En tant que prestataire de services de surveillance et de retrait de contenus frauduleux, IP Twins observe quotidiennement des noms de domaine frauduleux utilisés dans le cadre de campagnes de phishing. Ces campagnes portent de plus en plus la marque de l’intelligence artificielle :
- Le nom de domaine cible clairement une marque, mais sa composition est inhabituelle.
- Les e-mails de phishing sont presque impossibles à distinguer des e-mails professionnels légitimes et personnalisés.
- Les copies de sites web de marques sont mises en ligne en quelques minutes et échappent plus facilement aux dispositifs de détection.
Aujourd’hui, la plupart des internautes sont capables de reconnaître, au moins intuitivement, un contenu qui semble avoir été généré par une intelligence artificielle. Cette capacité peut parfois les aider à identifier des e-mails ou des sites frauduleux. Cet article va toutefois au-delà de cette simple intuition en s’appuyant sur les travaux les plus récents en matière de cybersécurité afin d’expliquer comment les fraudeurs exploitent l’IA pour rendre leurs campagnes de phishing plus efficaces.
Phantom Squatting
Dans ce scénario, un modèle d’intelligence artificielle « hallucine » un nom de domaine qui n’existe pas. Un attaquant enregistre ensuite ce nom de domaine afin de capter et détourner le trafic qui lui est destiné.
Une étude de Palo Alto Networks[1] montre que plusieurs types de requêtes, couramment utilisées par les employés dans leur travail quotidien, peuvent conduire un modèle d’IA à inventer des noms de domaine inexistants :
- des logiciels développés avec l’aide d’assistants de programmation basés sur l’IA ;
- des guides rédigés à l’aide d’outils de recherche fondés sur l’IA ;
- des agents autonomes d’intelligence artificielle exécutant des tâches de manière indépendante.
Dans chacun de ces cas, le modèle d’IA générait un nom de domaine qui semblait tout à fait crédible pour héberger la ressource recherchée, alors qu’il n’existait pas. Les exemples relevés dans l’étude concernaient principalement des noms de domaine en .com, comportant souvent un trait d’union. Contrairement aux pratiques habituelles des cybersquatteurs, ces hallucinations recourent beaucoup moins aux extensions exotiques ou aux fautes d’orthographe, longtemps considérées comme des indicateurs classiques de noms de domaine abusifs.
Les logiciels ou documents contenant ces noms de domaine fictifs n’ont même pas besoin d’être rendus publics pour être exploités. L’étude de Palo Alto Networks, ainsi que des travaux antérieurs sur le même sujet[2], montrent que les noms de domaine susceptibles d’être halluciné peuvent être anticipés en observant le comportement du modèle d’IA.
Les exemples étudiés intégraient fréquemment le nom de la marque concernée. Ce type d’attaque peut donc être détecté grâce aux services de surveillance des noms de domaine. Les méthodes utilisées par les fraudeurs pour tester les modèles d’IA peuvent également être reproduites par les équipes de sécurité, permettant ainsi aux entreprises d’enregistrer de manière préventive les noms de domaine les plus susceptibles d’être « halluciné ».
Des e-mails de phishing plus convaincants
Depuis longtemps, les collaborateurs sont sensibilisés à se méfier des e-mails contenant des fautes de grammaire, des formulations maladroites ou un style inhabituel, autant d’indices caractéristiques du phishing. Même avec des outils de traduction automatique, il était auparavant difficile pour un fraudeur de rédiger un message parfaitement naturel dans une langue qui n’était pas la sienne.
L’intelligence artificielle supprime désormais cet obstacle, privant ainsi les destinataires d’un important indice de détection. Mais l’amélioration de la qualité rédactionnelle n’est pas le seul apport de l’IA.
Une étude menée conjointement par des chercheurs de Harvard et de l’Avant Research Group a montré que l’IA pouvait également être utilisée avec succès lors de la phase de reconnaissance de la cible[3]. Avec un nombre limité d’informations initiales, un modèle est capable de recueillir des renseignements sur le secteur d’activité de la victime, son environnement professionnel, ses supérieurs hiérarchiques ou encore d’autres informations personnelles qui seront ensuite intégrées dans un e-mail de phishing hautement crédible.
Cette même étude a comparé des e-mails de phishing rédigés par un expert humain à des e-mails entièrement générés par une intelligence artificielle. Les résultats montrent que les messages produits par l’IA étaient tout aussi efficaces.
