Se connecter S'abonner

Phishing IA : 5 minutes entre le clic et la compromission!

Boris Jancen

Boris Jancen

4 min de lecture
Partager
Phishing IA : 5 minutes entre le clic et la compromission!
Il faut moins de 5 minutes pour les nouvelles attaques de phishing dopées par l'IA pour compromettre une infrastructure protégée.

Des attaques e-mail pilotées par l’IA peuvent entraîner une compromission en moins de 5 minutes … Juste après le premier clic ! De nouvelles recherches montrent à quelle vitesse les attaques de phishing de nouvelle génération peuvent dégénérer en incidents de sécurité majeurs. La mécanique du clic fatal décryptée.

 

Une simulation menée par des experts de Red Team a permis de montrer comment seul e-mail de phishing peut conduire, en moins de 5 minutes, à un vol d’identité, au contournement de l’authentification multifacteur, à l’établissement d’une persistance et à la compromission d’un poste de travail.

Merium Khalid, Director, AI and Automation, Office of the CTO chez Barracuda décortique la logique de ce nouveau type de menaces : « les attaquants exploitent des outils d’intelligence artificielle largement accessibles ainsi que des techniques d’évasion pour contourner les mécanismes de défense traditionnels et étendre leurs attaques. La rapidité avec laquelle l’équipe Red Team est parvenue à établir une persistance et à compromettre l’environnement cible souligne l’urgence de disposer d’une sécurité e-mail continue, en temps réel et automatisée, capable de détecter les menaces qui se manifestent au-delà de la boîte de réception. »

Le clic fatal décrypté

 Pour mieux comprendre ce nouveau type d’attaque, les experts de la Red Team ont utilisé l’IA générative pour créer un e-mail de phishing convaincant contenant une demande urgente de consultation d’un document.

L’e-mail a été distribué avec succès à son destinataire, qui l’a ouvert 21 minutes plus tard. Celui-ci a ensuite cliqué sur le lien intégré et a été redirigé vers une fausse page de connexion Microsoft. Mauvais réflexe ! En moins de 60 secondes, l’utilisateur a saisi ses identifiants de connexion. Les attaquants ont pu détourner le processus d’authentification légitime afin d’intercepter et d’enregistrer les données échangées entre la victime et Microsoft.

Le piège est refermé. Microsoft a alors déclenché une demande d’authentification multifacteur. Il a fallu une minute supplémentaire à la victime pour fournir les informations requises et obtenir un cookie d’authentification, que les attaquants ont également réussi à intercepter.

Merium Khalid résume: « moins de deux minutes après le clic sur le lien de phishing, les attaquants avaient déjà intercepté le nom d’utilisateur, le mot de passe, le cookie d’authentification et les données de session de la victime ». 

Mais l’attaque ne s’est pas arrêtée là. Les attaquants ont ensuite utilisé le cookie de session volé pour accéder à la boîte mail de la victime. Ils ont pu lire et envoyer des e-mails en son nom, accéder à SharePoint et OneDrive, créer des règles de messagerie afin de masquer leurs activités et accorder des autorisations à des applications OAuth malveillantes afin de conserver l’accès même après l’expiration de la session.

 L’arnaque « ClickFix »

 Les attaquants demandent à la victime d’effectuer une étape de vérification supplémentaire. Celle-ci copie alors un code de vérification dans le presse-papiers, ce qui déclenche l’exécution d’un script malveillant utilisé pour maintenir un accès persistant.

Moins de cinq minutes après le premier clic, les attaquants avaient obtenu un accès durable à l’environnement, leur permettant de revenir ultérieurement, d’étendre leurs privilèges et de déployer des charges malveillantes supplémentaires.

Dès cet instant, l’attaque peut rapidement s’intensifier : élévation des privilèges, vol de données, chiffrement ou destruction d’informations. Tout cela à partir d’un simple e-mail de phishing ayant permis l’accès initial.

 Le processus de ce nouveau type d’attaques très sophistiquées a de quoi donner des sueurs froides aux responsables de la cybersécurité dans les entreprises. Toute la question est de savoir si elles ont aujourd’hui les moyens de les contrer. 

 Comment les organisations peuvent-elles se protéger ?

 De l’avis des experts, « aucune mesure de sécurité isolée ne suffit à contrer les attaques par e-mail modernes alimentées par l’IA, qui se déroulent en plusieurs étapes. Les organisations doivent mettre en place une protection multicouche et continue couvrant l’ensemble du cycle de vie de l’attaque ».

Il est donc essentiel d’appliquer une série de mesures de défense essentielles : 

 -Une authentification multifacteur résistante au phishing (par exemple via des clés de sécurité).

-Une solution avancée de sécurité e-mail avec détection en temps réel.

-Une authentification renforcée des e-mails (notamment via DMARC).

-Des formations régulières pour sensibiliser les utilisateurs aux techniques de social engineering en constante évolution.

-La limitation de l’accès aux outils à risque susceptibles d’être exploités par les attaquants.

 Pour conclure, les équipes de sécurité doivent également surveiller les connexions inhabituelles en termes de localisation, d’appareil ou d’horaire, les comportements suspects après authentification ainsi que les signes de persistance, tels que la création de nouvelles règles dans la boîte de réception ou de tâches planifiées.

 

Lire la suite