Comment l’IA rend les attaques de phishing plus dangereuses

Les attaques de phishing se produisent lorsque des cybercriminels trompent leurs victimes en leur faisant partager des informations personnelles, telles que des mots de passe ou des numéros de carte de crédit, en prétendant être quelqu’un qu’ils ne sont pas. L’intelligence artificielle (IA) a facilité la tâche des cybercriminels pour mener des attaques de phishing en écrivant des messages de phishing crédibles, en imitant la voix des gens, en recherchant des cibles et en créant des deepfakes. En utilisant l’IA dans ces attaques, les cybercriminels peuvent sembler plus crédibles et plus fiables, ce qui amène davantage de victimes à leur envoyer des informations privées ou de l’argent. Selon une étude de 2024 commandée par Keeper^®, les responsables informatiques voient les attaques basées sur l’IA augmenter à un taux de 51 %.

Poursuivez votre lecture pour découvrir comment les cybercriminels utilisent l’IA dans les attaques de phishing, des exemples d’IA utilisée et comment vous pouvez vous protéger de ces attaques.

Comment les cybercriminels utilisent l’IA pour mener des attaques de phishing

L’IA aide les cybercriminels à commettre des attaques de phishing plus dangereuses à la fois sur les individus et les entreprises.

IA pour l’écriture

En utilisant des outils d’IA génératifs, comme ChatGPT, les cybercriminels peuvent créer des messages de phishing sans les signes indicateurs typiques : les erreurs de grammaire et d’orthographe. Pour démontrer à quel point cela peut être facile pour les cybercriminels, j’ai demandé à ChatGPT de rédiger un e-mail de phishing. Le message que j’ai saisi a été immédiatement supprimé et ChatGPT a déclaré : « Ce message peut violer nos politiques d’utilisation. » Malgré cette violation, ChatGPT a tout de même produit un exemple d’e-mail de phishing. Voici les résultats de ChatGPT :

Notez que, à la différence des e-mails de phishing typiques, ce message ne comporte aucune erreur de grammaire ou d’orthographe. Les cybercriminels qui utilisent des outils d’IA génératifs, tels que ChatGPT, n’ont pas besoin de réfléchir à la façon de formuler leurs demandes d’informations. ChatGPT a inclus un langage d’urgence, un endroit pour que le cybercriminel insère un lien de phishing et même une menace stipulant que le compte de la cible sera suspendu autrement.

IA pour la recherche

L’IA générative peut également aider les cybercriminels à rechercher leurs cibles. Plus tôt cette année, le FBI a averti les individus et les entreprises à propos de la réception de messages plus personnalisés et adaptés, que les cybercriminels créent à l’aide de l’IA. Comme il faut du temps à un cybercriminel pour rechercher chacune de ses cibles, l’IA accélère cette tâche en traitant et en synthétisant les informations sur la cible d’un cybercriminel. Cela permet aux cybercriminels d’en savoir plus sur leurs cibles et leurs intérêts sans passer autant de temps à faire de la recherche laborieuse.

IA pour se faire passer pour quelqu’un

Dans certaines situations, les cybercriminels peuvent utiliser l’IA pour imiter la façon dont les gens écrivent généralement leurs e-mails ou leurs textes, et ils peuvent même utiliser l’IA pour imiter la voix des gens. L’IA peut également générer des éléments visuels, tels que des photos ou des vidéos, pour se faire passer pour quelqu’un que ses cibles connaissent. Après avoir vu une photo de profil familière ou une vidéo publiée, quelqu’un peut croire qu’il envoie des informations personnelles ou de l’argent à quelqu’un de son entourage. Cependant, les cybercriminels utilisent l’IA pour créer des deepfakes – en savoir plus ci-dessous.

Exemples d’attaques de phishing compatibles avec l’IA

À mesure que les attaques de phishing basées sur l’IA deviennent de plus en plus courantes, il existe plusieurs types d’attaques auxquels vous devriez faire attention. Examinons quelques exemples d’attaques de phishing compatibles avec l’IA.

E-mails et textes de phishing générés par l’IA

Avant que l’IA ne devienne un outil utile pour les cybercriminels dans les attaques de phishing, les gens pouvaient facilement repérer les messages de phishing par e-mail ou par texte, car ils comportaient généralement une variété de fautes d’orthographe et de grammaire. Par exemple, la plupart des e-mails de phishing comprenaient des fautes de frappe évidentes ou des phrases mal formulées, comme si la personne écrivant le message ne parlait pas la langue. Cependant, les e-mails et les textes de phishing générés par l’IA sont plus complexes, car l’IA élimine ces erreurs évidentes.

