Affaires

Former les employés à être plus intelligents que les messages de phishing alimentés par l'IA

Former les employés à être plus intelligents que les messages de phishing alimentés par l'IA

laflor / iStock

Même avec la montée en puissance de nouveaux canaux de communication tels que la messagerie et les applications de médias sociaux, le courrier électronique reste le moyen privilégié pour les gens de communiquer numériquement. Selon McKinsey, 28% de la journée d'un travailleur est consacrée à lire et à répondre aux courriels. En moyenne, une seule personne peut recevoir jusqu'à 120 e-mails par jour.

Plus de la moitié de tous les e-mails reçus sont du spam ou du courrier indésirable. Beaucoup proviennent de spécialistes du marketing qui poussent leurs produits et services sur des prospects. Pour les entreprises, ces e-mails sont plus une nuisance. Les filtres conventionnels peuvent filtrer la plupart des spams; le pire qu'ils puissent faire est de prendre de la place dans les boîtes aux lettres et les serveurs.

Cependant, parmi ces messages de spam que les entreprises reçoivent, il y a des e-mails de phishing dangereux qui font partie de diverses cyberattaques et escroqueries. La plate-forme de formation à la sécurité Hoxhunt considère le phishing comme une «cybernétique permanente». C'est l'une des méthodes préférées de la plupart des pirates car elle exploite la faiblesse fondamentale de la cybersécurité de chaque organisation - la tendance humaine à faire des erreurs et à tomber dans le piège.

Ces e-mails contiennent généralement des messages qui encouragent à cliquer sur des liens vers des pages Web conçues pour voler des informations ou pour télécharger des logiciels malveillants qui peuvent causer des dommages une fois qu'ils ont infiltré le réseau de l'entreprise. De temps en temps, un message de phishing intelligemment déguisé peut passer à travers les filtres anti-spam.

Lorsqu'un employé involontaire tombe sous le coup du message de phishing, toute l'entreprise peut alors subir une cyberattaque majeure et coûteuse.

Spam et hameçonnage alimentés par l'IA

Ce qui est en fait inquiétant, c'est le fait que les messages de phishing deviennent de plus en plus complexes et sophistiqués, les pirates utilisant l'intelligence artificielle (IA) et l'apprentissage automatique (ML) pour mieux masquer leurs messages et tromper les victimes. Les pirates utilisent désormais ces technologies pour extraire des informations des sites Web d'entreprise, des réseaux sociaux et même des sites d'emploi afin de créer des profils et des personnalités de personnes réelles. Ces faux profils peuvent ensuite être utilisés pour des attaques par usurpation d'identité. Les messages semblent provenir d'une personne réelle au sein de l'organisation.

Étant donné que ces messages contiennent des informations exactes, les destinataires sont susceptibles de les considérer comme légitimes. En se cachant derrière ce déguisement, les pirates peuvent facilement convaincre les destinataires de fournir des informations sensibles ou d'effectuer des actions qui permettent aux pirates d'accéder au réseau de l'entreprise.

Le compromis des e-mails commerciaux (BEC), dans lequel les employés et les cadres sont amenés à effectuer des transactions de grande valeur telles que les virements électroniques pour les fraudeurs, est rendu beaucoup plus puissant en raison de cette falsification intelligente d'e-mails. Selon le FBI, les escroqueries BEC ont coûté aux entreprises un total de 12 milliards de dollars dans le monde en 2018.

Évitez de vous faire hameçonner

Les entreprises doivent faire un effort délibéré pour mettre en place des mesures qui les aideraient à minimiser leur risque d'être victimes de telles attaques. Un facteur majeur de la cybersécurité est la capacité des travailleurs à identifier et à répondre à ces menaces. Les entreprises doivent investir dans le développement des bonnes connaissances et des bons comportements chez leurs employés.

Heureusement, des services et des plateformes de formation au phishing sont désormais disponibles. Hoxhunt peut lancer des attaques de phishing simulées automatisées contre tous les membres d'une organisation. Ces messages imitent les messages de phishing et peuvent même simuler des messages de spam complexes alimentés par l'IA. Les travailleurs sont ensuite encouragés à signaler les e-mails douteux à l'aide du plugin de la plateforme.

Si un travailleur tombe sous le charme de ces messages simulés, la plateforme fournit des informations et des conseils expliquant exactement ce que le travailleur a fait de mal. Ces interventions rapides aident à développer les bons comportements lors de l'évaluation des e-mails. Ceux qui signalent avec succès les e-mails de phishing reçoivent même des points dans le cadre d'un système gamifié. Les entreprises peuvent alors choisir de récompenser les employés les plus performants et de fournir une formation et une intervention supplémentaires à ceux qui sont à la traîne.

Hoxhunt fournit également des analyses en temps réel aux équipes de gestion et de sécurité afin de surveiller la façon dont une organisation répond aux menaces. Les utilisateurs de la plate-forme ont vu jusqu'à 60% de meilleurs rapports dans leurs organisations. Cela se traduit par une amélioration globale des capacités de réponse de l'organisation aux menaces de phishing réelles.

Outre la formation des employés, les entreprises peuvent également adopter d'autres mesures telles que la mise en œuvre de règles strictes de filtrage des e-mails dans le cas des e-mails d'entreprise autogérés et l'utilisation de fournisseurs de messagerie offrant un meilleur filtrage des courriers indésirables. Google, par exemple, utilise déjà l'IA pour détecter les spams et les e-mails de phishing pour son service Gmail que les entreprises peuvent utiliser dans le cadre de G Suite.

Éviter un éventuel désastre

Les hackers continueront d'exploiter les vulnérabilités humaines. Avec des outils d'IA et de ML supplémentaires à leur disposition, ils sont susceptibles de trouver des moyens plus créatifs pour tromper les utilisateurs involontaires. Pour cette raison, les organisations doivent investir dans le renforcement de l'élément humain de leur cybersécurité. Former les gens à identifier et filtrer efficacement les messages de phishing est une étape décisive vers la minimisation de l'exposition à ces menaces modernes.


Voir la vidéo: Digital Transformation Strategy: McKinsey Leap and Business Building - CxOTalk (Octobre 2021).