Le phishing est entré dans une nouvelle phase marquée par l’utilisation de l’intelligence artificielle génératrice et des techniques avancées d’évasion et de personnalisation. Le phishing traditionnel est une fraude basée sur des courriers ou des liens facilement identifiables, mais le phishing impulsé par IA provoque le développement d’attaques dynamiques capables de s’adapter en temps réel à l’utilisateur, au contexte et à l’appareil. Un studio récent de Unit 42, l’équipe d’intelligence d’affaires de Palo Alto Networks, alerte sur une nouvelle modalité d’attaque Web dans les pages apparemment bénignes qui se transforment, en quelques secondes, sur des sites de phishing totalement fonctionnels et personnalisés.
Au cours des dernières années, le phishing s’est consolidé en Espagne comme une menace persistante. Sans plus de joie, le passé de l’année, une personne de la Rioja a provoqué une perte supérieure à 72 500 euros entre diverses victimes. Également, en 2025, ce type d’attaques a été répété en Catalogne, où une organisation qui, au cours de grandes campagnes de smishing, a perdu 1,9 millions d’euros aux clients touchés.
Des cas similaires se sont produits cette année-là dans les municipalités de Castille-et-León et de la Communauté de Madrid avec des pertes, plus fragmentées, mais qui reflètent l’efficacité du démonstration de phishing comme une fraude commise pour se transformer en une entreprise sociale, distribuée territorialement et avec un impact économique chaque année.
Phishing poussé par IA : plus évasif, personnalisé et difficile à détecter
À la différence des attaques traditionnelles, ces pages de phishing déclenchées par l’IA ne contiennent pas de code malveillant détectable au moment du chargement. À votre place, utilisez des appels à l’API du côté du client pour des services légitimes de modèles de langage à grande échelle (LLM) pour générer des fragments de JavaScript malveillants en temps réel et éliminer les barres de sécurité de l’IA. Dans ce processus, les fragments sont développés à travers l’API, puis ensamblés et exécutés directement sur le navigateur de la victime, sans laisser de traces de charges statiques qui peuvent être analysées au préalable par les solutions de sécurité conventionnelles.
Le résultat est une attaque hautement évasive enregistrée et exécutée pendant le chargement, de sorte que le code de la page de phishing est policier, avec une variante unique du code malveillant. De plus, le contenu est inclus dans les domaines de LLM largement utilisés et considérés comme fiables, ce qui permet d’élucider les systèmes d’analyse de rouge et de renforcer l’efficacité du travail.
L’unité 42 affirme que 36 % des pages doivent être incluses dans l’écriture et que le LLM en temps d’exécution sur une page Web permet aux pirates d’éviter l’analyse des réseaux, d’augmenter la diversité des scripts malveillants à chaque visite, d’utiliser Ensamblado en temps d’exécution et exécutez le code JavaScript pour compliquer la détection, et utilisez le code dans le texte plan.
Un changement dans le paradigme de la détection de la fraude
La capacité de générer du contenu frauduleux en temps réel, de le personnaliser et de l’exécuter directement sur le navigateur, introduit un défi significatif pour la défense. Si le code malveillant n’existe pas au moment de son exécution, les informations de sécurité traditionnelles sont insuffisantes.
Le phishing impulsé par IA provoque le développement d’attaques dynamiques, des capacités adaptables en temps réel à l’utilisateur, au contexte et à l’appareil
Face à ce nouveau scénario, Palo Alto Networks recommande :
- En effectuant l’analyse du comportement en temps réel pendant l’exécution, vous pourrez détecter des activités spécifiques au moment où elles se produisent, indépendamment de votre origine ou de votre apparition légitime.
- Limiter l’utilisation des services de modèles de langue non autorisés dans l’entreprise.
- Renforcez les barres de sécurité sur les plates-formes IA appropriées pour prévenir les utilisations malveillantes.