Par exemple, un cybercriminel pourrait envoyer un e-mail de phishing généré par l’IA à un employé ciblé d’une grande entreprise. L’employé peut être formé pour détecter les e-mails de phishing s’ils présentent des signes évidents de faute de frappe et de problèmes grammaticaux. Toutefois, si l’e-mail de phishing est suffisamment persuasif et que le cybercriminel se fait passer pour le patron de l’employé, le message peut sembler légitime à l’employé, et il peut partager des informations privées par e-mail.

Attaques de vishing compatibles avec l’IA

Le Vishing, un type d’attaque de phishing qui se produit lors d’appels téléphoniques, est devenu plus dangereux en raison des outils d’IA. Dans les attaques de vishing typiques, le cybercriminel se fait passer pour une entreprise ou un individu auxquels la cible fait confiance pour augmenter ses chances de recevoir de l’argent ou des informations. Cependant, dans les attaques de vishing compatibles avec l’IA, les cybercriminels peuvent se faire passer pour quelqu’un de leur cible en examinant des voix familières provenant d’enregistrements vidéo ou audio. Une fois que l’IA a traité ces voix, le cybercriminel peut masquer sa propre voix et parler comme s’il était le parent, l’ami ou le patron de la cible. L’IA utilisée de cette façon rend l’attaque de vishing plus persuasive si la cible identifie la voix à l’autre bout du téléphone.

Cela a été observé récemment dans les escroqueries technologiquement avancées pour les grands-parents, qui impliquent des cybercriminels téléchargeant des vidéos ou des enregistrements audio des proches de leur cible à partir des réseaux sociaux. Les cybercriminels utilisent l’IA pour se faire passer pour la voix d’un proche, trompant une personne âgée en lui faisant croire que le membre de sa famille est en danger, ce qui entraînera généralement l’envoi de l’argent.

Attaques de spear phishing compatible avec l’IA

Les attaques de spear phishing se produisent lorsqu’un cybercriminel cible une personne ou une organisation spécifique en utilisant des informations antérieures à leur sujet, telles que leur nom, leur adresse e-mail ou leur numéro de téléphone. Bien que cela puisse sembler similaire à une attaque de phishing traditionnelle, le spear phishing est une cyberattaque plus personnalisée et ciblée, ce qui rend difficile pour une cible de savoir qu’un message fait partie d’une attaque de phishing. Les cybercriminels utilisent l’IA à des fins de recherche pour collecter des informations sur leurs cibles, puis utilisent des outils d’IA génératifs comme ChatGPT pour écrire des e-mails et des textes en fonction des informations recueillies.

Par exemple, disons qu’un cybercriminel veut cibler un étudiant en stage dans une grande société financière. Pour gagner du temps, le cybercriminel utilise l’IA pour analyser les réseaux sociaux de la cible et d’autres dossiers publics. Une fois que l’IA a recueilli suffisamment d’informations sur la cible et son rôle au sein de son organisation, le cybercriminel peut saisir ces informations dans un outil d’IA générative et écrire un e-mail personnalisé se faisant passer pour le collègue ou le patron de la cible pour la persuader de partager des informations privées.

Deepfakes générés par l’IA

Bien que les deepfakes existent depuis un certain temps, ils deviennent de plus en plus difficiles de les détecter en raison des progrès de la technologie d’IA. Les deepfakes sont des formes de médias, tels que les photos, les enregistrements audio et les vidéos, qui modifient l’aspect d’une personne la faire apparaître comme quelqu’un qu’elle n’est pas. Par exemple, les deepfakes récents sur les réseaux sociaux dépeignent des célébrités s’engageant dans des activités inappropriées avec d’autres célébrités ou des personnes ordinaires alors que ces interactions ne se sont jamais réellement produites. Ils sont souvent utilisés avec des intentions malveillantes, telles que le chantage ou la propagation de fausses informations. Les deepfakes générés par l’IA deviennent si réalistes que même les forces de l’ordre ont du mal à discerner si une image ou une vidéo est fausse. En raison de la nature de ces deepfakes, les cybercriminels utilisent l’IA pour mener diverses attaques de phishing, car de nombreuses personnes croient ce qu’elles voient.

Comment vous protéger des attaques de phishing compatibles avec l’IA

Bien que les attaques de phishing compatibles avec l’IA deviennent de plus en plus fréquentes et nuisibles, il existe encore des moyens de vous protéger de ces cyberattaques avancées.

Ne cliquez jamais sur les liens et les pièces jointes non sollicités

Pour protéger vos informations et vos appareils privés, ne cliquez jamais sur les liens ou ne téléchargez jamais de pièces jointes à partir de messages non sollicités. Si vous recevez un e-mail ou un message texte non sollicité vous invitant à cliquer sur un lien pour vérifier les informations de votre compte, il s’agit probablement d’une arnaque. En cliquant même sur un lien sans faire attention, vous pouvez risquer d’installer un logiciel malveillant sur votre appareil qui peut voler vos données personnelles. Vous pouvez vérifier si un lien est sûr en passant la souris sur l’URL ou en copiant-collant en toute sécurité le lien dans un vérificateur d’URL comme Google Transparency Report.

