Une nouvelle étude examine les performances de l'IA dans le domaine du phishing. Les résultats montrent que le spear-phishing par IA est très efficace, avec un taux de clics de plus de 50 %, ce qui est supérieur aux humains. Il est également très rentable, puisqu'il permet de réduire les coûts jusqu'à 50 fois. Mais l'IA permettrait également d'atténuer ces menaces grâce à une détection avancée et à des contre-mesures adaptées.Un récent rapport sur le phishing révèle l'augmentation des attaques de phishing personnalisées visant des employés de haut niveau. Selon le rapport, ces escroqueries par hameçonnage sont réalisées à l'aide de systèmes d'intelligence artificielle (IA) afin de leur donner une apparence humaine et d'éviter les signes révélateurs d'un courriel d'escroquerie typique. Ces cyberattaquants utiliseraient également l'IA pour récupérer et analyser des données sur les dirigeants d'entreprise afin d'ajouter une touche personnelle aux messages. Les filtres de sécurité de base seraient insuffisants pour arrêter ces courriels au niveau de l'organisation.
Face à cette situation, des chercheurs ont évalué la capacité des grands modèles de langage (LLM) à mener des attaques d'hameçonnage personnalisées. Ils ont comparé les performances des LLM à celles des experts humains et des modèles d'IA de l'année 2023. Pour se faire, ils ont inclus quatre groupes d'e-mails avec un total combiné de 101 participants. Les attaques automatisées par l'IA ont obtenu des résultats équivalents à ceux des experts humains et 350 % supérieurs à ceux du groupe de contrôle. Ces résultats représentent une amélioration significative par rapport à des études similaires menées en 2023 et mettent en évidence les capacités de tromperie accrues des modèles d'IA.
Les données ont montré un groupe de contrôle composé de courriels d'hameçonnage arbitraires, qui ont obtenu un taux de clics (le destinataire a cliqué sur un lien dans le courriel) de 12 %, des courriels générés par des experts humains (54 % de clics), des courriels entièrement automatisés par l'IA (54 % de clics) et des courriels de l'IA utilisant un humain dans la boucle (56 % de clics).
Les courriels automatisés par l'IA ont été envoyés à l'aide d'un outil sur mesure qui automatise l'ensemble du processus de spear phishing, y compris la collecte d'informations et la création de profils de vulnérabilité personnalisés pour chaque cible. Les informations recueillies par l'IA étaient exactes et utiles dans 88 % des cas et n'ont produit des profils inexacts que pour 4 % des participants.
Les chercheurs ont utilisé des modèles de langage pour détecter l'intention des courriels. Claude 3.5 Sonnet a obtenu des résultats bien supérieurs à 90 % avec de faibles taux de faux positifs et a détecté plusieurs courriels apparemment bénins qui n'ont pas été détectés par l'homme. Ils ont également analysé les aspects économiques de l'hameçonnage, en soulignant comment l'IA permet aux attaquants de cibler un plus grand nombre de personnes à moindre coût et d'augmenter la rentabilité jusqu'à 50 fois pour des audiences plus importantes.
Voici les conclusions des chercheurs lors de l'étude :
Nos résultats révèlent que les modèles d'IA d'avant-garde sont nettement plus performants que l'année dernière dans le domaine de l'hameçonnage (spar phishing) et qu'ils atteignent désormais le même niveau de performance que les experts humains. Cela représente un défi pour les systèmes de cybersécurité actuels. De nombreux filtres anti-spam existants utilisent la détection de signatures (détection de contenus et de comportements malveillants connus). En utilisant des modèles de langage, les attaquants peuvent créer sans effort des courriels d'hameçonnage adaptés à chaque cible, ce qui rend les systèmes de détection des signatures obsolètes.
Au fur et à mesure que les modèles progressent, leurs capacités de persuasion augmenteront probablement aussi. Nous constatons que le spear phishing piloté par LLM est très efficace et économiquement viable, avec une reconnaissance automatisée qui fournit des informations précises et utiles dans presque tous les cas. Les garde-fous actuels ne parviennent pas à empêcher de manière fiable les modèles d'effectuer une reconnaissance ou de générer des courriels d'hameçonnage. Toutefois, l'IA pourrait atténuer ces menaces grâce à une détection avancée et à des contre-mesures adaptées.
Au fur et à mesure que les modèles progressent, leurs capacités de persuasion augmenteront probablement aussi. Nous constatons que le spear phishing piloté par LLM est très efficace et économiquement viable, avec une reconnaissance automatisée qui fournit des informations précises et utiles dans presque tous les cas. Les garde-fous actuels ne parviennent pas à empêcher de manière fiable les modèles d'effectuer une reconnaissance ou de générer des courriels d'hameçonnage. Toutefois, l'IA pourrait atténuer ces menaces grâce à une détection avancée et à des contre-mesures adaptées.
Les résultats de l'étude sont encourageants du point de vue de la cybersécurité. Si l'utilisation de l'IA dans les attaques représente une plus grande menace, l'IA offrirait également un meilleur système de sécurité. En comparaison à une étude de 2023, qui avait montré que les détecteurs d'IA ne fonctionnent pas de manière fiable ou ne fonctionnent pas du tout pour 71,4 % des attaques, l'IA est donc actuellement plus performante pour détecter les e-mails de phishing générés par d'autres IA.
Source : "Evaluating Large Language Models' Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects"
Et vous ?
Pensez-vous que cette étude est crédible ou pertinente ? Quel est votre avis sur le sujet ?Voir aussi :
Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023. Découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés Les détecteurs de texte généré par l'IA ne sont pas aussi précis que certains le prétendent, selon une évaluation de la robustesse des détecteurs sur le benchmark partagé RAID Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »