Skip to main content

16 Mar, 2023

Les humains sont toujours meilleurs pour créer des e-mails de phishing que l’IA – pour l’instant

Les humains sont toujours meilleurs pour créer des e-mails de phishing que l’IA – pour l’instant

Les e-mails de phishing générés par l’IA, y compris ceux créés par ChatGPT, présentent une nouvelle menace potentielle pour les professionnels de la sécurité, déclare Hoxhunt.

Au milieu de tout le buzz autour de ChatGPT et d’autres applications d’intelligence artificielle, les cybercriminels ont déjà commencé à utiliser l’IA pour générer des e-mails de phishing. Pour l’instant, les cybercriminels humains sont encore plus habiles à concevoir des attaques de phishing réussies, mais l’écart se resserre, selon le nouveau rapport du formateur en sécurité Hoxhunt publié mercredi.

Campagnes de phishing créées par ChatGPT contre des humains

Hoxhunt a comparé les campagnes de phishing générées par ChatGPT à celles créées par des êtres humains pour déterminer laquelle avait le plus de chances de tromper une victime sans méfiance.

Pour mener cette expérience, la société a envoyé à 53 127 utilisateurs dans 100 pays des simulations de phishing conçues soit par des ingénieurs sociaux humains, soit par ChatGPT. Les utilisateurs recevaient la simulation de phishing dans leur boîte de réception, car ils recevaient n’importe quel type d’e-mail. Le test a été configuré pour déclencher trois réponses possibles :

  1. Réussite : l’utilisateur signale avec succès la simulation d’hameçonnage comme malveillante via le bouton de signalement de menace Hoxhunt.
  2. Manqué : l’utilisateur n’interagit pas avec la simulation d’hameçonnage.
  3. Échec : l’utilisateur mord à l’hameçon et clique sur le lien malveillant contenu dans l’e-mail.

Les résultats de la simulation de phishing menée par Hoxhunt

En fin de compte, les e-mails de phishing générés par l’homme ont fait plus de victimes que ceux créés par ChatGPT. Plus précisément, le taux de chute des utilisateurs pour les messages générés par l’homme était de 4,2 %, tandis que le taux pour ceux générés par l’IA était de 2,9 %. Cela signifie que les ingénieurs sociaux humains ont surpassé ChatGPT d’environ 69 %.

L’un des résultats positifs de l’étude est que la formation à la sécurité peut s’avérer efficace pour contrecarrer les attaques de phishing. Les utilisateurs plus conscients de la sécurité étaient beaucoup plus susceptibles de résister à la tentation de s’engager dans des e-mails de phishing, qu’ils aient été générés par des humains ou par l’IA. Les pourcentages de personnes ayant cliqué sur un lien malveillant dans un message sont passés de plus de 14 % chez les utilisateurs les moins formés à entre 2 % et 4 % chez les plus formés.

Les résultats varient également selon les pays :

  • États-Unis : 5,9 % des utilisateurs interrogés ont été trompés par des e-mails générés par l’homme, tandis que 4,5 % ont été trompés par des messages générés par l’IA.
  • Allemagne : 2,3 % ont été trompés par des humains, tandis que 1,9 % ont été trompés par l’IA.
  • Suède : 6,1 % ont été trompés par des humains, dont 4,1 % trompés par l’IA.

Les défenses actuelles en matière de cybersécurité peuvent toujours couvrir les attaques de phishing par IA

Bien que les e-mails de phishing créés par des humains aient été plus convaincants que ceux de l’IA, ce résultat est fluide, d’autant plus que ChatGPT et d’autres modèles d’IA s’améliorent. Le test lui-même a été effectué avant la sortie de ChatGPT 4, qui promet d’être plus intelligent que son prédécesseur. Les outils d’intelligence artificielle vont certainement évoluer et constituer une plus grande menace pour les organisations de la part des cybercriminels qui les utilisent à leurs propres fins malveillantes.

Du côté positif, la protection de votre organisation contre les e-mails de phishing et autres menaces nécessite les mêmes défenses et la même coordination, que les attaques soient créées par des humains ou par l’IA.

« ChatGPT permet aux criminels de lancer des campagnes de phishing parfaitement formulées à grande échelle, et bien que cela supprime un indicateur clé d’une attaque de phishing – la mauvaise grammaire – d’autres indicateurs sont facilement observables à l’œil averti », a déclaré le PDG et co-fondateur de Hoxhunt, Mika Aalto. « Dans le cadre de votre stratégie de cybersécurité holistique, assurez-vous de vous concentrer sur vos employés et leur comportement de messagerie, car c’est ce que font nos adversaires avec leurs nouveaux outils d’IA.

« Intégrez la sécurité comme une responsabilité partagée dans toute l’organisation avec une formation continue qui permet aux utilisateurs de repérer les messages suspects et les récompense pour avoir signalé les menaces jusqu’à ce que la détection des menaces humaines devienne une habitude. »

Conseils de sécurité ou informatique et utilisateurs

À cette fin, Mika Aalto propose les conseils suivants.

Pour l’informatique et la sécurité

  • Exigez une authentification à deux ou plusieurs facteurs pour tous les employés qui accèdent aux données sensibles.
  • Donner à tous les employés les compétences et la confiance nécessaires pour signaler un e-mail suspect ; un tel processus devrait être transparent.
  • Fournissez aux équipes de sécurité les ressources nécessaires pour analyser et traiter les rapports de menaces des employés.

Pour les utilisateurs

  • Survolez n’importe quel lien dans un e-mail avant de cliquer dessus. Si le lien semble déplacé ou sans rapport avec le message, signalez l’e-mail comme suspect au support informatique ou à l’équipe d’assistance.
  • Examinez le champ de l’expéditeur pour vous assurer que l’adresse e-mail contient un domaine professionnel légitime. Si l’adresse pointe vers Gmail, Hotmail ou un autre service gratuit, le message est probablement un e-mail de phishing.
  • Confirmez un e-mail suspect avec l’expéditeur avant d’agir. Utilisez une méthode autre que le courrier électronique pour contacter l’expéditeur au sujet du message.
  • Pensez avant de cliquer. Les attaques de phishing d’ingénierie sociale tentent de créer un faux sentiment d’urgence, incitant le destinataire à cliquer sur un lien ou à interagir avec le message le plus rapidement possible.
  • Faites attention au ton et à la voix d’un e-mail. Pour l’instant, les e-mails de phishing générés par l’IA sont rédigés de manière formelle et guindée.

https://www.techrepublic.com/article/phishing-emails-humans-better-creating-than-ai/

https://www.hoxhunt.com/blog/chatgpt-vs-human-phishing-and-social-engineering-study-whos-better