Okta Threat Intelligence a observé des acteurs malveillants abusant de v0, un outil révolutionnaire d'intelligence artificielle générative (GenAI) créé par Vercel, pour développer des sites de phishing qui imitent des pages web de connexion légitimes.
Cette observation marque une nouvelle évolution dans l'armement de l'IA générative par des acteurs malveillants, qui ont démontré leur capacité à générer un site de phishing fonctionnel à partir de simples invites textuelles. Les chercheurs d'Okta ont pu reproduire nos observations.
L'outil v0.dev de Vercel est un outil basé sur l'IA qui permet aux utilisateurs de créer des interfaces web en utilisant des invites en langage naturel. Okta a observé que cette technologie était utilisée pour créer des répliques des pages de connexion légitimes de plusieurs marques, y compris un client Okta.
Une enquête plus approfondie a révélé que des ressources de pages d'hameçonnage, y compris des logos d'entreprises imités, étaient également hébergées sur l'infrastructure de Vercel. Les cybercriminels hébergent parfois tous les éléments d'un site de phishing au sein de la même plateforme de confiance afin de rendre le site plus légitime. Il s'agit d'une tentative d'échapper à la détection basée sur des ressources extraites des journaux CDN ou hébergées sur une infrastructure disparate ou connue pour être malveillante.
Vercel a restreint l'accès aux sites de phishing identifiés et a collaboré avec Okta sur les méthodes de reporting des infrastructures de phishing supplémentaires.
L'activité observée confirme que les acteurs malveillants actuels expérimentent activement et utilisent les principaux outils d'IA générative pour rationaliser et améliorer leurs capacités de phishing. L'utilisation d'une plateforme comme v0.dev de Vercel permet aux acteurs de menace émergente de produire rapidement des pages de phishing trompeuses et de haute qualité, augmentant ainsi la vitesse et l'ampleur de leurs opérations.
Outre la plateforme v0.dev de Vercel, divers référentiels GitHub publics proposent des clones directs de l'application v0.dev ou des guides de bricolage (DIY) pour la création d'outils génératifs sur mesure. Cette prolifération de l'open source démocratise efficacement les capacités de phishing avancées, fournissant aux adversaires les outils nécessaires pour créer leur propre infrastructure de phishing.
Okta Threat Intelligence a également observé des acteurs malveillants abusant de la plateforme Vercel pour héberger de multiples sites de phishing se faisant passer pour des marques légitimes, notamment Microsoft 365 et des entreprises de cryptomonnaies. Les clients Okta peuvent accéder à l'avis de sécurité détaillé dans le Centre de confiance et de sécurité.
Recommandations clients
Cet incident met en évidence un nouveau vecteur essentiel dans le paysage du phishing. À mesure que les outils d'IA générative deviennent plus puissants et accessibles, les organisations et leurs équipes sécurité doivent s'adapter à la réalité du social engineering basé sur l'IA et des attaques de vol d'identifiants.
Les organisations ne peuvent plus se fier à l'enseignement aux utilisateurs sur la façon d'identifier les sites de phishing suspects en se basant sur une imitation imparfaite des services légitimes. La seule défense fiable consiste à lier cryptographiquement l’authentificateur d’un utilisateur au site légitime sur lequel il s’est inscrit.
Il s'agit de la technique qui alimente Okta FastPass, la méthode sans mot de passe intégrée à Okta Verify. Lorsque la résistance au phishing est appliquée dans la politique, l'authentificateur ne permettra pas à l'utilisateur de se connecter à une ressource autre que l'origine (domaine) établie lors de l'inscription. En termes simples, l'utilisateur ne peut pas être amené à remettre ses identifiants à un site de phishing.
Okta Threat Intelligence recommande les tactiques de défense suivantes :
Appliquez une authentification résistante au phishing : configurez votre organisation pour qu’elle exige une authentification résistante au phishing, comme Okta FastPass, qui offre une assurance de sécurité supplémentaire contre les menaces basées sur les informations d’identification, et donnez la priorité à la désactivation des facteurs anciens et moins sécurisés. En savoir plus sur la prévention du phishing dans notre guide complet.
Lier l'accès aux terminaux de confiance : Les politiques d'authentification peuvent être utilisées pour restreindre l'accès aux comptes utilisateur en fonction d'une série de conditions préalables configurables par le client. Nous recommandons aux administrateurs de restreindre l’accès aux applications et aux données sensibles aux seuls terminaux enregistrés auprès d’Okta ou gérés par des outils de gestion des terminaux et dont la posture de sécurité a été jugée robuste. Cela peut empêcher un attaquant armé d'identifiants volés d'accéder à des ressources sensibles.
Exigez une authentification renforcée pour les accès anormaux : les zones réseau Okta peuvent être utilisées pour contrôler l'accès par emplacement, ASN (Autonomous System Number), IP et si l'adresse IP est associée à des services d'anonymisation. Okta Behavior Detection peut être utilisé pour déclencher une authentification renforcée, refuser l'accès ou déclencher d'autres workflows lorsque le comportement de connexion d'un utilisateur s'écarte d'un précédent modèle d'activité.
Enhance security awareness: Renforcer la formation interne de sensibilisation à la sécurité pour tenir compte des menaces générées par l’IA.
Pour en savoir plus sur ces menaces et sur la façon de vous protéger, consultez l'avis de sécurité dans notre Centre de Confiance Sécuritaire (pour les clients Okta). Pour connaître les dernières nouvelles et perspectives en matière d'identité et de sécurité, abonnez-vous à notre newsletter « Access Granted LinkedIn ».