Plus encourageant, une autre partie de cette recherche s’est intéressée à la capacité des modèles d’IA à détecter les e-mails frauduleux. Avec des instructions appropriées, les taux de détection se sont révélés très élevés. L’amélioration de la qualité des campagnes de phishing peut donc être contrebalancée par des solutions de sécurité des messageries intégrant elles aussi des mécanismes d’analyse basés sur l’intelligence artificielle.
Les clones de sites web
La dernière étape d’une campagne de phishing consiste généralement à conduire la victime vers un site web destiné à collecter ses données personnelles ou ses identifiants de paiement. Tout comme les fautes de langage dans un e-mail, un design approximatif constituait autrefois un indice permettant d’identifier un faux site.
Les générateurs de sites web assistés par IA créent aujourd’hui des pages complètes à partir d’une simple instruction. Plusieurs études de cas montrent qu’ils peuvent être détournés afin de reproduire très fidèlement des sites existants. La société Malwarebytes a notamment analysé le code source d’une copie de son propre site internet et identifié des éléments laissant penser qu’il avait été généré grâce à la plateforme d’IA v0.dev de Vercel[4]. Une autre étude consacrée à Lovable (lovable.dev) a conclu que son modèle d’IA se montrait particulièrement coopératif lorsqu’il s’agissait de reproduire des sites appartenant à des marques connues[5].
L’utilisation de plateformes largement reconnues comme Vercel ou Lovable présente un autre avantage pour les fraudeurs : les liens pointant vers leur infrastructure n’éveillent généralement aucun soupçon, ces hébergeurs bénéficiant d’une excellente réputation. Les solutions de sécurité peuvent analyser automatiquement les liens contenus dans les e-mails afin d’inspecter leur contenu, mais cette analyse peut être contournée lorsqu’un CAPTCHA ou un écran « Vérifiez que vous êtes un humain » est affiché avant l’accès au site cloné[6].
Conclusion
Les fraudeurs ont parfaitement compris comment exploiter l’intelligence artificielle pour rendre leurs campagnes de phishing plus efficaces. Ces nouvelles techniques sont d’autant plus préoccupantes que l’écosystème de l’IA est encore en pleine évolution :
- le problème des hallucinations des modèles d’IA n’est toujours pas résolu ;
- les utilisateurs ne s’attendent pas encore à des e-mails et des sites de phishing d’une telle qualité ;
- les modèles d’IA n’opposent pas toujours une résistance suffisante aux requêtes malveillantes.
Une partie de ces difficultés disparaîtra probablement avec la maturité progressive des services d’intelligence artificielle et l’évolution des cadres réglementaires. Pour le reste, les professionnels de la cybersécurité et des sociétés comme IP Twins devront continuer à développer des solutions capables de détecter et de neutraliser les noms de domaine et ressources web utilisés à des fins frauduleuses.
Les navigateurs et les clients de messagerie progresseront eux aussi dans leur capacité à détecter des usurpations suffisamment convaincantes pour tromper un utilisateur. Les études citées montrent que l’intégration de mécanismes d’analyse reposant sur l’IA constitue une voie particulièrement prometteuse. De la même manière, l’intelligence artificielle peut renforcer les services de surveillance des noms de domaine et du web, afin de détecter les attaques en cours mais également de recommander l’enregistrement préventif de certains noms de domaine avant même qu’ils ne soient exploités par des fraudeurs.
À mesure que les techniques d’attaque évoluent, les outils développés par IP Twins évoluent eux aussi. Nous sommes convaincus que les défis posés par l’intelligence artificielle nécessitent eux-mêmes des solutions fondées sur l’IA, raison pour laquelle nous intégrons rapidement ces technologies au sein de notre offre de services.
À propos d’IP Twins
IP Twins accompagne les entreprises dans la protection de leurs marques contre les atteintes en ligne, partout dans le monde. En combinant des technologies avancées de surveillance avec une expertise juridique reconnue, nos équipes détectent les noms de domaine frauduleux, les sites de phishing, les offres contrefaisantes et d’autres formes d’atteintes numériques aux marques. De la détection précoce au retrait des contenus illicites et aux procédures de règlement des litiges, nous aidons les organisations à réduire leurs risques et à préserver la confiance de leurs clients.
Notes
[1] Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector
[2] The Rise of Slopsquatting: How AI Hallucinations Are Fueling…
[3] Evaluating Large Language Models’ Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects
[4] Criminals are using AI website builders to clone major brands | Malwarebytes
[5] « VibeScamming » — From Prompt to Phish: Benchmarking Popular AI Agents’ Resistance to the Dark Side
[6] How AI-Native Development Platforms Enable Fake Captcha Pages | Trend Micro (US)