IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les courriels de phishing générés par l'IA deviennent très efficaces pour cibler les cadres


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 885
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 885
    Points : 131 458
    Points
    131 458
    Par défaut Les courriels de phishing générés par l'IA deviennent très efficaces pour cibler les cadres
    81 % des professionnels de la sécurité estiment que le Phishing est la principale menace, suivie par les logiciels malveillants, les ransomwares et la perte accidentelle de données, selon Fortra.

    Une nouvelle étude de Fortra examine les défis auxquels les professionnels de la sécurité ont été confrontés au cours de l'année écoulée, ainsi que ce sur quoi ils prévoient de se concentrer à l'avenir, alors qu'ils continuent d'adopter la transformation numérique, de nouvelles infrastructures hybrides et un paysage de sécurité difficile. Parmi les résultats, 81 % des professionnels de la sécurité estiment que le phishing est la principale menace, et 74 % pense qu'il faut limiter ces menaces extérieures.

    L'étude de Fortra révèle que la plupart des organisations prévoient que le phishing (81 %), les logiciels malveillants et les ransomwares (76 %), et la perte accidentelle de données (63 %) seront les principaux risques de sécurité au cours des six prochains mois, suivis par l'ingénierie sociale (55 %) et les risques liés à des tiers (52 %).

    Face à ces menaces, les cinq principales initiatives de cybersécurité pour cette année sont les suivantes : limiter les menaces extérieures telles que le phishing et les logiciels malveillants (74 %), trouver et combler les lacunes en matière de sécurité (73 %), améliorer la culture de la sécurité (66 %), sécuriser le cloud (63 %) et la conformité (62 %).

    "Bien que ces préoccupations puissent sembler disparates, elles sont toutes liées à la course effrénée vers le cloud", déclare Antonio Sanchez, principal évangéliste en cybersécurité chez Fortra. "Les impacts de cette migration rapide - politiques faibles, mauvaise sécurité des conteneurs, mauvaises configurations et failles de sécurité béantes - se sont fait sentir en 2023 et les conséquences se feront encore sentir cette année."

    Nom : 0.PNG
Affichages : 6550
Taille : 69,6 Ko

    Le rapport se penche également sur les freins à l'exécution des stratégies de sécurité, avec en tête de liste les limitations budgétaires (54 %), l'évolution constante des menaces (45 %) et le manque de compétences en matière de sécurité (45 %). En outre, l'enquête a révélé que si tout le monde cherche à mettre en œuvre les principes de la confiance zéro, un quart d'entre eux ont déclaré qu'ils ne prévoyaient pas de le faire en raison de ressources insuffisantes.

    En outre, 67 % déclarent se concentrer sur l'amélioration des compétences de leur personnel, tandis que les organisations se tournent également vers les services de sécurité gérés pour se décharger d'une partie du poids. Les domaines les plus populaires à externaliser sont la sécurité du courrier électronique et l'anti-phishing (58 %), la gestion des vulnérabilités (52 %), la protection des données (51 %) et la conformité (40 %).

    Josh Davies, directeur technique principal chez Fortra, déclare : "L'épuisement professionnel est une tendance qui pousse les personnes qualifiées à quitter les organisations ou à passer à des rôles avec des responsabilités plus ciblées. Cette situation accroît le stress du personnel restant, qui doit continuer à fournir les résultats requis avec moins d'effectifs. Nous constatons une augmentation de l'adoption des services de sécurité gérés pour soulager une partie de leur charge opérationnelle."


    Source : Fortra

    Et vous ?

    Pensez-vous que cette étude est crédible ou pertinente ?
    Quel est votre avis sur ces questions ?

    Voir aussi :

    Gartner identifie les principales tendances en matière de cybersécurité pour 2023. Les chefs de la sécurité doivent s'orienter vers une approche centrée sur l'humain pour une cybersécurité efficace

    71 % des organisations manquent de personnel en cybersécurité, 66 % des professionnels de la cybersécurité estiment que leur travail est devenu plus difficile, selon une étude de l'ESG et de l'ISSA

    55 % des professionnels de la cybersécurité déclarent vouloir changer d'emploi, 63 % d'entre eux sont victimes d'épuisement professionnel en raison des cyberattaques incessantes

  2. #2
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 885
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 885
    Points : 131 458
    Points
    131 458
    Par défaut Les attaques par phishing ont augmenté de 703 % au cours du second semestre 2024
    Les attaques par phishing ou hameçonnage de données d'identification ont augmenté de façon spectaculaire au cours du second semestre 2024, avec une hausse de 703 %, selon SlashNext

    Un rapport de SlashNext révèle que les attaques de vol d'informations d'identification ou attaque par phishing ont fait un bond spectaculaire au cours du second semestre 2024, augmentant de 703 %. Le rapport montre que dans l'ensemble, les menaces basées sur le courrier électronique ont augmenté de 202 % au cours de la même période.

