Le phishing par IA est désormais une réalité. Que vous souhaitiez le déployer pour vos clients ou votre entreprise, ces suggestions de scénarios pourront stimuler votre créativité.
Nous avons rassemblé et partagé quelques idées de scénarios que nous avons intégrées dans notre plateforme de simulation de phishing.
Nous espérons que cela vous inspire et vous offre de nouvelles idées pour améliorer la qualité de vos simulations de phishing.
Principes d'ingénierie sociale pour les scénarios de phishing
Avant d'explorer des idées de scénarios - voir la section suivante si vous ne pouvez pas attendre ;) - jetons un coup d'œil rapide aux tactiques courantes de manipulation que nous pouvons utiliser en ingénierie sociale pour augmenter l'efficacité de nos scénarios.
Il existe de nombreuses façons d'influencer les gens pour qu'ils effectuent des actions dangereuses pouvant entraîner un accès initial et une compromission de compte.
L'objectif ici est de contourner le cerveau rationnel et d'inciter la cible à adopter une réaction émotionnelle, contournant toute formation à la sensibilisation qui pourrait faire échouer notre tentative.
Si en lisant ceci, vous avez l'impression que ce n'est pas juste pour les employés, sans plonger dans la méthodologie de la sensibilisation face au phishing, sachez qu'en matière de simulation de menaces, vous avez besoin des plus réalistes si vous souhaitez évaluer et former correctement.
Les attaquants ne seront ni gentils ni "pédagogiques".
Les leviers d'influence les plus courants sont :
- Autorité : envoyer l'e-mail au nom de quelqu'un occupant une position d'autorité
- Pression : généralement la peur ou l'urgence
- Familiarité, intimité : amener la cible à baisser sa défense
- Curiosité : un outil puissant qui peut amener les utilisateurs à cliquer sur des éléments qu'ils ne devraient pas, comme un document partagé "par erreur"
- Gain financier : une astuce générale qui fonctionne assez bien. Les cadeaux, l'accès gratuit ou les coupons compromettent assez facilement les cibles
Comme une recette, nous voulons utiliser ces ingrédients dans diverses proportions pour nos scénarios. Ils ne sont pas exclusifs et peuvent être combinés lorsque cela convient au prétexte.
Scénarios génériques
L'utilisation de l'IA générative pour créer des scénarios génériques nous permet d'envoyer des e-mails de phishing uniques à un grand nombre d'employés.
Cela présente de nombreux avantages, de la discrétion à un réalisme accru, en passant par une meilleure formation.
Voici quelques exemples de scénarios pouvant être utilisés de manière indiscriminée auprès de grands groupes d'employés.
Accès aux offres d'emploi internes
L'opportunité d'avancement professionnel est généralement un sujet d'un grand intérêt pour les employés.
Ces offres d'emploi seront partagées via une plateforme interne, constituant ainsi une excellente occasion d'orchestrer une attaque de collecte d'informations d'identification (credential harvesting).
Partage de document : lettre interne à tous les employés
Le concept est très simple : une communication de la direction à tous les employés. Elle peut être planifiée à des moments spécifiques de l'année, ou vous pouvez simplement simuler une annonce spéciale, sortie de nulle part.
Le partage de document est excellent et peut être orienté vers des scénarios de collecte d'informations d'identification ou d'attaques par pièce jointe.
Ces scénarios peuvent exploiter l'autorité (selon l'expéditeur) et la curiosité (selon le contenu) ainsi qu'un certain niveau d'urgence.
Partage de document : rapport d'évaluation
Tout comme le précédent, ce scénario permet de nombreuses variations.
L'utilisation de balises de fusion vous permettra de le faire percevoir comme un e-mail plus privé. Le timing peut poser problème, mais la façon dont vous présentez le rapport peut justifier une évaluation exceptionnelle effectuée à n'importe quel moment de l'année.
Mise à jour de la politique informatique
Celui-ci intègre l'autorité — comme tout ce qui concerne les règles et procédures, la conformité et l'administration — vient d'en haut et devrait être signé, ou du moins lu, par le destinataire.
Pour réduire la friction, nous aimons utiliser celui-ci avec une pièce jointe plutôt qu'un lien de collecte d'informations d'identification, car l'e-mail pourrait être reporté si cela prend trop d'étapes pour que la cible le lise et y accède.
Mises à jour matérielles
Qui n'aime pas de nouveaux équipements dernier cri ?
Tout e-mail provenant du service informatique demandant de s'inscrire pour obtenir de nouveaux ordinateurs, téléphones mobiles, voire même des voitures (bien que cela ne vienne peut-être pas du service informatique) attirera l'attention.
Nous préférons celui-ci pour la collecte d'informations d'identification, car ces opérations passent généralement par une plateforme interne, mais nous pourrions voir comment une soumission de PDF ou DOC fonctionnerait également.
Scénarios ciblés
Ce ne serait ni amusant ni productif de se limiter à des scénarios génériques.
Avec un outil comme l'IA générative, nous pouvons repousser les limites et opter pour des scénarios ciblés.
Voici quelques idées, basées sur des informations sur l'entreprise et les classifications professionnelles, des informations courantes, accessibles avec très peu d'efforts et souvent utilisées dans des opérations de phishing.
RH : nouveau candidat
Certains profils sont rares, et lorsqu'une entreprise recrute, l'envoi d'un curriculum vitae par e-mail est généralement un moyen efficace de se faire remarquer.
Même s'il existe un Système de Suivi des Candidats (ATS) censé réduire les e-mails directs avec pièce jointe, ce prétexte fonctionnera généralement avec des e-mails directs et une pièce jointe pour le CV.
Commerciaux : demande de devis
Quel vendeur ne serait pas intéressé par de nouveaux clients ?
Celui-ci fonctionne particulièrement bien avec des pièces jointes. Un fichier PDF corrompu contenant les spécifications présumées d'un projet qui intéresserait le client potentiel sera ouvert.
Dirigeants : la demande perturbante d'un journaliste
Celui-ci est l'un de mes favoris quand il s'agit des dirigeants.
Nous l'avons fait (manuellement) il y a quelques années pour convaincre un client potentiel et lui montrer comment, malgré sa conviction du contraire, il pouvait être victime de phishing.
Imaginez ceci : vous recevez une demande d'un journaliste écrivant un article critique sur votre entreprise. Il vous envoie le projet d'article, demandant des commentaires.
C'est un scénario assez intéressant que l'IA générative peut décliner en différentes versions.
Conclusion
Et voilà.
Une collection d'idées de scénarios que vous pouvez utiliser pour enrichir votre bibliothèque de simulations de phishing.
Si vous souhaitez une version prête à l'emploi de ceux-ci, ils sont tous (et plus encore) disponibles sur notre plateforme de simulation de phishing. Demandez un accès démo ici si vous souhaitez une visite guidée.
