Phishing : attention aux attaques ultra-personnalisées grâce à l’IA

Les attaques de phishing deviennent de plus en plus convaincantes. Un nouveau rapport met en garde contre des arnaques où des escrocs utilisent l’intelligence artificielle (IA) pour collecter des informations à votre sujet via vos profils en ligne, dans le but d’envoyer des emails hyper-personnalisés ciblant vos identifiants de connexion.

Un phishing amélioré grâce à l’IA

En récupérant des données telles que le nom de votre employeur ou vos centres d’intérêt, les escrocs peuvent créer des emails beaucoup plus crédibles, augmentant ainsi leurs chances de tromper leurs victimes.

Depuis toujours, le phishing repose sur l’envoi d’emails en masse se faisant passer pour des banques, des fournisseurs de messagerie, des plateformes de crypto-monnaies ou des entreprises populaires comme Amazon et Apple.

Ces emails frauduleux visent généralement à créer un sentiment d’urgence, par exemple :

• Une alerte de votre banque sur une transaction frauduleuse.
• Une facture d’Amazon pour un produit coûteux que vous n’avez pas commandé.
• Un message d’Apple vous informant que votre compte iCloud est sur le point d’être annulé.

Ces messages incitent les victimes à cliquer rapidement sur un lien et à saisir leurs identifiants sans prendre le temps de vérifier l’authenticité.

L’évolution vers des attaques personnalisées

Jusqu’à présent, la plupart de ces attaques étaient génériques, mais un rapport du Financial Times alerte sur une nouvelle tendance. Les escrocs utilisent désormais des outils d’IA pour analyser des profils publics et générer des emails qui semblent vous connaître en détail, rendant ainsi leurs arnaques beaucoup plus convaincantes.

Des entreprises comme Beazley, un assureur britannique, et le groupe d’e-commerce eBay, ont signalé une augmentation des emails frauduleux contenant des informations personnelles probablement obtenues grâce à l’IA.

• « Cela devient de pire en pire, et c’est très personnel. C’est pourquoi nous pensons que l’IA est à l’origine de nombreux cas », explique Kirsty Kelly, responsable de la sécurité informatique chez Beazley.
• « Nous voyons des attaques très ciblées, basées sur une immense quantité d’informations collectées sur une personne. »

Une menace difficile à détecter

Ces emails ultra-personnalisés ont également beaucoup plus de chances de passer à travers les filtres de protection mis en place par les entreprises ou les fournisseurs de messagerie comme Apple et Google.

Pour l’instant, les principales cibles semblent être les employés d’entreprises, les bots IA allant jusqu’à imiter le style d’écriture des entreprises en se basant sur leur contenu public en ligne. Mais il est probable que les consommateurs soient également visés à l’avenir, avec des techniques telles que l’analyse des profils sur les réseaux sociaux.

Comment vous protéger contre ces attaques ?

La principale protection contre les attaques de phishing est de ne jamais cliquer sur les liens envoyés par email. Préférez toujours utiliser vos propres favoris ou tapez manuellement une URL connue dans votre navigateur. Cette simple précaution peut vous protéger de nombreuses tentatives d’arnaque.