Image: Stock Gstudio/Adobe Au milieu de tout le buzz autour de ChatGPT et d’autres applications d’intelligence artificielle, les cybercriminels ont déjà commencé à utiliser AI pour générer des e-mails phishing. Pour l’instant, les cybercriminels humains sont encore plus efficaces pour concevoir des attaques réussies de phishing, mais l’écart se ferme, selon les formateurs de sécurité Le nouveau rapport de Hoxhunt libéré mercredi.
Campagnes de perfectionnement créées par ChatGPT vs humans
Hoxhunt a comparé les campagnes de phishing générées par ChatGPT par rapport à celles créées par des êtres humains pour déterminer qui était une meilleure chance de hoodwinking une victime non suspectée.
Pour mener cette expérience, l’entreprise a envoyé 53 127 utilisateurs dans 100 pays de simulations de phishing conçues soit par des ingénieurs sociaux humains, soit par ChatGPT. Les utilisateurs ont reçu la simulation de phishing dans leurs boîtes de réception car ils recevaient tout type de courriel. L ’ essai a été mis en place pour déclencher trois réponses possibles:
- Succès: L’utilisateur signale avec succès la simulation de phishing comme malveillant via le bouton de déclaration de menace Hoxhunt.
- Mlle : L’utilisateur n’interagit pas avec la simulation de phishing.
- Echec : L’utilisateur prend l’appât et clique sur le lien malveillant dans l’email.
Les résultats de la simulation de phishing menée par Hoxhunt
En fin de compte, les mails de phishing générés par l’homme ont attrapé plus de victimes que ceux créés par ChatGPT. Plus précisément, le taux dans lequel les utilisateurs sont tombés pour les messages générés par l’humain était de 4,2 %, tandis que le taux pour les messages générés par l’IA était de 2,9 %. Cela signifie que les ingénieurs sociaux humains ont dépassé ChatGPT d’environ 69%.
Un résultat positif de l’étude est que la formation en matière de sécurité peut s’avérer efficace pour contrecarrer les attaques. Les utilisateurs plus sensibilisés à la sécurité étaient beaucoup plus susceptibles de résister à la tentation de s’engager avec des emails phénoménaux, qu’ils soient générés par les humains ou par l’IA. Les pourcentages de personnes qui ont cliqué sur un lien malveillant dans un message ont chuté de plus de 14% parmi les utilisateurs moins formés à entre 2% et 4% parmi ceux ayant une plus grande formation.
SEE: Politique de sensibilisation et de formation à la sécurité (TechRepublic Premium)
Les résultats ont également varié par pays:
- U.S.: 5,9% des utilisateurs interrogés ont été trompés par des courriels générés par l’homme, tandis que 4,5% ont été trompés par des messages générés par l’IA.
- Allemagne: 2,3% ont été trompés par les humains, tandis que 1,9% ont été trompés par AI.
- Suède : 6,1 % ont été trompés par des humains, et 4,1 % ont été trompés par AI.
Les défenses actuelles de cybersécurité peuvent toujours couvrir les attaques de phishing AI
Bien que les courriels de phishing créés par les humains étaient plus convaincants que ceux de l’IA, ce résultat est fluide, surtout que ChatGPT et d’autres modèles de l’IA s’améliorent. Le test lui-même a été effectué avant la sortie de ChatGPT 4, qui promet d’être plus savable que son prédécesseur. Les outils AI vont certainement évoluer et constituer une plus grande menace pour les organisations de cybercriminels qui les utilisent à leurs propres fins malveillantes.
Couverture de sécurité à lire
Les meilleures menaces pour la cybersécurité 2023
Meilleur logiciel de gestion d’actifs IT
Rencontrez le dispositif de cybersécurité portable le plus complet
Comment sécuriser votre email par cryptage, gestion de mot de passe et plus (TechRepublic Premium)
De plus, protéger votre organisation contre les courriels et autres menaces nécessite les mêmes défenses et coordination que les attaques soient créées par des humains ou par l’IA.
«ChatGPT permet aux criminels de lancer des campagnes de phishing parfaitement conçues à l’échelle, et tout en supprimant un indicateur clé d’une attaque phénoménale — mauvaise grammaire — d’autres indicateurs sont facilement observables à l’œil formé», a déclaré Hoxhunt PDG et cofondateur Mika Aalto. « Dans votre stratégie holistique de cybersécurité, assurez-vous de vous concentrer sur vos gens et leur comportement par courriel parce que c’est ce que nos adversaires font avec leurs nouveaux outils d’IA.
« La sécurité intégrée est une responsabilité partagée dans l’ensemble de l’organisation avec une formation continue qui permet aux utilisateurs de repérer les messages suspects et de les récompenser pour signaler les menaces jusqu’à ce que la détection des menaces humaines devienne une habitude. ”
Conseils de sécurité ou informatique et utilisateurs
Vers cette fin, Aalto offre les conseils suivants.
Pour l’informatique et la sécurité
- Exiger une authentification à deux facteurs ou une authentification à plusieurs facteurs pour tous les employés ayant accès à des données sensibles.
- Donner à tous les employés les compétences et la confiance pour signaler un courriel suspect; un tel processus devrait être sans heurt.
- Fournir aux équipes de sécurité les ressources nécessaires pour analyser et traiter les rapports de menace des employés.
Pour les utilisateurs
Passez sur tout lien dans un email avant de cliquer dessus. Si le lien apparaît hors de place ou non pertinent au message, signalez que l’e-mail est suspecté à l’équipe de support informatique ou d’assistance.
Scrutinez le champ de l’expéditeur pour s’assurer que l’adresse e-mail contient un domaine d’affaires légitime. Si l’adresse pointe vers Gmail, Hotmail ou tout autre service gratuit, le message est probablement un courriel de phishing.
Confirmez un courriel suspect avec l’expéditeur avant de l’agir. Utilisez une méthode autre que l’email pour contacter l’expéditeur au sujet du message.
Réfléchis avant de cliquer. Les attaques de phishing conçues socialement tentent de créer un faux sentiment d’urgence, incitant le destinataire à cliquer sur un lien ou à s’engager avec le message le plus rapidement possible.
Faites attention au ton et à la voix d’un courriel. Pour l’instant, les courriels de phishing générés par l’IA sont écrits de manière formelle et stiltée. Lire la suite : En tant que lame de cybersécurité, ChatGPT peut couper les deux façons (TechRepublic)
Cybersecurity Insider Newsletter
Renforcer les défenses de sécurité de votre organisation en gardant au courant des dernières nouvelles, solutions et pratiques de cybersécurité.
Livré mardi et jeudi Inscrivez-vous aujourd’hui