Les escroqueries par VEC conçues par AI contournent le MFA, les filtres hérités et la sensibilisation des employés, exigeant un changement fondamental dans la stratégie de défense des e-mails d’entreprise.
Les attaques de compromis par courrier électronique des vendeurs (VEC) contournent les défenses traditionnelles en exploitant la confiance humaine plutôt que des vulnérabilités techniques, selon un nouveau rapport d’une IA anormale.
Les données du rapport montrent que 72% des employés de grandes entreprises se sont engagés dans des e-mails frauduleux des fournisseurs – répondant ou transférant des messages qui ne contiennent aucun lien ni pièce jointe. Ce comportement a alimenté des tentatives de vol en dépit de 300 millions de dollars à l’échelle mondiale au cours de la dernière année, les attaques VEC montrant désormais 90% de taux d’engagement plus élevés que le compromis traditionnel par e-mail commercial (BEC).
La région de l’Europe, du Moyen-Orient et de l’Afrique (EMEA) a émergé comme zéro terrestre pour cette menace croissante. Alors que les employés de l’EMEA interagissent avec les escroqueries VEC plus que toute autre région, ils déclarent seulement 0,27% de ces incidents, le taux de rapport le plus bas dans le monde. Le secteur des télécommunications est apparu le plus vulnérable, avec 71,3% d’engagement des employés, suivi de l’énergie et des services publics à 56,25%, selon le rapport.
« L’ingénierie sociale basée sur les e-mails n’a jamais été aussi convaincante ou plus efficace », a déclaré Mike Britton, CIO à Anormal IA, dans un communiqué de presse. «Les attaquants détournent des fils de fournisseurs légitimes et créent des messages sophistiqués qui glissent les défenses héritées. Parce que les employés pensent que ces e-mails sont authentiques, ils s’engagent avec eux à des taux alarmants.»
Le rapport a révélé un comportement particulièrement risqué parmi les équipes de vente junior d’EMEA, qui s’engagent avec 86% des tentatives de VEC. Alors que les organisations détectent et rapportent 4,22% des attaques traditionnelles du BEC, 98,5% des escroqueries par la VEC ne sont pas signalées, souvent découvertes qu’après des dommages financiers. Cela contraste fortement avec les régions d’Asie-Pacifique (APAC), où BEC reste la menace dominante avec 44,4% des taux d’engagement des employés.
Sujit Dubal, analyste au QKS Group, a déclaré: «Gen AI a élevé les attaques de VEC à une précision chirurgicale. Nous ne parlons plus de tentatives de phishing évidentes – ce sont des communications commerciales méticuleusement conçues qui contournent l’authentification multi-facteurs et d’autres mesures de sécurité.»
L’IA amplifie la complexité des menaces
Contrairement au phishing traditionnel, les attaques VEC imitent les fils de messagerie commerciale légitimes, souvent générés à l’aide de l’IA pour reproduire le ton, l’image de marque et l’historique des messages avec une grande précision. Sans déclencheurs évidents de détection, ces e-mails contournent les filtres et idinent même des employés prudents qui, sur un marché du travail serré, se précipitent souvent pour résoudre les problèmes perçus comme les paiements manqués.
« Les contrôles existants comme l’authentification multi-facteurs échouent contre ces attaques alimentées par l’IA », a averti Dubal. «Nous avons besoin d’un changement de stratégie fondamental qui traite de la manipulation psychologique, pas seulement de la vérification des diplômes.»
Les défenses du périmètre ne peuvent à elles seules arrêter ce VEC axé sur l’IA, a-t-il ajouté. «Les organisations ont besoin de trois mises à niveau critiques: les analyses de messagerie propulsées par l’IA qui détectent des incohérences subtiles, les protocoles de vérification des fournisseurs actifs et recyclés les employés qui reconnaissent l’ingénierie sociale, pas seulement les menaces techniques.»
Bien que le volume VEC reste inférieur à celui de phishing ou de ransomwares, son taux de réussite – et son impact financier potentiel – est beaucoup plus élevé. « L’IA armée facilite l’identité des fournisseurs de confiance », a ajouté Britton, exhortant les organisations à «aller au-delà de la formation réactive et à adopter des défenses proactives qui bloquent les menaces avant d’atteindre la boîte de réception» pour éviter une erreur humaine coûteuse.