    Le phishing ou attaque par hameçonnage est une attaque pour "pêcher" des informations sensibles. L'attaque par phishing est une forme d'ingénierie sociale et une escroquerie où les attaquants trompent les gens pour qu'ils révèlent des informations sensibles ou en installant des logiciels malveillants tels que des virus ou des ransomwares.

    Des enquêtes ont révélé que le phishing reste l'une des cybermenaces les plus importantes ayant un impact sur les organisations du monde entier. En début d'année 2024, un rapport de Fortra a montré que 81 % des professionnels de la sécurité estiment que le phishing est la principale menace, suivie par les logiciels malveillants et les ransomwares (76 %), et la perte accidentelle de données (63 %).

    Face à ces menaces, le rapport partageait les cinq principales initiatives de cybersécurité que les responsables de la cybersécurité ont prévu : limiter les menaces extérieures telles que le phishing et les logiciels malveillants (74 %), trouver et combler les lacunes en matière de sécurité (73 %), améliorer la culture de la sécurité (66 %), sécuriser le cloud (63 %) et la conformité (62 %).

    Un récent rapport de Slashnext décrit l'état de la sécurité face au phishing ainsi que les résultats de ces initiatives. Le rapport révèle que les attaques de vol d'informations d'identification ou attaque par phishing ont fait un bond spectaculaire au cours du second semestre 2024, augmentant de 703 %. Le rapport de SlashNext montre que dans l'ensemble, les menaces basées sur le courrier électronique ont augmenté de 202 % au cours de la même période, les utilisateurs individuels recevant au moins un lien d'hameçonnage avancé par semaine capable de contourner les contrôles de sécurité traditionnels du réseau.

    Nom : 1.jpg
Affichages : 1180
Taille : 49,3 Ko

    SlashNext a analysé des milliards de menaces à travers les canaux de messagerie électronique et mobile? y compris la compromission des courriers électroniques professionnels (BEC), les liens malveillants, les pièces jointes, les codes QR et les attaques en langage naturel pilotées par l'IA. Le rapport offre un aperçu de l'évolution rapide du paysage du phishing et des vecteurs les plus exploités par les cybercriminels au cours de l'année écoulée.

    "Au début de l'année 2024, nous avons assisté à un pic brutal des attaques, les adversaires ayant rapidement appris à intégrer l'IA dans leurs stratégies de phishing, ce qui a entraîné des volumes beaucoup plus importants de menaces avancées et efficaces", déclare Stephen Kowski, field CTO chez SlashNext. "Au second semestre, la croissance du volume d'attaques était plus graduelle, mais toujours persistante. Nous nous attendons à ce que cette trajectoire ascendante se poursuive jusqu'en 2025, d'autant plus que notre équipe de recherche sur les menaces découvre de nouveaux kits de phishing avancés disponibles gratuitement sur le Dark Web."

    Parmi tous les liens malveillants intégrés observés, 80 % étaient des menaces zero-day inconnues jusqu'alors, ce qui souligne les limites des méthodes statiques de renseignement sur les menaces et de détection basées sur les signatures.

    Nom : 3.jpg
Affichages : 298
Taille : 24,3 Ko

    Pendant les périodes de pointe, les utilisateurs ont été confrontés à une moyenne de trois à six menaces par semaine et, chaque année, jusqu'à 600 menaces mobiles par utilisateur. Les attaques basées sur l'ingénierie sociale ont augmenté de 141 % au cours des six derniers mois, ce qui renforce la nécessité de mesures de sécurité adaptatives en temps réel.

    La nature volatile des catégories de menaces, qui vont des nouveaux liens d'hameçonnage (phishing par lien) et des pièces jointes habilement déguisées aux escroqueries en langage naturel conçues par des experts, signifie que ce qui est efficace pour les attaquants peut changer presque toutes les semaines.

