Les attaques de phishing, qui sont des attaques d'ingénierie sociale visant à voler les données des utilisateurs, connaissent une révolution. Le récent développement rapide de l’IA a fait plus qu’ouvrir de nouvelles voies aux entreprises légitimes : ChatGPT est désormais utilisé pour mener des escroqueries par phishing.
Découvrez comment LayerX peut aider votre équipe de sécurité
Que sont les attaques de phishing ?
Le phishing existe depuis presque aussi longtemps qu’Internet. Les premières attaques ont tiré parti d'une sécurité rudimentaire de la messagerie électronique, qui permettait aux attaquants de récupérer des adresses e-mail et de diffuser des messages malveillants sur les ondes. La figure de proue des premières attaques de phishing était l’arnaque nigériane Prince. En cela, un membre de l’apparente famille royale nigériane tendrait la main aux victimes potentielles en leur offrant une somme d’argent faramineuse. En jouant sur leur insécurité financière, les personnes vulnérables se verraient promettre la somme une fois qu'elles auront envoyé des « frais de traitement ».
Les attaques modernes ont pris ce modèle et se sont développées et ont prospéré bien au-delà des supercheries chargées de fautes de frappe. En raison du grand volume d’informations traitées aujourd’hui par les comptes en ligne, les attaquants visent désormais à tout collecter, depuis les coordonnées bancaires jusqu’aux noms d’utilisateur et mots de passe. Sous couvert d’une source légitime et réputée, un attaquant tente d’extraire des informations avec une demande alléchante ou alarmante.
Dans une récente preuve de concept – malgré l'avertissement de l'outil concernant une violation potentielle de sa politique de contenu – les chercheurs ont demandé à l'outil d'usurper l'identité d'un e-mail provenant d'une société d'hébergement. Cela a créé une bonne première ébauche. Réitérant sur cette première tentative, ils ont ensuite demandé une variante qui convainc la cible de télécharger un document Excel du cheval de Troie.
Voici le résultat :
Les chercheurs sont allés plus loin : avec le programme Codex d'Open AI – utilisé pour convertir du texte en code – ils ont pu créer un document Excel qui commençait automatiquement à télécharger du code malveillant dès son ouverture. Malgré les limitations imposées à ces systèmes d'IA, le Codex n'a pas réussi à identifier l'intention malveillante contenue dans la demande. Tout comme l'e-mail de phishing de ChatGPT, le code initial présentait des défauts, mais après quelques itérations, il offrait un script malveillant parfaitement fonctionnel.
À mesure que les attaques de phishing évoluent, il est essentiel que votre organisation garde une longueur d'avance.
Comment fonctionne l'hameçonnage
Le cœur de toute attaque de phishing est le message. Cela peut se faire par e-mail, via les réseaux sociaux ou par téléphone. La connexion constante des smartphones et appareils modernes constitue la plus grande surface d’attaque de l’histoire de la cybersécurité.
Un attaquant de phishing utilise souvent des informations publiques, qu'il s'agisse d'informations publiées sur des comptes de réseaux sociaux ou de fuites antérieures subies par les principaux collecteurs de données. Ces informations générales les aident à créer un profil de victime, comprenant le nom, les intérêts personnels et l'expérience professionnelle du destinataire. Toutes ces données sont intégrées à une attaque pour créer un message fiable et convaincant. Les destinataires des attaques de phishing modernes sont sélectionnés chaque année parmi les millions d’adresses e-mail impliquées dans des violations de données. La récente étude d'IBM et de Ponemon sur le coût des violations de données a révélé que les violations de données coûtent désormais en moyenne près de 4 millions de dollars, avec jusqu'à 90 % des entreprises ayant subi une violation tout au long de l'année dernière. Les coordonnées divulguées sont échangées via des marchés clandestins, regroupées dans des bases de données utilisables pour des campagnes de phishing généralisées.
L'e-mail qui apparaît dans la boîte de réception d'une victime tente souvent de se faire passer pour légitime : ces campagnes peuvent être soutenues par des pièces jointes malveillantes et des sites Web complémentaires, conçus pour collecter encore plus de données personnelles sur leurs victimes.
Types d'attaques de phishing
Les attaquants utilisent différents canaux pour contacter leurs victimes. Ces attaques de phishing représentent une grande variété de compromissions, chaque type s'appuyant sur certains atouts de son support.
