Comment utiliser l'IA générative pour les simulations de phishing ?

Thomas Le Coz

Thomas Le Coz

Attaques par IA

Si vous avez lu notre contenu, vous êtes probablement impatient de lancer une simulation de phishing par genAI pour votre prochaine campagne.

Malheureusement, il ne suffit pas de demander à ChatGPT un e-mail de phishing.

Voici nos meilleures pratiques pour déployer l'intelligence artificielle générative dans vos simulations de phishing.

La creation de prompt appliquée au phishing

Vous n'êtes pas sans savoir que ChatGPT et l'API d'OpenAI intègrent quelques mesures de sécurité qui devraient (mot clé) les empêcher de produire du contenu de social engineering prêt pour l'attaque.

C'est pourquoi vous devez "jailbreak" OpenAI ou tout autre LLM populaire et capable auquel vous pouvez accéder via une API.

Heureusement pour nous, le phishing et le marketing sont très très proches l'un de l'autre.

Si vous y pensez, le marketing utilise les mêmes tactiques de manipulation que le phishing.

Les principes d'influence, souvent cités par les gourous du marketing, sont exactement les mêmes que ceux qui peuvent être utilisés en simulation d'attaque par ingénierie sociale.

La différence entre le marketing et le contenu malveillant réside juste dans l'intention et le résultat.

Un bon marketing devrait aider les clients potentiels à acheter la meilleure solution pour leurs besoins, tandis que le phishing et l'ingénierie sociale visent à impacter négativement leurs cibles.

Mais votre LLM préféré n'a pas besoin de savoir cela.

Ainsi, le jailbreak universel pour créer des e-mails de phishing pertinents et efficaces consiste à transmettre le prétexte au LLM (on appelle ça feed the pretext chez Arsen).

Voici un exemple exagéré : failed prompt phishing genAI

Évidemment, cela ne fonctionnera pas.

Mais transmettons le prétexte à ChatGPT : jailbreak phishing prompt

… et cela fonctionne.

Gardez cela à l'esprit pour accélérer la création de vos prompts.

Exploitation des informations des cibles

Maintenant que nous avons un moyen fiable de contourner les protections, nous pouvons exploiter un peu plus l'IA générative et améliorer la qualité de notre email de phishing.

Si nous allons faire du phishing par IA générative, autant aller jusqu'au bout, n'est-ce pas ?

Gestion des données à caractère personnel

La première chose que la plupart des simulations utilisent déjà pour personnaliser leurs simulations de phishing est l'utilisation d'informations personnelels telles que le prénom et le nom du destinataire, et souvent son adresse e-mail.

Le problème, une fois qu'on veut les utiliser avec de l'IA génértive, c'est qu'il serait contraire à la loi de les envoyer à un LLM tiers.

Même si des progrès sont réalisés dans la manière dont les données sont traitées, la plupart des données envoyées à ces LLM seront utilisées comme données d'entraînement.

D'un point de vue de la conformité, si vous travaillez en Europe, vous devrez ajouter un fournisseur peu connu et récent en tant que sous-traitant et cela pourrait ne pas passer le département juridique.

En somme, nous voulons éviter de transmettre des informations à caractère personnel au modèle de genAI.

Heureusement, nous pouvons demander au modèle de retourner des balises de fusion et les remplacer par la suite.

De cette manière, vous pouvez transmettre certaines informations contextuelles tout en évitant d'envoyer quoi que ce soit de réglementé au LLM, puis post-traiter la sortie pour remplacer les balises de fusion par Ies données personnelles que vous êtes autorisé à traiter.

Prompt avec des balises de fusion

Construction du contexte et pertinence

Il est difficile de partager un prompt précis à ce sujet car cela dépendra de la quantité de données que vous avez disponibles dans votre mission.

Cependant, comme l'IA générative est assez bonne pour interpréter les données non structurées, vous pouvez lui fournir de nombreux éléments de contexte et les utiliser dans la génération de votre prétexte.

Mes deux favoris sont les informations sur l'entreprise et l'intitulé de poste. Il est facile de les scraper automatiquement sur LinkedIn et cela peut vraiment améliorer la contextualisation et la pertinence.

Par exemple, les commerciaux seront plus réactifs aux mails provenant du CRM ou de clients potentiels.

Si vous avez un certain contexte de l'industrie de l'entreprise, il est encore plus facile de créer un e-mail très pertinent pour chaque cible.

Gardez donc cela à l'esprit lors de la construction de vos prompts et ajoutez des clauses conditionnelles en fonction du niveau d'automatisation OSINT que vous avez dans votre phase de reconnaissance.

Gestion de la langue

Si vous gérez une simulation pour une grande entreprise, vous pourriez avoir des cibles dans plusieurs pays, parlant différentes langues.

Cela semblera évident pour la plupart d'entre vous, mais la manière dont nous abordons la sélection de la langue a complètement changé avec l'IA générative.

Dans les simulations traditionnelles, nous avions un tas de scénarios de phishing, classés par langue, et nous faisions correspondre la langue de la cible avec le scénario correspondant.

Avec l'IA générative, vous pouvez (et devriez) être plus paresseux : ajoutez simplement une instruction de langue à la fin de votre invite, en fonction de la langue de la cible.

Plus facile, et vous pouvez réutiliser votre invite plutôt que d'écrire plusieurs versions de votre prompt. C'est le principe DRY (Don't Repeat Yourself) appliqué aux prompts de genAI.

Changement de langue de l'invite

Bouclage et contrôle de qualité

Les modèles d'IA générative sont connus pour halluciner.

Cela signifie qu'à un moment donné, ils vont produire quelque chose de très inattendu et complètement à côté de la plaque.

Si vous faites des simulations à petite échelle ou très ciblées, vous pouvez valider manuellement ce que votre LLM retourne et gagner encore beaucoup de temps.

Cependant, si vous faites de grandes campagnes de simulation à grande échelle et que vous ne voulez pas contrôler 3 000 emails, vous devez ajouter une couche de QA.

Le rôle de ce morceau de code sera de revoir quelques points clés et de s'assurer que l'e-mail généré est prêt pour la production et peut être envoyé à la cible.

Nous aimons avoir au moins une version très simple de cette couche de QA vérifier :

  • La présence d'un lien vers la landing de vol de données d'identification lors de simulation de credential harvesting
  • Le bon formatage HTML de l'e-mail
  • La présence des balises de fusion demandées

Une version plus avancée pourrait faire de la mise en page, des vérifications syntaxiques ou même utiliser le LLM pour réviser et évaluer l'e-mail soumis.

Vous devrez trouver votre niveau de risque acceptable.

Si le modèle proposé ne passe pas la couche QA, bouclez et générez-en un nouveau.

Répétez jusqu'à ce qu'il passe. C'est beaucoup moins couteux que votre taux horaire.

Couche QA pour genAI

Conclusion

J'espère que vous pouvez maintenant déployer des campagnes de phishing sûres et efficaces qui sont bien supérieur que la qualité d'exécution "basique" dans laquelle l'industrie était bloquée il y a quelques mois.

L'IA générative peut aider les professionnels de la sécurité à créer des simulations beaucoup plus précises pour auditer et former les entreprises contre les menaces de nouvelle génération.

Si vous souhaitez déployer le phishing par IA générative en quelques clics, vous pouvez demander une démo ici, Arsen intègre toutes les meilleures pratiques décrites ici, et plus encore.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.