Phishing boosté par l’IA : des simples arnaques au phishing intelligent, que nous réserve l’avenir ?
mai 2024 par Check Point
Check Point présente l’évolution récentes des scams par e-mail, de la fraude nigériane par e-mail aux techniques les plus sophistiquées, et se penche sur la course contre la montre engagée entre défenseurs et attaquants
Dans les années 1990 et même jusque encore récemment, le phishing était davantage associé à des erreurs presque comiques qu’à une véritable malveillance : typos égrénant des majuscules, grammaire approximative ou encore tentatives maladroites d’usurpation d’identité.
Prenons l’exemple de la « fraude nigériane » ci-dessous. Egalement appelée fraude 4-1-9, c’est une escroquerie certes rudimentaire, mais encore répandue sur Internet. Elle consiste à promettre l’obtention d’une grosse somme d’argent dans le futur, exigeant de la victime qu’elle communique des éléments d’identité bancaire ou qu’elle fasse un paiement en amont du gain à venir. Rien qu’en 2018, les Américains ont perdu plus de 700 000 dollars à cause de ce scam.
Souvent l’e-mail est truffé de fautes de grammaire ou encore, l’adresse de l’expéditeur ne correspond pas et l’image est de mauvaise qualité.
Ces e-mails font encore des victimes (cf exemples en 2020 ci-dessous) mais leur structure reste simple.
Et puis l’IA est arrivée. Avec le bon prompt, la magie opère
ChatGPT a eu de nombreux effets : il a rendu l’intelligence artificielle un peu plus accessible et l’a popularisée auprès du grand public, tout en éliminant les fautes d’orthographe et de grammaire des cybercriminels.
Mais ChatGPT et d’autres ont aussi facilité la création de phishing et permettent aujourd’hui de générer des attaques beaucoup plus complexes.
Détourner ChatGPT pour écrire des malwares est un jeu d’enfant, même sans code. Malgré le caractère non éthique des demandes, une fois la discussion établie, ChatGPT finit par fournir des conseils, templates et même des noms de domaines à utiliser. Les chercheurs de Check Point ont découvert de nombreux exemples de cybercriminels qui ont réussi à déjouer les mesures de protection de l’IA. Avec le bon prompt, la magie opère.
Prenons l’exemple de cette attaque par code QR que Check Point a bloquée il y a quelques mois et qui semble assez classique au départ :
Cet e-mail commence comme une attaque par phishing classique qui utilise un code QR. Le destinataire est invité à consulter le relevé annuel de ses cotisations, de 401K, en scannant le code QR et à accéder au solde du compte pour l’année.
Ce qui rend cette attaque particulièrement intéressante, c’est ce qui se passe après avoir scanné le code QR.
Le QR utilise un point de destination variable en fonction du navigateur, de l’appareil, de la taille de l’écran etc. Selon les paramètres, il renvoie à une page différente.
En gros, le lien dans l’e-mail reste le même, mais le résultat change en fonction de la destination.
Puis, cette attaque comporte en effet quatre niveaux d’obscurcissement. D’abord, l’URL intégrée dans le code QR semble diriger vers un domaine Apple, mais redirige en réalité vers un autre domaine. Ensuite, il y a une redirection aveugle vers un troisième domaine. Ce dernier domaine vérifie quel navigateur ou moteur de balayage vous utilisez et vous redirige en conséquence.
Il contient également une charge utile avec des techniques d’ingénierie inverse, de sorte que si vous essayez de la brouiller, la charge fonctionnera en boucle en utilisant des ressources infinies.
Que nous réserve l’avenir ? Une éternelle course contre la montre entre les défenseurs et les attaquants ?
ChatGPT va continuer de s’améliorer et permettra aux cybercriminels de s’en servir de plus en plus efficacement.
En résumé, les e-mails malveillants seront plus faciles à créer et plus difficiles à détecter.
La « fraude nigériane » ne disparaîtra peut-être jamais mais l’e-mail sera dorénavant mieux écrit et plus crédible. Le code malveillant et les charges utiles seront insérés en un clin d’œil.
Selon les données récentes Check Point, le phishing continue de proliférer et devient le principal vecteur d’attaque dans le monde entier.
Il provoque une véritable course contre la montre entre les défenseurs et les attaquants. Voici le cercle vertueux que cette course de l’IA implique déjà :
• Une sécurité des e-mails alimentée par l’IA : les solutions de sécurité utilisent de plus en plus l’IA pour analyser le contenu des e-mails, repérer les subtilités linguistiques et détecter les tactiques d’ingénierie sociale propres aux tentatives de phishing.
• Une détection avancée des menaces : les algorithmes d’apprentissage automatique sont peu à peu formés pour identifier les schémas et les anomalies dans les e-mails de phishing, même ceux qui peuvent sembler très personnalisés.
• Un apprentissage et adaptation continus : les attaquants au même titre que les défenseurs devront constamment mettre à jour leurs modèles d’IA pour garder une longueur d’avance. On se retrouve sur un champ de bataille dynamique où les deux parties s’efforcent de surpasser l’autre en ingéniosité.