t-il déclaré.
« Prendre quelques instants supplémentaires pour vérifier les liens, la source de l’e-mail et la demande peut réduire les coûts ou les ressources supplémentaires car quelqu’un a cliqué sur un lien et a initié un risque de violation de données pour l’organisation », a-t-il conseillé.