**ATHR** automatise l'intégralité du processus Telephone-Oriented Attack Delivery (TOAD), de l'appât initial par e-mail à l'ingénierie sociale vocale et à la récolte d'identifiants. Cette automatisation de bout en bout abaisse considérablement la barre technique pour lancer des attaques de vishing sophistiquées. ### Chaîne d'attaque ATHR Selon les chercheurs d'**Abnormal**, une entreprise de sécurité des e-mails cloud, ATHR fonctionne comme un générateur complet d'attaques de phishing/vishing. Elle fournit des modèles d'e-mails spécifiques à la marque, une personnalisation par cible et des capacités d'usurpation pour se faire passer de manière convaincante pour des expéditeurs de confiance. Actuellement, ATHR prend en charge huit services en ligne : **Google**, **Microsoft**, **Coinbase**, **Binance**, **Gemini**, **Crypto.com**, **Yahoo** et **AOL**. La séquence d'attaque commence par un e-mail apparemment légitime conçu pour passer les premières vérifications et même les contrôles d'authentification techniques. « L'appât est généralement une fausse alerte de sécurité ou une notification de compte - quelque chose d'assez urgent pour inciter à un appel téléphonique mais d'assez générique pour éviter de déclencher des filtres basés sur le contenu », a noté **Abnormal** dans son récent rapport. Appeler le numéro de téléphone fourni connecte la victime via **Asterisk** et **WebRTC** à des agents vocaux IA. Ces agents, pilotés par des scripts soigneusement conçus, guident la victime tout au long du processus de vol de données. Les agents IA suivent un script structuré qui simule un incident de sécurité. Dans le cas des comptes **Google**, les agents imitent le processus de récupération et de vérification de compte, utilisant des invites prédéfinies pour contrôler leur ton, leur approche et leur comportement, imitant le personnel de support professionnel.  **L'outil de création de scripts d'agents IA d'ATHR** *Source : Abnormal* L'objectif principal de ce processus de récupération fabriqué est d'extraire un code de vérification à six chiffres, accordant à l'attaquant un accès non autorisé au compte de la victime. Bien qu'ATHR offre la possibilité de rediriger les appels vers des opérateurs humains, sa capacité d'agent IA est un différenciateur clé, permettant des attaques évolutives et automatisées. Le tableau de bord d'ATHR offre aux opérateurs un contrôle complet sur l'ensemble du processus d'attaque, y compris les données en temps réel pour chaque cible. Via ce panneau, les opérateurs gèrent la distribution des e-mails, traitent les appels, supervisent les opérations de phishing, surveillent les résultats en temps réel et accèdent aux journaux contenant les données volées.  **Tableau de bord principal ATHR** *Source : Abnormal* Les chercheurs d'**Abnormal** soulignent qu'ATHR réduit considérablement l'effort manuel requis pour les opérateurs, fournissant aux acteurs de la menace une plateforme intégrée pour gérer toutes les étapes d'une attaque TOAD sans avoir besoin de configurer des composants individuels. Cette démocratisation permet aux attaquants moins qualifiés techniquement de déployer des attaques de vishing automatisées du début à la fin. « Le passage d'une opération fragmentée et manuellement intensive à une opération productisée et largement automatisée signifie que les attaques TOAD ne nécessitent plus de grandes équipes ou d'infrastructures spécialisées », avertit **Abnormal**. Avec la prolifération de plateformes comme ATHR, les chercheurs anticipent une augmentation des attaques de vishing de plus en plus difficiles à distinguer des communications légitimes. La défense contre ces attaques nécessite une approche différente, car les e-mails d'appât manquent souvent d'indicateurs traditionnels, sont personnalisés pour l'authentification et apparaissent comme des notifications valides. Cependant, la détection est possible en analysant les modèles de communication entre les expéditeurs et les destinataires et en identifiant les cas où des appâts similaires contenant des numéros de téléphone sont envoyés à une organisation dans un court laps de temps. Les chercheurs d'**Abnormal** suggèrent que la modélisation du comportement de communication normal au sein d'une organisation peut aider les systèmes de détection alimentés par l'IA à signaler les anomalies avant que les cibles ne passent un appel.