    En avril, un rapport de Proofpoint a révélé l'évolution des techniques de phishing. En analysant 183 millions de simulations, ils ont constaté que pour le phishing par courriel, un destinataire sur six a cliqué sur la pièce jointe. Pour le phishing basé sur des liens, 11 % ont été couronnés de succès, tandis que le phishing par saisie de données n'a réussi que dans 3 % des cas.

    Ces différents rapports confirment que malgré les mesures et les améliorations de la sécurité, le phishing reste une menace redoutable. Stephen Kowski de SlashNext a conclu : "Les mesures de sécurité traditionnelles sont dépassées par le volume et l'adaptabilité de ces menaces. Les entreprises ont besoin d'une stratégie de sécurité complète et proactive, soutenue par des technologies de détection et d'atténuation en temps réel, pour garder une longueur d'avance sur des attaquants de plus en plus agiles."

    Source : "The 2024 Phishing Intelligence Report" (SlashNext)

    Et vous ?

    Pensez-vous que ce rapport de SlashNext est crédible ou pertinent ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Les attaques de phishing augmentent de 61 % par rapport à l'année dernière, atteignant plus de 255 millions attaques en 6 mois, selon un rapport de SlashNext

    Cybercriminalité : les sites de phishing imitant le service de la poste US rivalisent avec le site officiel en termes de trafic. Les cybercriminels générant même plus de trafic pendant les fêtes

    Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023, découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  3. #3
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 885
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 885
    Points : 131 458
    Points
    131 458
    Par défaut Les courriels de phishing générés par l'IA deviennent très efficaces pour cibler les cadres
    Les courriels de phishing générés par l'IA deviennent très efficaces pour cibler les cadres, les courriels hyper-personnalisés utilisent une immense quantité de données récupérées

    eBay et Beazley seraient la cible d'escroqueries par hameçonnage générées par l'IA. Ces escroqueries par hameçonnage seraient personnalisées à l'aide de systèmes d'IA qui auraient récupéré des données sur les employés. L'IA facilite la cybercriminalité et serait utilisée pour rédiger des courriels de phishing "parfaits".

    Le phishing ou attaque par hameçonnage est une attaque pour "pêcher" des informations sensibles. L'attaque par phishing est une forme d'ingénierie sociale et une escroquerie où les attaquants trompent les gens pour qu'ils révèlent des informations sensibles ou en installant des logiciels malveillants tels que des virus ou des ransomwares.

    Un récent rapport de Slashnext révèle que les attaques de vol d'informations d'identification ou attaque par phishing ont fait un bond spectaculaire au cours du second semestre 2024, augmentant de 703 %. Le rapport de SlashNext montre que dans l'ensemble, les menaces basées sur le courrier électronique ont augmenté de 202 % au cours de la même période, les utilisateurs individuels recevant au moins un lien d'hameçonnage avancé par semaine capable de contourner les contrôles de sécurité traditionnels du réseau.

    eBay, le géant du commerce électronique et plusieurs autres entreprises seraient témoins d'un volume croissant d'attaques de phishing personnalisées visant des employés de haut niveau. Selon le rapport, ces escroqueries par hameçonnage sont réalisées à l'aide de systèmes d'intelligence artificielle (IA) afin de leur donner une apparence humaine et d'éviter les signes révélateurs d'un courriel d'escroquerie typique. Ces cyberattaquants utiliseraient également l'IA pour récupérer et analyser des données sur les dirigeants d'entreprise afin d'ajouter une touche personnelle aux messages. Les filtres de sécurité de base seraient insuffisants pour arrêter ces courriels au niveau de l'organisation.


    Selon un rapport du Financial Times, des entreprises telles qu'eBay et la société d'assurance britannique Beazley ont souligné l'augmentation du nombre de courriels frauduleux contenant des informations personnelles sur leurs employés de haut niveau.

    Kirsty Kelly, responsable de la sécurité informatique chez Beazley, a déclaré que l'IA était soupçonnée d'être à l'origine de ces attaques en raison de la nature personnelle des courriels. Kirsty Kelly aurait également ajouté que ces attaques de phishing ciblées ont probablement été menées après qu'une grande quantité de données sur les employés a été récupérée à partir de diverses sources.

    Les escroqueries par hameçonnage consistent à inciter une personne à révéler des informations sensibles et financières en se faisant passer pour une entité digne de confiance. Ces attaques sont généralement menées par le biais de courriels, de messages textuels ou en partageant des URL vers des sites web frauduleux. Cependant, les attaques de phishing typiques sont impersonnelles et contiennent souvent des informations vagues et des erreurs grammaticales, ce qui entraîne un faible taux de réussite.

