Une étude montre à quel point les cyberattaques générées par l'IA réussissent déjà. Le plus grand danger réside dans l'évolutivité facile des attaques de spear phishing - à la fois en termes de quantité et de qualité.
Outre de nombreux encouragements pour les développements actuels dans le domaine de l'intelligence artificielle (IA), certaines voix critiques se sont également élevées ces dernières semaines. Les experts en cybersécurité, y compris ceux de SoSafe, le principal fournisseur européen de sensibilisation et de formation à la sécurité, ont depuis longtemps mis en garde contre la possibilité que l'IA générative puisse écrire de meilleurs e-mails de phishing que les humains. Les premières recherches* de SoSafe montrent maintenant que cet avertissement est justifié : les e-mails de phishing écrits avec l'IA sont déjà ouverts par 78 % des personnes et ne sont pas reconnus au premier coup d'œil. Parmi ceux-ci, 21 % ont cliqué sur du contenu malveillant dans les e-mails de phishing composés par l'IA, tels que des liens ou des pièces jointes. 65% ont même été tentés par les e-mails générés par l'IA de divulguer des informations personnelles dans les champs de saisie des sites Web liés.
Hameçonnage : Ouvrez et cliquez
Les attaques de phishing générées par l'homme ont été cliquées légèrement plus fréquemment (27 %) par les personnes participant à l'étude menée, tandis que les taux d'ouverture pour les e-mails de phishing générés par l'IA et par l'homme étaient tout aussi élevés. Les taux d'engagement étaient encore plus élevés pour les e-mails générés par l'IA, avec seulement 60 % des personnes fournissant des données supplémentaires dans les e-mails générés par l'homme.
"Il est important de noter que notre étude a été menée à l'aide du modèle ChatGPT 3.5 avec des thèmes et des questions communs", a déclaré le Dr. Niklas Hellemann, PDG et fondateur de SoSafe. « Même avec ces e-mails de phishing simples et non personnalisés générés par l'IA, nos données montrent que les gens ont du mal à repérer les attaques de phishing générées par l'IA. Au fur et à mesure que la technologie progresse avec des modèles plus matures comme ChatGPT-4 et la personnalisation à grande échelle, nous nous attendons à ce que les attaques deviennent encore plus dangereuses, car la plus grande menace réside dans leur potentiel d'évolutivité.
Les outils d'IA générative accélèrent les attaques de phishing
Les recherches menées par l'équipe d'ingénierie sociale de SoSafe montrent que les outils d'IA générative peuvent aider les groupes de pirates à composer des e-mails de phishing au moins 40 % plus rapidement. Les cybercriminels peuvent donc augmenter considérablement leurs taux de réussite avec des moyens même simples. Dans le même temps, la barrière à l'entrée pour la réalisation d'attaques de spear phishing à grande échelle, dans lesquelles les préférences et les habitudes de personnes cibles spécifiques servent de base à des attaques sur mesure, est également abaissée - car la personnalisation des attaques de phishing est également rendu évolutif par l'IA. Les outils d'IA peuvent être alimentés en informations personnelles qui aident à maintenir la qualité des attaques de spear phishing, même avec un nombre élevé de cibles. De plus, les outils d'IA générative apportent également des avantages créatifs et aident les cybercriminels à trouver de nouvelles idées. De cette façon, les groupes de pirates peuvent envoyer beaucoup plus d'e-mails de phishing dans toutes les langues et en haute qualité en moins de temps qu'auparavant. Cela rend les attaques de phishing à grande échelle beaucoup plus efficaces – et aussi plus efficaces.
Attention accrue
"Avec l'émergence de 'Large Language Models' pris en charge par l'IA et l'augmentation massive du potentiel de mise à l'échelle qui en résulte, la situation des cybermenaces continue de s'aggraver", déclare Hellemann. "Les premières études ont montré que l'IA peut déjà écrire de meilleurs e-mails de phishing que les humains. Nos données montrent clairement les conséquences : une personne sur cinq est victime d'attaques de phishing créées par l'IA. Et ce n'est que le début : la technologie continuera d'évoluer, offrant aux cybercriminels plus d'options. Le passage de ChatGPT-3 à ChatGPT-4 a déjà porté la mise à l'échelle de la personnalisation à un nouveau niveau.
Plus sur SoSafe.com
À propos de SoSafe
SoSafe aide les organisations à développer leur culture de sécurité et à atténuer les risques grâce à sa plateforme de sensibilisation conforme au RGPD. 2018 par Dr. Fondée par Niklas Hellemann, Lukas Schaefer et Felix Schürholz, SoSafe compte aujourd'hui plus de 3.000 370 clients dans le monde et est l'un des principaux fournisseurs de sensibilisation et de formation à la sécurité en Europe. Avec des éléments de psychologie comportementale et des algorithmes intelligents, SoSafe permet des expériences d'apprentissage personnalisées et des simulations d'attaques qui motivent et forment les employés à se protéger activement contre les menaces en ligne. L'équipe SoSafe se compose désormais de plus de XNUMX employés répartis sur cinq sites : Cologne (siège), Amsterdam, Berlin, Londres et Paris.