Les signes d'un faux e-mail étaient autrefois relativement évidents : fautes d'orthographe, erreurs grammaticales, formulations maladroites et adresses d'expéditeurs suspectes. Mais que se passe-t-il lorsqu'un e-mail ne contient pas ces signes évidents et provient d'un expéditeur familier avec un message d'accueil et une demande familiers ? Pire encore, que se passe-t-il lorsque cette communication illicite prend la forme d'un appel vidéo deepfake ?
Malheureusement pour les entreprises, l'activité de menace alimentée par l'IA a transformé cette possibilité en réalité. Récemment, l'équipe de Threat Intelligence d'Okta a signalé des escroqueries aux offres d'emploi IT menées par des agents de la République populaire démocratique de Corée qui utilisent l'IA générative de diverses manières, notamment en créant des lettres de motivation et des CV convaincants, afin d'obtenir et de conserver un emploi à distance dans le secteur IT.
L'essor des technologies d'IA générative, qui utilise l'IA pour créer du contenu original tel que des textes, des images et des audios, permet aux cybercriminels de lancer rapidement des attaques multicanaux et d'ajouter de la crédibilité et de l'urgence à leurs messages. Plutôt que d'envoyer simplement un e-mail de phishing, une cible peut recevoir un e-mail, une vidéo deepfake et un SMS. L'IA peut également potentiellement renforcer ces efforts en automatisant la collecte de données accessibles au public pour créer du contenu frauduleux.
Appelez cela du social engineering dopé aux stéroïdes. L'année dernière, la société d'ingénierie multinationale Arup a informé la police de Hong Kong qu'un employé du service financier avait été dupé pour transférer des millions des caisses de l'entreprise par un appel vidéo deepfake. Selon les rapports, l'employé était initialement sceptique après avoir reçu un message qui spoke d'une transaction secrète à réaliser. Cependant, l'appel vidéo deepfake, qui comprenait des versions créées numériquement du Chief Financial Officer de l'entreprise et d'autres personnes, a permis de vendre l'escroquerie. Ce n'est que plus tard, lorsque l'employé a contacté le siège social, que la personne a réalisé qu'elle avait été trompée.
Il n'y a pas que le secteur des affaires qui soit visé. Le 15 mai, le FBI a averti que de hauts fonctionnaires américains faisaient l'objet d'une usurpation d'identité dans le cadre d'une campagne malveillante de SMS et d'appels vocaux. La campagne ciblait « des individus, dont beaucoup sont d'anciens ou d'actuels hauts fonctionnaires du gouvernement fédéral ou de l'État américain et leurs contacts ».
À mesure que l'IA rend ces escroqueries plus efficaces, la Formation et la sensibilisation à la sécurité ainsi que la gestion des identités deviendront des éléments de plus en plus critiques de la défense de première ligne d'Enterprise.
Ériger un pare-feu humain
Alors, à quoi devrait ressembler la sensibilisation à la sécurité à l'ère des attaques alimentées par l'IA ? Lorsque les Enterprise instaurent une culture de la sécurité, le résultat est un pare-feu humain, où les employés deviennent un bouclier contre les cyberattaques.
Selon Ben King, Vice-président pour la sécurité, la confiance et la culture chez Okta, la clé pour instaurer une culture de sécurité forte est de combattre ces attaques sur trois fronts :
Politiques — Organizations ont besoin de politiques claires, telles que l'authentification multifacteur obligatoire, les confirmations verbales directes sur les canaux connus existants pour les transactions majeures, et la vérification des identités numériques.
Formation : Les employés doivent suivre régulièrement des formations basées sur des scénarios, présentant les menaces courantes, existantes et en évolution, pour les sensibiliser.
Culture — Les dirigeants doivent bâtir une culture du scepticisme qui encourage et récompense le reporting des activités suspectes afin de mettre en évidence les nouveaux risques au fur et à mesure qu'ils surviennent.
Il est intrinsèquement difficile de reconnaître les deepfakes et les e-mails frauduleux. Des différences subtiles, telles qu'une résolution incohérente, peuvent permettre aux collaborateurs vigilants de repérer une image créée numériquement. King a mis en garde contre plusieurs signes révélateurs d'acteurs malveillants lors de réunions en temps réel ou d'entretiens avec des candidats. Cela inclut la réticence à apparaître à la caméra, les arrière-plans flous ou virtuels, les changements de voix inattendus ou les bruits de fond inhabituels, ainsi que la difficulté à engager une conversation anodine ou à répondre à des questions personnelles.
"La formation doit inclure l'identification des indices linguistiques subtils, des incohérences contextuelles et des protocoles de vérification, plutôt que de simplement repérer les fautes d'orthographe évidentes ou la mauvaise grammaire", a conseillé King. « Les plateformes d'apprentissage adaptatif qui personnalisent la formation en fonction des rôles individuels, de l'expérience et des menaces passées, ainsi que des attaques simulées basées sur l'IA, seront plus utiles. » De même, sensibiliser à la réalité du phishing de masse, des produits de base alimentés par l'IA et d'autres médias synthétiques convaincants permettra, avec le temps, de réduire la confiance aveugle et d'accroître la méfiance des employés.
En fonction du profil de risque de la personne ou de l'entité de l'organisation, des étapes de vérification supplémentaires peuvent être nécessaires. Une transaction financière importante, par exemple, peut nécessiter plusieurs demandes d'authentification, telles que l'authentification multifacteur (MFA) et la communication omnicanale. Bien que social engineering représente toujours un risque, les contrôles compensatoires, y compris l'authentification multifacteur (MFA) résistante au phishing telle que Okta FastPass, peuvent considérablement réduire le risque de compromission dû au phishing, a déclaré King.
Ce mariage de la technologie et des attitudes axées sur la sécurité est crucial à mesure que l'activité des menaces devient plus sophistiquée. Comme toujours, une bonne dose de scepticisme peut sauver la situation. Les e-mails de phishing générés par l'IA porteront souvent encore certaines des mêmes caractéristiques que les attaques de phishing traditionnelles, telles qu'un sentiment d'urgence et une demande d'informations personnelles ou professionnelles. Si un message ou une vidéo vous semble inhabituel, cela pourrait très bien être le cas, et les employés devraient s'exprimer.
« Faire face aux attaques pilotées par l'IA sera extrêmement difficile en raison de leur réalisme croissant et de leur capacité à contourner les défenses standard », a déclaré King. « Au fur et à mesure qu'ils gagnent en complexité et en réalisme, les employés doivent pouvoir se reposer sur leur formation en sécurité et faire confiance à leur intuition pour réagir avec assurance et clarté face à tout ce qui est suspect. »
Pour en savoir plus sur la façon de vous protéger, vous, vos employés, votre entreprise et vos clients contre les attaques de phishing, consultez notre Ultimate guide to phishing prevention.
Ce message ne représente pas nécessairement la position, les stratégies ou l'opinion d'Okta.