    Toutefois, selon le rapport, ces escroqueries par hameçonnage générées par l'IA sont différentes dans la mesure où elles utilisent un langage très émotif et partagent des informations personnelles sur la cible. Ces courriels peuvent être plus convaincants et déclencher une réaction positive de la part des individus.

    Soulignant que les outils d'IA générative réduisent les obstacles à l'exécution des cyberattaques, Nadezda Demidova, chercheuse en sécurité cybercriminelle chez eBay, a déclaré au Financial Times : "Nous avons assisté à une augmentation du volume de toutes sortes de cyberattaques." Elle aurait ajouté que les escroqueries par hameçonnage "sophistiquées et étroitement ciblées" constituaient un domaine d'inquiétude particulier.

    La chercheuse en sécurité aurait également expliqué que les filtres de sécurité de base qui identifient et bloquent habituellement les campagnes d'hameçonnage en masse pourraient avoir du mal à arrêter les courriels générés par l'IA, car même les attaques à grand volume peuvent être menées de manière à ce que chaque courriel soit unique et semble être envoyé par des expéditeurs légitimes.

    Pour rappel, en 2024, des enquêtes ont révélé que le phishing reste l'une des cybermenaces les plus importantes ayant un impact sur les organisations du monde entier. Un rapport de Fortra a montré que 81 % des professionnels de la sécurité estiment que le phishing est la principale menace, suivie par les logiciels malveillants et les ransomwares (76 %), et la perte accidentelle de données (63 %). Un autre rapport de Proofpoint a révélé que pour le phishing par courriel, un destinataire sur six a cliqué sur la pièce jointe. Pour le phishing basé sur des liens, 11 % ont été couronnés de succès, tandis que le phishing par saisie de données n'a réussi que dans 3 % des cas.

    Source : Financial Times

    Et vous ?

    Pensez-vous que ce rapport est crédible ou pertinent ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Les attaques par hameçonnage augmentent de 58 % avec l'IA, alimentées en partie par la prolifération de stratagèmes basés sur la GenAI, tels que le phishing vocal et le "deepfake phishing"

    L'IA va accroître le nombre et l'impact des cyberattaques : Les ransomwares étant susceptibles d'en être les plus grands bénéficiaires au cours des deux prochaines années


    38 % des personnes interrogées pensent que le vol de données personnelles est inévitable, avec 65 % se disant préoccupées par la cybercriminalité liée à l'IA, selon une étude de CybSafe
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  4. #4
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 885
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 885
    Points : 131 458
    Points
    131 458
    Par défaut Le spear-phishing par IA est très efficace, avec un taux de clics de plus de 50 %
    Le spear-phishing par IA est très efficace, avec un taux de clics de plus de 50 %, ce qui est nettement supérieur aux humains, il est également très rentable, réduisant les coûts jusqu'à 50 fois.

    Une nouvelle étude examine les performances de l'IA dans le domaine du phishing. Les résultats montrent que le spear-phishing par IA est très efficace, avec un taux de clics de plus de 50 %, ce qui est supérieur aux humains. Il est également très rentable, puisqu'il permet de réduire les coûts jusqu'à 50 fois. Mais l'IA permettrait également d'atténuer ces menaces grâce à une détection avancée et à des contre-mesures adaptées.

    Un récent rapport sur le phishing révèle l'augmentation des attaques de phishing personnalisées visant des employés de haut niveau. Selon le rapport, ces escroqueries par hameçonnage sont réalisées à l'aide de systèmes d'intelligence artificielle (IA) afin de leur donner une apparence humaine et d'éviter les signes révélateurs d'un courriel d'escroquerie typique. Ces cyberattaquants utiliseraient également l'IA pour récupérer et analyser des données sur les dirigeants d'entreprise afin d'ajouter une touche personnelle aux messages. Les filtres de sécurité de base seraient insuffisants pour arrêter ces courriels au niveau de l'organisation.

    Face à cette situation, des chercheurs ont évalué la capacité des grands modèles de langage (LLM) à mener des attaques d'hameçonnage personnalisées. Ils ont comparé les performances des LLM à celles des experts humains et des modèles d'IA de l'année 2023. Pour se faire, ils ont inclus quatre groupes d'e-mails avec un total combiné de 101 participants. Les attaques automatisées par l'IA ont obtenu des résultats équivalents à ceux des experts humains et 350 % supérieurs à ceux du groupe de contrôle. Ces résultats représentent une amélioration significative par rapport à des études similaires menées en 2023 et mettent en évidence les capacités de tromperie accrues des modèles d'IA.