Il en va de même pour les messages non sollicités avec des pièces jointes : ne les téléchargez pas sur votre appareil. Par exemple, si un e-mail non sollicité comporte un PDF ou un tableau que vous êtes invité à ouvrir, ne cliquez pas dessus, car il comporte probablement un logiciel malveillant. Si vous cliquez sur ou téléchargez une pièce jointe non sollicitée, vous pouvez déclencher une infection par un logiciel malveillant qui expose vos informations privées à un risque d’être envoyées au cybercriminel et compromises. Vérifiez si une pièce jointe est sûre à l’aide d’un logiciel antivirus, vérifiez à deux reprises que l’expéditeur est légitime et ignorez les messages marqués comme spam par votre fournisseur de messagerie.

Ne répondez pas aux demandes non sollicitées de vos informations personnelles

Vous devez ignorer toute demande non sollicitée par e-mail, par SMS ou par téléphone qui vous demande vos informations personnelles. Si vous recevez un appel téléphonique d’un numéro de téléphone non identifié prétendant être une personne ou une entreprise familière, demandez-vous pourquoi ils appelleraient à l’improviste pour demander vos informations personnelles avant de répondre. Voici quelques types de renseignements personnels courants pour lesquels vous devriez vous méfier lorsqu’il s’agit de les partager dans le cas de demandes non sollicitées :

Méfiez-vous des offres qui semblent trop belles pour être vraies

Lorsque les cybercriminels utilisent l’IA pour effectuer des recherches, il devient plus facile pour eux de déterminer les intérêts de leur cible. Ne croyez pas les offres qui semblent trop belles pour être vraies, surtout si elles font appel à quelque chose que vous vouliez. Par exemple, si vous recevez un e-mail ou un texte vous disant que vous avez gagné une fourniture à vie de votre produit cosmétique préféré, soyez prudent, car il s’agit probablement d’un stratagème pour vous faire cliquer sur quelque chose de dangereux ou partager des informations personnelles.

Créez un mot de passe sûr avec votre famille

Un mot de passe ou un code de famille sûr est quelque chose que vous devez créer pour vérifier l’identité d’une personne suspecte. Par exemple, si quelqu’un vous appelle ou un membre de votre famille et prétend être quelqu’un que vous connaissez, demandez à l’appelant votre mot de passe. Si l’appelant se trompe sur le mot, vous savez que l’appel fait partie d’une attaque de phishing. Assurez-vous que votre mot de passe n’est pas quelque chose qu’un cybercriminel ou une IA pourrait deviner en effectuant des recherches sur vous ou votre famille en ligne. Avoir un mot de passe unique vous aidera à vous protéger, vous et votre famille, et vous évitera de tomber dans le piège d’attaques de phishing compatibles avec l’IA.

Utilisez un gestionnaire de mots de passe

L’un des meilleurs moyens de vous protéger des attaques de phishing compatibles avec l’IA est d’utiliser un gestionnaire de mots de passe comme Keeper. Un gestionnaire de mots de passe non seulement stocke vos mots de passe dans un endroit sûr, mais protège également vos informations des attaques de phishing s’il dispose d’une fonction de remplissage automatique. La fonctionnalité de Keeper Password Manager, KeeperFill, ne remplira vos identifiants de session que si le site Web stocké dans votre coffre-fort numérique correspond au site Web que vous visitez.

Restez à l’écoute des dernières actualités en matière de cybersécurité

Étant donné que l’IA ne cesse d’évoluer et que les cyberattaques évoluent au fil du temps, il est important de rester informé des dernières actualités et événements en matière de cybersécurité. De nombreux blogs et articles sont publiés quotidiennement pour couvrir les dernières violations de données, les tendances de l’escroquerie et les cybermenaces émergentes. Un moyen facile pour vous de rester informé est de suivre plusieurs blogs et sites Web de cybersécurité, notamment Dark Reading, SecurityWeek et Keeper Security Blog.

Évitez d’être victime d’attaques de phishing compatibles avec l’IA

Tout type d’attaque de phishing peut entraîner le vol de vos informations privées ou de votre argent par un cybercriminel, mais les attaques de phishing basées sur l’IA évoluent rapidement et deviennent encore plus dangereuses. Protégez-vous et protégez-vous votre vie privée en évitant les liens ou les pièces jointes non sollicités, en ne partageant pas d’informations personnelles dans les demandes non sollicitées, en créant un mot sûr et en utilisant un gestionnaire de mots de passe.

Commencez votre essai gratuit de 30 jours de Keeper Password Manager dès aujourd’hui pour commencer à protéger vos mots de passe et vos comptes en ligne des cybercriminels.