L’arrivée des chatbots comme ChatGPT a été une embellie pour les pirates. Ces derniers utilisent les agents conversationnels pour rédiger des e-mails de phishing. Conséquence, les messages frauduleux ne contiennent plus de fautes ce qui les rend plus difficilement détectables.
Rapidement, les pirates ont exploité ChatGPT et les autres chatbots utilisant le traitement du langage naturel pour mener leurs attaques. Certains n’hésitent pas à les réquisitionner pour rédiger leurs e-mails de phishing. Pour rappel, cette pratique consiste à inciter la victime à cliquer sur un lien afin de propager un malware ou de dérober ses données sensibles. Les malfrats se font passer pour un service que l’utilisateur connaît bien pour déjouer sa vigilance.
À lire > Google Chrome : attention, cette fausse extension ChatGPT vole vos identifiants Facebook
ChatGPT : les pirates utilisent le chatbot d’OpenAI pour rédiger des mails de phishing
Avant l’essor de ChatGPT et consorts, ces messages frauduleux étaient facilement reconnaissables car ils étaient souvent truffés de fautes d’orthographe et de syntaxe. Mais l’arrivée des agent conversationnels a changé la donne. “Chaque pirate peut désormais utiliser une IA qui traite toutes les fautes d’orthographe et de grammaire”, souligne Corey Thomas, DG de la société américaine de cybersécurité Rapid7, cité par The Guardian.
D’après les données des experts en cybersécurité de la société britannique Darktrace, les e-mails de phishing sont de plus en plus écrits par des bots. De quoi permettre aux criminels d’envoyer des messages bien écrits, sans faute et plus longs. Même s’il existe des filtres sur les chatbots, les plus malins parviennent sans mal à lui faire générer des textes malveillants en utilisant des requêtes détournées. D’autres exploitent carrément l’API d’OpenAI pour générer leur contenu malveillant via des bots maisons.
Ce mois-ci, les spécialistes de Check Point ont fait écrire un e-mail de phishing à la dernière mouture de ChatGPT. Pour ce faire, ils ont simplement indiqué à l’agent conversationnel qu’ils avaient besoin d’un modèle pour sensibiliser leurs employés. Disponible en version bêta, Google Bard n’a pas hésité à produire un texte de phishing lors d’un test.
Comment reconnaître un e-mail de phishing ?
Vous l’aurez compris, les e-mails de phishing sont désormais moins reconnaissables. Si vous ne pouvez plus vous fier aux fautes d’orthographe, d’autres indices vous mettront sur la voie :
- Observez l’adresse de l’expéditeur. Celle-ci n’a souvent aucun rapport avec le service derrière lequel il se retranche. Attention, certains pirates insidieux utilisent désormais des adresses authentiques.
- Méfiez-vous des e-mails alarmistes qui vous incitent à mettre à jour des informations de paiement.
- Ne cliquez pas sur des pièces jointes ou des liens suspects dont vous n’êtes pas sûr de la provenance.
- Connectez-vous directement sur le site officiel du service concerné pour vérifier que l’information indiquée dans le mail est correcte.
- Utilisez un bon antivirus qui détecte le phishing.
- Méfiez-vous des demandes inhabituelles et de l’absence de personnalisation.