Les données d'identité ont toujours été l'un des butins préférés des cybercriminels. Avec leur aide, des compromissions de compte peuvent être initiées et une usurpation d'identité peut être commise. Maintenant, ChatGPT & Co aide également avec des e-mails de phishing parfaits. Une déclaration de Dirk Decker, directeur régional des ventes DACH & EMEA Sud chez Ping Identity.
Les attaquants utilisent généralement l'ingénierie sociale et le phishing. Le taux de réussite de telles attaques, principalement basées sur la masse, est limité. Les e-mails et messages individualisés adaptés à une victime offrent des taux de réussite nettement plus élevés, mais nécessitent également beaucoup plus de travail et sont donc – jusqu'à présent – plutôt l'exception.
ChatGPT & Co aide avec le phishing
Jusqu'à présent, car avec l'apparition des premiers chatbots basés sur l'IA, tels que ChatGPT, les e-mails et les messages sur l'ingénierie sociale et le phishing destinés aux masses peuvent désormais également être individualisés - et cela rapidement, facilement et efficacement. Le taux de réussite d'une seule attaque - sans parler d'une campagne entière - peut être considérablement augmenté grâce à l'IA. Parce que même les e-mails de réponse, jusqu'aux conversations plus longues et très complexes, peuvent être créés automatiquement de manière « réaliste » avec des chatbots basés sur l'IA. Pour ce faire, l'IA n'a besoin que des données personnelles et personnellement identifiables de ses victimes qui sont librement accessibles à tous sur Internet. Elle est même capable de perfectionner les e-mails et les messages en fonction des réactions positives et négatives de ses victimes.
Christina Lekati, experte en défense contre les attaques d'ingénierie sociale, a récemment expliqué à quoi ces attaques basées sur l'IA contre les données d'identité peuvent ressembler dans la pratique dans l'article "ChatGPT et l'avenir de l'ingénierie sociale", qui vaut la peine d'être lu. Le TÜV évalue également le développement émergent comme sérieux. Dans son étude récemment publiée "Cyber Security in German Companies", l'association met explicitement en garde contre l'utilisation abusive des systèmes d'IA par les cybercriminels - également et surtout dans le cadre de la personnalisation et de l'optimisation des campagnes de spear phishing et d'ingénierie sociale.
Simuler en interne des campagnes de phishing basées sur l'IA
Afin de minimiser le taux de réussite potentiel des campagnes soutenues par l'IA, de nombreux experts conseillent désormais de sensibiliser le personnel au problème et de simuler des campagnes de phishing basées sur l'IA afin de détecter les points faibles potentiels et de les contenir à l'avance. De telles mesures préventives sont très bien, mais elles ne suffisent pas à elles seules. Plus est nécessaire – et maintenant aussi possible. Nous parlons de l'utilisation de données d'identité vérifiées et de solutions décentralisées de gestion des identités et de détection et réponse aux menaces d'identité (ITDR).
Afin de minimiser les risques de fraude, de nombreuses entreprises demandent désormais à leurs clients de fournir des données d'identité vérifiables, des copies numériques pouvant être « certifiées » attribuées à la personne par un tiers vérificateur - par exemple une autorité. Pour que les clients acceptent de partager ces données d'identité de haute qualité avec une entreprise, celle-ci doit d'abord établir et garantir un niveau de protection accru des données.
Gestion décentralisée des identités numériques
Ping Identity, Dirk Decker, directeur régional des ventes DACH & EMEA Sud (Image : Ping Identity).
C'est précisément ce que leur permet la gestion décentralisée des identités numériques. Avec une solution de gestion d'identité décentralisée, les données d'identité vérifiées sont stockées, gérées et partagées via un portefeuille numérique crypté sur le smartphone du client. De cette manière, il conserve toujours le contrôle total de ses données. Lui seul décide ce qu'il veut partager, quand et avec qui.
Enfin, l'ITDR permet l'identification, l'atténuation et la réponse appropriée aux scénarios de menace basés sur l'identité tels que les comptes d'utilisateurs compromis, les mots de passe compromis, les données compromises et d'autres activités frauduleuses. L'apprentissage automatique est utilisé pour faire la distinction entre le comportement typique et atypique des utilisateurs humains et robots afin que des contre-mesures puissent être prises à un stade précoce en cas de compromission.
Au cours de l'utilisation abusive croissante de l'IA, il est nécessaire et juste de se protéger plus efficacement qu'auparavant contre le vol d'identité et les compromissions de compte - et grâce aux données d'identité vérifiées, à la gestion décentralisée de l'identité et à l'ITDR, c'est désormais également possible. Les solutions de gestion des identités de nouvelle génération - c'est certain - ne pourront plus échapper à ces fonctionnalités.
Plus sur PingIdentity.com
À propos de l'identité Ping Ping Identity est une garantie d'expériences numériques sécurisées et transparentes pour tous les utilisateurs - sans compromis. C'est ce que nous entendons par liberté numérique. Nous permettons aux organisations de combiner les meilleures solutions d'identité avec les services tiers qu'elles utilisent déjà pour éliminer l'utilisation de mots de passe, prévenir la fraude, renforcer la confiance zéro ou tout le reste.