Au début, les attaques de phishing étaient souvent très simples et utilisaient des sources légitimes de communication écrite telles que le courrier électronique pour accéder à des données sensibles.
À l’ère de l’IA, il est tentant de réfléchir à la manière dont les attaquants modernisent leurs méthodes de phishing. Avec la popularité croissante des outils GenAI, les attaques de phishing vocales – également connues sous le nom de « vishing » – sont devenues la nouvelle norme et l’évolution des méthodes d’attaque se poursuit.
Le phishing comme tremplin
Pour comprendre l’importance du phishing dans l’industrie des logiciels malveillants, il est utile d’examiner l’anatomie d’une attaque. Ce sont généralement les attaques de ransomwares réussies qui retiennent toute l’attention des médias. Cependant, le placement réussi de chevaux de Troie de chantage marque déjà la fin d'un cycle d'infection qui conduit aux redoutables demandes de rançon ou à la perte de données. La phase de préparation d’une telle attaque est beaucoup moins sous le feu des projecteurs, même si la stratégie défensive devrait déjà commencer ici. Lors de la phase de détection des victimes, les méthodes de phishing modernes jouent un rôle important auquel les services informatiques doivent répondre.
Les mécanismes de phishing jouent un rôle lorsque les auteurs de logiciels malveillants déterminent la surface d'attaque d'une organisation. L'intérêt se porte souvent sur les données d'accès personnelles ou sur le placement de logiciels malveillants Zero Day afin d'accéder à un système. Étant donné que les attaquants s'appuient également sur la tendance de l'IA pour leurs manœuvres trompeuses, les organisations doivent renforcer leurs mécanismes de défense, par exemple en utilisant des techniques modernes d'analyse des logiciels malveillants basées sur le comportement.
Attaques de phishing personnalisées
La gamme d’appâts destinés aux victimes a évolué depuis les simples escroqueries par courrier électronique à grande échelle jusqu’aux attaques personnalisées. À mesure que la sensibilisation aux campagnes de phishing traditionnelles s’est accrue grâce à la formation, les adversaires ont découvert de nouveaux canaux et techniques. En conséquence, les faux appels téléphoniques et le vishing ont récemment augmenté. La vraie voix d'un manager est imitée à l'aide d'un outil de clonage vocal d'IA. Ces outils définissent d’abord les caractéristiques d’une voix humaine, puis utilisent l’intelligence artificielle pour entraîner le système à imiter parfaitement cette voix lors de la récitation de divers messages. En combinaison avec les techniques de phishing classiques, il devient de plus en plus difficile de reconnaître les voix imitées, c'est-à-dire les fausses voix.
En plus du clonage vocal, une autre méthode de phishing sera introduite. Le « Quishing » consiste à envoyer un code QR par e-mail avec un lien malveillant caché derrière l'image. Une telle méthode rend difficile la détection du code malveillant car les outils de sécurité sont souvent peu efficaces. Cela augmente le risque, en particulier pour les employés disposant de téléphones portables privés qui ne sont pas suffisamment protégés. Pour suivre ces évolutions des techniques de phishing, une mentalité de confiance zéro est recommandée. Non seulement en tant que solution de sécurité technique, mais aussi au niveau humain. Le personnel doit faire preuve d'une saine suspicion à l'égard de communications inhabituelles, de contenus ou d'expéditeurs inconnus pour empêcher l'exécution de menaces cachées.
La confiance c'est bien, le contrôle c'est mieux
Bien entendu, outre les défenses humaines, les stratégies de cybersécurité doivent également être adaptées pour faire face à la menace croissante du phishing moderne et protéger les informations sensibles. Aujourd’hui, cependant, les employés font trop confiance aux solutions de sécurité disponibles et ne sont pas assez prudents lorsqu’ils traitent des communications suspectes. Un appel téléphonique d’une personne que vous pensez connaître mais qui fait des demandes inhabituelles ou inattendues doit toujours être interrogé. Avant que les employés n’agissent dans une telle situation, la prudence est de mise. En cas de doute, un rappel garantit que la situation étrange est clarifiée et que l'appelant est authentifié, garantissant ainsi des informations précieuses.
Étant donné que l'interaction en face à face pour la vérification n'est pas toujours possible dans l'environnement de travail hybride actuel, il est recommandé de choisir un autre canal pour vérifier les communications reçues. Par exemple, si vous soupçonnez un appel de vishing via WhatsApp, il est conseillé de s'assurer que la personne au téléphone est bien celle qu'elle prétend être via un appel sur téléphone mobile, un message Slack ou un e-mail. Pour éviter toute compromission, les employés doivent également veiller à ne jamais partager d'informations personnelles ou de mots de passe par téléphone ou par courrier électronique si cela leur est demandé. Une chose doit être transmise au personnel : il n'est pas nécessaire en interne d'utiliser le mot de passe d'un autre employé pour accéder aux données ou aux ressources du système. Même avec une telle demande, la sonnette d’alarme doit retentir avant que des données sensibles ne soient transmises.
Plus d'attention
Étant donné que le phishing n’est souvent que le début d’une chaîne de compromission, cette tactique d’ingénierie sociale devrait recevoir davantage d’attention – et pas seulement à l’occasion de la Journée de la protection des données. Les entreprises doivent s’armer contre les nouvelles options d’attaque basées sur l’IA, car elles élèvent les attaques à un nouveau niveau de danger. En relevant ce défi, les entreprises peuvent favoriser une culture de cybersécurité plus résiliente et protéger efficacement les données sensibles.
Le credo devrait être d’amener une mentalité de confiance zéro au niveau humain. Cela signifie que le personnel doit être formé à ne pas faire implicitement confiance à une source d’information, mais à toujours la vérifier via un autre support. Cela deviendra d’autant plus important que l’IA jouera à l’avenir un rôle important dans les campagnes de désinformation et de désinformation.
Plus sur Zscaler.com
À propos de Zscaler Zscaler accélère la transformation numérique afin que les clients puissent devenir plus agiles, efficaces, résilients et sécurisés. Zscaler Zero Trust Exchange protège des milliers de clients contre les cyberattaques et la perte de données en connectant en toute sécurité les personnes, les appareils et les applications partout. Le Zero Trust Exchange basé sur SSE est la plus grande plate-forme de sécurité cloud en ligne au monde, distribuée dans plus de 150 centres de données à travers le monde.
Articles liés au sujet