Mimecast lutte contre le Phishing par l'IA

En matière de défense numérique, les temps sont durs pour les organisations de toutes sortes et de toutes tailles. Les attaques en ligne des cybercriminels et autres acteurs malveillants sont de plus en plus sophistiquées et se produisent à un rythme sans précédent.

La disponibilité croissante d'outils technologiques, dont beaucoup sont dopés à l'intelligence artificielle, permet aux acteurs malveillants de lancer plus facilement des attaques hautement personnalisées contre un plus grand nombre de cibles.

Et il ne s'agit pas seulement des acteurs habituels parrainés par l'État et des gangs criminels étrangers. Les entreprises, y compris les clients de Mimecast, sont également confrontées à des menaces à l'intérieur de leurs propres frontières physiques.

La Cybersecurity & Infrastructure Security Agency (CISA), en partenariat avec le FBI et les autorités du Canada et de l'Australie, a récemment publié un avis de cybersécurité commun actualisé sur "Scattered Spider", un groupe cybercriminel international vaguement affilié qui, cette année, a lancé des attaques en ligne contre tout, des fournisseurs de magasins d'alimentation aux compagnies aériennes en passant par les compagnies d'assurance.

Au cours des six premiers mois de cette année, des détaillants comme Adidas, Marks & Spencer, Harrods, Cartier, Victoria's Secret et North Face, ainsi que le principal fournisseur de Whole Foods, United Natural Foods, et la chaîne de magasins d'alimentation basée au Royaume-Uni, Co-Operative Group, ont tous été victimes de cyberattaques attribuées à Scattered Spider qui ont affecté leurs opérations.

Les autorités britanniques ont arrêté quatre membres présumés du groupe Scattered Spider en juillet. Néanmoins, la CISA avertit que le groupe et ses tactiques, qui mettent l'accent sur l'ingénierie sociale plutôt que sur l'exploitation des vulnérabilités techniques pour pénétrer dans les systèmes des entreprises, représentent toujours un danger.

Le défi pour les organisations reste de savoir comment se défendre contre ces menaces et d'autres, sans nuire à la productivité.

Pour les experts de Mimecast, la réponse réside dans la combinaison des derniers renseignements sur les menaces avec la gestion des risques humains, explique Andrew Williams, directeur principal du marketing des produits de la société.

"Il n'y a pas de moyen de se débarrasser du risque ; on peut simplement le gérer", a déclaré M. Williams. "Il s'agit donc de savoir comment nous pouvons aller de l'avant et mettre en place des mesures pour, disons, amortir les utilisateurs afin de s'assurer qu'ils ne font pas les mauvaises choses.

La menace croissante de l'IA

Selon le FBI, les attaquants de Scattered Spider sont connus pour utiliser diverses variantes de ransomware dans des attaques d'extorsion de données, dont récemment le ransomware DragonForce.

DragonForce est apparu en 2023 et utilise un modèle de "Ransomware-as-a-Service" (RaaS), ce qui signifie que les cybercriminels sans grandes connaissances techniques peuvent l'acheter en ligne, le personnaliser et le lancer contre les cibles qu'ils jugent appropriées. Utilisé à l'origine dans des attaques à caractère politique, il est désormais utilisé dans des campagnes d'extorsion motivées par l'argent.

Selon le FBI, Scattered Spider modifie souvent ses tactiques, ses techniques et ses procédures pour rester sous le radar des défenseurs, mais ses attaques présentent certaines caractéristiques, notamment l'utilisation intensive de techniques d'ingénierie sociale telles que le phishing, le push bombing et les attaques par échange de cartes SIM. Quelle que soit la méthode utilisée, l'objectif est de voler les informations d'identification du compte, de contourner les protections MFA et éventuellement d'installer des logiciels espions.

Les affirmations du FBI sont étayées par une étude de Mimecast publiée en mai. Ce rapport annonçait la découverte de plus de 150 000 campagnes de phishing usurpant l'identité de fournisseurs de services, dont SendGrid, HubSpot, Google et Okta. Les campagnes, qui, selon les chercheurs, étaient probablement liées à Scattered Spider, comportaient de fausses notifications destinées à inciter les utilisateurs à communiquer leurs identifiants de connexion. 

Aujourd'hui, ces méthodes d'attaque plus traditionnelles et moins techniques sont renforcées par des outils d'IA qui permettent aux cybercriminels de faire tout cela plus rapidement et à plus grande échelle, a déclaré M. Williams.

Les chercheurs de Mimecast ont commencé à repérer l'utilisation de l'IA dans les courriels de toutes sortes après la publication de ChatGPT, a déclaré M. Williams. Il a connu une nouvelle flambée après le lancement du concurrent chinois DeepSeek au début de l'année. Cette année, le nombre de courriels malveillants générés par l'IA a déjà largement dépassé le total de 2024. 

"Il s'agit donc d'un phénomène très répandu et pertinent pour les attaquants", a déclaré M. Williams.

L'ingénierie sociale humaine stimulée par l'IA

Les experts vous diront que l'IA, qu'elle soit utilisée à des fins défensives ou malveillantes, a encore un long chemin à parcourir avant de pouvoir remplacer l'homme. Mais il est déjà devenu un outil essentiel pour les attaquants.

Les cybercriminels utilisent notamment l\'IA pour créer des emails de phishing soignés, professionnels et très ciblés pour leurs destinataires. Et il devient de plus en plus difficile de distinguer les communications générées par l\'IA de celles créées par des humains.

L'équipe Threat Research de Mimecast a récemment identifié une campagne de Business Email Compromise (BEC) qui utilise de faux courriels automatisés pour commettre des fraudes à la facturation à grande échelle. Ce qui est remarquable dans cette campagne, c'est qu'elle associe l'ingénierie sociale traditionnelle à la puissance humaine à de nouveaux outils d'intelligence artificielle qui créent des conversations d'apparence légitime, mais fausses, entre des cadres et des entreprises extérieures.

Les chaînes de courriels fabriquées comprennent ce qui semble être des communications commerciales légitimes, chaque fil de discussion étant rédigé de manière à inclure la nécessité pour le PDG ou les cadres supérieurs de l'entreprise d'approuver d'urgence le paiement des factures.

Les chercheurs de Mimecast ont noté que les campagnes présentaient des signes évidents d'automatisation, notamment l'inclusion de contenu généré par l'IA, ainsi que des pièces jointes PDF générées par la technologie du navigateur sans tête juste avant l'envoi des courriels. En outre, l'analyse technique des campagnes a révélé plusieurs signes de distribution automatisée.

Par ailleurs, l'analyse linguistique et structurelle du corps du texte des courriels a révélé plusieurs signes indiquant qu'ils avaient été générés par de grands modèles linguistiques (LLM), notamment un niveau élevé de maîtrise de la langue en question, un contexte approprié et l'absence des erreurs grammaticales habituelles, ont indiqué les chercheurs. En bref, ils étaient trop parfaits pour avoir été créés par un humain.

Les chercheurs ont mis en évidence un exemple précis de chaîne de faux courriels générée par l'IA, qui commençait par une fausse facture émanant de ce qui semblait être une société de conseil tierce. Ce courriel était suivi d'une fausse confirmation du PDG de l'entreprise indiquant qu'il le transmettait au service financier de l'entreprise pour paiement.

Le faux courriel suivant de la chaîne semblait provenir de la société de conseil, indiquant que la facture n'avait pas encore été payée, ce qui ajoutait un ton d'urgence, suivi d'un autre faux courriel du PDG indiquant que la facture serait payée, puis finalement d'un courriel "FINAL NOTICE TO ACCOUNTING" adressé au département financier de la société.

Le courriel "Final Notice" était le premier courriel réellement envoyé au département financier de l'entreprise, et la chaîne fabriquée qui le sous-tendait lui donnait une apparence de légitimité. L'idée était de tromper le destinataire en lui faisant croire qu'il avait manqué les courriels précédents, puis de le faire paniquer et payer la fausse facture sans en vérifier l'authenticité.

Protection par la technologie et la formation

La question qui se pose alors est la suivante : comment les entreprises peuvent-elles se protéger au mieux contre ces menaces croissantes ?

Pour Mimecast, la solution réside dans une combinaison de renseignements sur les menaces et de gestion des risques humains, a déclaré M. Williams. Ce sont les deux faces d'une même pièce. Ils sont différents, mais ils travaillent ensemble.

Le renseignement sur les menaces vous donne le "quoi" et le "comment", a déclaré M. Williams, c'est-à-dire ce qui est attaqué et comment ces attaques se produisent. Il s'agit notamment des techniques d'ingénierie sociale utilisées ou des vulnérabilités spécifiques exploitées.

Une grande partie de ces informations provient des données recueillies auprès des 42 000 clients de Mimecast et des 1,8 milliard de courriers électroniques que la société analyse chaque jour, a déclaré M. Williams. Au total, l'entreprise a examiné et scanné 90 milliards de points d'interaction au cours du second semestre de l'année dernière. Cela va des événements DLP aux clics, en passant par les messages BEC, la découverte de l'IA et les événements d'exfiltration.

"Il y a tant de choses que nous pouvons utiliser pour comprendre ce qu'est, en fin de compte, la chaîne d'attaque dont nos clients sont la cible", a déclaré M. Williams. "Et, réciproquement, quel est l'enseignement que nous pouvons en tirer ?"

Parallèlement, la gestion des risques humains vous permet de savoir qui et pourquoi, c'est-à-dire quelles sont les personnes ciblées au sein d'une entreprise et pourquoi elles le sont, a-t-il ajouté. Cela permet aux défenseurs de mettre en place des mesures proactives là où elles sont les plus importantes.

Il n'est pas possible d'imposer des restrictions à tous les employés d'une entreprise donnée, car des contrôles trop restrictifs peuvent nuire à la productivité. Et selon les données de Mimecast, seulement 8% des employés sont responsables de 80% des incidents de sécurité. Les politiques uniformes ne fonctionnent donc pas.

C'est là que les politiques adaptatives de Mimecast entrent en jeu. Ils sont conçus pour analyser de manière proactive les modèles et repérer les comportements à risque — comme cliquer sur des courriels de phishing, manipuler des données sensibles ou interagir avec des malware — et fournir des solutions de sécurité sur mesure.

Mimecast a annoncé ses nouvelles fonctions de sécurité adaptative lors de la conférence annuelle Black Hat à Las Vegas. Les contrôles du système alimentés par l'IA sont conçus pour ajuster automatiquement les mesures de sécurité en fonction de l'évaluation des risques en temps réel, des données de science comportementale et des renseignements sur les menaces.

L'idée est de garantir des niveaux de protection et des restrictions optimaux pour les utilisateurs qui en ont le plus besoin, afin d'aider les organisations à garder une longueur d'avance sur les menaces et à prévenir la perte de données critiques, tout en réduisant les coûts.

"Les équipes de sécurité sont soumises à une pression constante pour faire plus avec moins, et cela commence par une utilisation plus intelligente de leur temps et de leurs outils", a déclaré Ranjan Singh, Chief Product & Technology Officer chez Mimecast.