Phishing email
Il s'agit de l'une des formes de phishing les plus anciennes et les plus efficaces : les attaquants s'enregistrent souvent sous des noms de domaine qui sont proches de la version légitime de ceux-ci. Ceux-ci peuvent aller de domaines de messagerie complètement amateurs – si les attaquants choisissent de cibler délibérément ceux qui lisent les e-mails – ou de domaines de messagerie usurpés qui semblent presque identiques à leurs versions légitimes. Le remplacement ou l'ajout de caractères spéciaux est l'une des approches les plus courantes (passer de mybank à my-bank, par exemple). Avec une usurpation d'identité solide, ils commencent alors à spammer des attaques de phishing sur des milliers de victimes potentielles.
Le smishing
Alors que les attaques de phishing traditionnelles reposent sur le courrier électronique, les smartphones ont ouvert une toute nouvelle approche des attaques au cours de la dernière décennie. Les messages SMS frauduleux tirent pleinement parti des protocoles de sécurité plus souples utilisés par les appareils mobiles (et leurs utilisateurs). Ces messages renvoient souvent à un site infecté par un logiciel malveillant contrôlé par l'attaquant, avec des URL raccourcies et un manque de survol de la souris permettant aux attaquants de prendre le dessus.
Spear Phishing
Face à l’efficacité croissante de l’approche « pulvérisation et prière », les attaquants se sont tournés vers une forme d’attaque plus puissante : le spear phishing. Cela condense les efforts des attaquants sur un plus petit nombre de victimes, en ciblant quelques-unes en particulier. Ces attaques bénéficient de toute la force de l'attention de l'attaquant, tout en utilisant toute l'étendue des informations contenues dans les profils publics Facebook et LinkedIn.
vishing
Similaire au smishing, les attaquants sont également désireux d'utiliser d'autres approches : le phishing vocal, ou vishing, exploite la relation plus directe entre un appelant et une victime. Cela rend certains aspects des attaques de phishing – tels que l’urgence induite et les menaces – particulièrement puissants. Ici, les attaquants utilisent la même approche astucieuse, se faisant souvent passer pour une équipe d'enquête sur les escroqueries de la banque de la victime. À partir de là, les criminels demandent souvent les informations de carte de crédit de la victime afin de vérifier son identité. Toutefois, le vishing peut également être automatisé : ces appels automatisés demandent souvent à l'utilisateur final de saisir des informations personnelles sur le clavier.
Phishing à la ligne
Alors que de nombreux attaquants poursuivent activement leurs victimes potentielles, le phishing des pêcheurs adopte une approche différente, en attendant qu'elles les contactent. En se cachant derrière la façade d’un faux compte de réseau social pour une véritable organisation bien connue, l’attaquant peut également inclure la photo de profil du véritable compte. Parallèlement à une fausse identité convaincante, les pêcheurs à la ligne profitent de la tendance croissante à traiter les plaintes des consommateurs via les réseaux sociaux. Tandis que les clients les utilisent pour demander de l'aide, les attaquants sont libres de manipuler la conversation pour atteindre leurs propres objectifs de collecte de données.
Comment identifier les signes de phishing ?
Alors que l'ingénierie sociale est un élément majeur des e-mails malveillants, il y a une bonne nouvelle : les attaquants s'appuient souvent sur quelques approches clés dans leur messagerie. Celles-ci sont suffisamment récurrentes pour qu'en gardant simplement l'œil ouvert, il devienne possible de repérer les attaques de phishing sans effort avant de cliquer sur un lien ou un document malveillant.
Conséquences négatives et urgentes
Tout message menaçant ou mettant particulièrement l’accent sur des conséquences négatives doit être considéré avec une extrême prudence. En effet, l'implication d'une menace déclenche la réponse du cerveau au cortisol. Alors que le cœur bat plus vite et que le sang afflue vers les muscles en réponse directe à cette hormone du stress, l’agresseur détourne cette réponse biologique. C'est l'une des raisons pour lesquelles les faux e-mails de réinitialisation de mot de passe constituent un outil si puissant dans l'arsenal des attaquants : en se cachant sous la menace d'une compromission de compte, les attaquants sont capables de contourner les processus de pensée critique qui vous protègent généralement. Lorsqu'elles sont associées à un ton urgent, les victimes sont très enclines à se conformer à toutes les demandes de l'agresseur.
Ton inhabituel
Une autre caractéristique des messages de phishing qui devrait déclencher une alarme immédiate chez le destinataire est un ton inapproprié ou inattendu. L’avantage des victimes est simple : vous savez combien de vos collègues, amis et membres de votre famille communiquent. Cette prise de conscience vous place sur une base plus solide pour détecter les cas de communication anormale. Si un ami proche envoie un message incluant un langage formel, ou si un collègue commence à utiliser des termes trop amicaux, cela peut être le premier indicateur qui vous permet de vous protéger.
Demandes inattendues
Semblable au ton de l'e-mail, les requêtes intégrées à un e-mail de phishing peuvent fournir un autre aperçu de la véritable intention de l'expéditeur. Si l'on vous demande soudainement d'effectuer une action qui ne fait pas partie de vos tâches habituelles, cela vaut la peine de prendre une seconde supplémentaire pour vérifier. Cela peut tirer parti de la meilleure compréhension contextuelle dont disposent les victimes : par exemple, si votre organisation dispose d'une équipe informatique centrale qui gère l'installation des logiciels, vous savez qu'il faut traiter tout e-mail demandant le téléchargement d'un logiciel avec une extrême prudence.
Comment protéger votre entreprise contre les attaques de phishing
S'il est possible que des individus se méfient énormément du phishing, il n'en demeure pas moins que le phishing à l'échelle de l'entreprise n'est qu'un jeu de statistiques : quelqu'un, quelque part, sera pressé et ouvrira la porte aux attaquants. Protection à l'échelle de l'entreprise nécessite un mélange de formations engageantes et centrées sur les habitudes, et de solutions qui aident mieux les employés à rester protégés.
Formation de sensibilisation des employés
La fondation de solide protection contre le phishing les plans commencent avec la victime : en fournissant aux employés des informations à jour et pertinentes sur la nature des attaques actuelles, les attaques d'ingénierie sociale deviennent beaucoup plus difficiles à commettre avec succès. Cela fait de la formation des employés l’une des formes de défense les plus importantes de l’entreprise. Les employés doivent comprendre les objectifs et les techniques des attaques de phishing de pointe, et savoir à quels membres de l'équipe signaler les incidents suspects. De cette façon, l’organisation non seulement soutient les employés, mais adopte également une position proactive en matière de cybersécurité qui s’adapte et évolue avec les attaquants.
Parallèlement, les employés doivent être encouragés à garder un œil sur les indicateurs positifs de sécurité : les badges de confiance de solutions antivirus réputées offrent un indicateur rapide et accessible de la sécurité des sites et des applications.
Limiter l'accès
Tandis que les utilisateurs améliorent leur propre protection contre le phishing, les politiques à l’échelle de l’entreprise peuvent soutenir ces efforts. Les comptes d'utilisateurs privilégiés sont l'une des cibles les plus importantes pour les auteurs d'attaques, grâce au plus grand rayon d'explosion accordé pour une attaque réussie. Le principe du moindre privilège permet aux employés de continuer à accéder aux données dont ils ont besoin, tout en minimisant le risque de devenir une cible.
Testez la résilience avant que les attaques ne frappent
Avec une formation et une infrastructure en place, la résilience de votre organisation face au phishing commence déjà à prendre forme. Cependant, le coût des violations de données est aujourd’hui trop élevé pour prendre des risques. C’est pourquoi les équipes de sécurité et les utilisateurs finaux bénéficient énormément des simulations d’attaques de phishing semi-régulières. Qu'il s'agisse d'utilisateurs se familiarisant avec les techniques d'attaque modernes ou d'une vision globale de la qualité réelle de la défense d'une entreprise, ces tests constituent un atout pour une protection proactive contre le phishing.
Prévention du phishing avec la plateforme de sécurité du navigateur LayerX
La dernière pièce du puzzle anti-phishing est une couche de mécanismes préventifs qui bloquent des attaques totalement nouvelles. Les solutions anti-phishing traditionnelles fonctionnent en bloquant les URL connues déjà utilisées par les attaquants. Bien qu’efficace contre les auteurs de menaces plus anciens et plus établis, cette approche est entièrement réactive : elle ne peut empêcher les attaques que si l’URL de leur choix a été signalée et signalée. Les attaquants, en revanche, sont capables de passer constamment d’une URL à l’autre, ce qui fait que la grande majorité des architectures de phishing restent en dehors du champ d’application de cette protection.
LayerX offre une détection des menaces de haute précision sans dépendre de connaissances préalables. Au lieu d'une simple liste d'URL sur liste noire, LayerX procède à l'identification des sites suspects sur la base d'une analyse de l'activité projetée du site Web. Notre moteur ML indépendant effectue cette analyse en temps réel via un extension de navigateur facile à installer, avec une latence nulle. De cette façon, les intentions malveillantes peuvent être découvertes avant que l'appareil de l'utilisateur final ne se connecte au serveur Web contrôlé par l'attaquant. Grâce à une approche proactive du phishing, votre organisation peut garder une longueur d'avance sur tout attaquant, qu'il soit IA ou humain.