    Les données ont montré un groupe de contrôle composé de courriels d'hameçonnage arbitraires, qui ont obtenu un taux de clics (le destinataire a cliqué sur un lien dans le courriel) de 12 %, des courriels générés par des experts humains (54 % de clics), des courriels entièrement automatisés par l'IA (54 % de clics) et des courriels de l'IA utilisant un humain dans la boucle (56 % de clics).

    Nom : 1.jpg
Affichages : 3724
Taille : 29,5 Ko

    Les courriels automatisés par l'IA ont été envoyés à l'aide d'un outil sur mesure qui automatise l'ensemble du processus de spear phishing, y compris la collecte d'informations et la création de profils de vulnérabilité personnalisés pour chaque cible. Les informations recueillies par l'IA étaient exactes et utiles dans 88 % des cas et n'ont produit des profils inexacts que pour 4 % des participants.

    Les chercheurs ont utilisé des modèles de langage pour détecter l'intention des courriels. Claude 3.5 Sonnet a obtenu des résultats bien supérieurs à 90 % avec de faibles taux de faux positifs et a détecté plusieurs courriels apparemment bénins qui n'ont pas été détectés par l'homme. Ils ont également analysé les aspects économiques de l'hameçonnage, en soulignant comment l'IA permet aux attaquants de cibler un plus grand nombre de personnes à moindre coût et d'augmenter la rentabilité jusqu'à 50 fois pour des audiences plus importantes.

    Nom : 2.jpg
Affichages : 861
Taille : 63,0 Ko

    Voici les conclusions des chercheurs lors de l'étude :

    Nos résultats révèlent que les modèles d'IA d'avant-garde sont nettement plus performants que l'année dernière dans le domaine de l'hameçonnage (spar phishing) et qu'ils atteignent désormais le même niveau de performance que les experts humains. Cela représente un défi pour les systèmes de cybersécurité actuels. De nombreux filtres anti-spam existants utilisent la détection de signatures (détection de contenus et de comportements malveillants connus). En utilisant des modèles de langage, les attaquants peuvent créer sans effort des courriels d'hameçonnage adaptés à chaque cible, ce qui rend les systèmes de détection des signatures obsolètes.

    Au fur et à mesure que les modèles progressent, leurs capacités de persuasion augmenteront probablement aussi. Nous constatons que le spear phishing piloté par LLM est très efficace et économiquement viable, avec une reconnaissance automatisée qui fournit des informations précises et utiles dans presque tous les cas. Les garde-fous actuels ne parviennent pas à empêcher de manière fiable les modèles d'effectuer une reconnaissance ou de générer des courriels d'hameçonnage. Toutefois, l'IA pourrait atténuer ces menaces grâce à une détection avancée et à des contre-mesures adaptées.

    Les résultats de l'étude sont encourageants du point de vue de la cybersécurité. Si l'utilisation de l'IA dans les attaques représente une plus grande menace, l'IA offrirait également un meilleur système de sécurité. En comparaison à une étude de 2023, qui avait montré que les détecteurs d'IA ne fonctionnent pas de manière fiable ou ne fonctionnent pas du tout pour 71,4 % des attaques, l'IA est donc actuellement plus performante pour détecter les e-mails de phishing générés par d'autres IA.

    Source : "Evaluating Large Language Models' Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects"

    Et vous ?

    Pensez-vous que cette étude est crédible ou pertinente ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Découvrir les attaques par courrier électronique générées par l'IA : exemples réels de 2023. Découvrez comment les pirates utilisent l'IA générative pour contourner la sécurité et tromper les employés

    Les détecteurs de texte généré par l'IA ne sont pas aussi précis que certains le prétendent, selon une évaluation de la robustesse des détecteurs sur le benchmark partagé RAID

    Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 0
    Dernier message: 02/04/2024, 11h09
  2. Réponses: 0
    Dernier message: 03/10/2023, 07h32
  3. Réponses: 0
    Dernier message: 29/09/2023, 17h34
  4. Réponses: 2
    Dernier message: 20/03/2023, 15h17
  5. Réponses: 1
    Dernier message: 08/04/2022, 00h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo