Escroqueries ChatGPT et AI à surveiller et à éviter

Depuis le lancement de ChatGPT en novembre de l'année dernière, il s'est avéré infiniment utile, les travailleurs du monde entier trouvant des moyens innovants d'appliquer la technologie au quotidien. Cependant, la puissance des outils d'IA est telle qu'ils peuvent également être utilisés à des fins insidieuses, telles que l'écriture de scripts de logiciels malveillants et d'e-mails de phishing.

En plus d'utiliser l'intelligence artificielle pour orchestrer des escroqueries, au cours des six à huit derniers mois, des pirates ont été repérés en train d'exploiter le sujet brûlant pour extorquer de l'argent aux gens et voler leurs informations via de fausses opportunités d'investissement et des applications frauduleuses.

Les escroqueries par IA sont parmi les plus difficiles à identifier, et beaucoup de gens n'investissent pas dans des outils comme l'antivirus Surfshark , qui avertit les utilisateurs lorsqu'ils sont sur le point de se diriger vers des sites Web suspects ou de télécharger une application louche. Nous avons donc rassemblé ce guide de toutes les tactiques courantes qui ont été observées récemment dans la nature. Dans l'ensemble, dans cet article, nous couvrons:

• Escroqueries par IA : quelle est leur fréquence ?
• Escroqueries par hameçonnage assistées par l'IA
• Escroqueries par clonage de voix AI
• Fausses applications ChatGPT
• Faux sites Web ChatGPT
• Escroqueries à l'investissement dans l'IA
• Escroqueries à l'IA : elles ne feront qu'empirer

Escroqueries par IA : de quoi s'agit-il et quelle est leur fréquence ?

Comme nous l'avons mentionné dans l'introduction de cet article, les «escroqueries par IA» peuvent faire référence à deux types d'escroqueries différents, dont des exemples ont régulièrement vu le jour en 2023.

Dans les escroqueries assistées par l'IA , l'intelligence artificielle aide l'escroc à commettre l'escroquerie, par exemple en écrivant le texte d'un e-mail de phishing. Dans les arnaques générales à l'IA , le pirate informatique tire parti de la popularité et de la nature zeitgeisty de l'IA comme sujet pour intriguer des cibles curieuses, comme une fausse arnaque d'application ChatGPT.

Le DFPI californien a enregistré une augmentation des escroqueries à l'investissement dans l'IA, tandis que des entreprises de cybersécurité telles que McAfee ont observé une augmentation des escroqueries de clonage de voix par IA au cours des derniers mois.

La sortie explosive de ChatGPT a également conduit à la création d'une vague de domaines malveillants, qui seront également abordés dans cet article.

Récemment, le co-fondateur d'Apple, Steve Wozniak – récemment signataire d' une lettre appelant à une pause dans le développement de l'IA – a averti que l'intelligence artificielle rendrait les escroqueries beaucoup plus difficiles à repérer et permettrait aux acteurs malveillants de paraître de plus en plus convaincants. L'ère des escroqueries assistées par l'IA est arrivée.

Tout comme le ransomware-as-a-service a abaissé le niveau de capacité technique nécessaire pour attaquer une entreprise, les outils d'IA comme ChatGPT signifient que pratiquement tout le monde peut sembler convaincant, donc en théorie, un groupe démographique plus large peut désormais les orchestrer efficacement.

Escroqueries par hameçonnage assistées par l'IA

Les escroqueries par hameçonnage existent depuis des années - les escrocs enverront des e-mails ou des SMS se faisant passer pour une entreprise légitime, telle que Microsoft, dans le but de vous faire cliquer sur un lien, ce qui vous mènera à un site Web malveillant.

À partir de là, un acteur malveillant peut injecter des logiciels malveillants dans votre appareil ou voler des informations personnelles telles qu'un mot de passe. Historiquement, l'un des moyens les plus simples de les repérer a été les fautes d'orthographe et de grammaire qu'une entreprise aussi prestigieuse que Microsoft ne ferait tout simplement pas dans un e-mail officiel à ses clients.

En 2023, cependant, avec une simple invite, ChatGPT peut générer une copie propre et fluide qui ne contient aucune faute d'orthographe. Cela rend beaucoup plus difficile la distinction entre la correspondance légitime et les attaques de phishing.

Si vous demandez explicitement à ChatGPT de créer un e-mail à des fins de phishing, le chatbot refuse de le faire. Cependant, nous avons demandé à ChatGPT de produire deux types d'e-mails différents qui pourraient éventuellement être utilisés comme modèle pour une escroquerie par hameçonnage, et étonnamment, il semble que ces types de demandes ne soient pas bloqués en vertu de ses règles de contenu :

Protégez-vous contre les escroqueries par hameçonnage par IA

Si vous recevez un e-mail qui semble provenir d'une entreprise légitime, mais qui tente d'injecter un sentiment d'urgence dans votre prise de décision (comme vous demander de payer une amende ou de vous connecter à votre compte pour éviter qu'il ne soit supprimé), traitez avec une extrême prudence. Il s'agit d'une tactique de phishing typique.

N'oubliez pas que si vous pensez que l'e-mail est probablement authentique, vous pouvez toujours ouvrir une nouvelle ligne de communication avec la personne ou l'entreprise.

Par exemple, si vous recevez un e-mail suspect de votre banque indiquant que votre compte a été accédé par un tiers non autorisé, ne répondez pas à l'e-mail - contactez simplement l'équipe du service client de la banque vous-même, en utilisant le numéro ou l'adresse indiquée sur leur site internet.

Escroqueries par clonage de voix AI

Les escroqueries AI Voice sont un type d'escroquerie assistée par l'IA qui ont fait la une des journaux ces derniers mois. Une enquête mondiale de McAfee a récemment révélé que 10 % des personnes interrogées avaient déjà été personnellement ciblées par une escroquerie vocale basée sur l'IA. Un autre 15 % ont déclaré qu'ils connaissaient quelqu'un qui avait été ciblé.

11% des victimes américaines qui ont perdu de l'argent lors d'escroqueries de clonage de voix par IA ont été escroquées de 5 000 à 15 000 dollars.

Dans les escroqueries vocales basées sur l'IA, les acteurs malveillants supprimeront les données audio du compte de réseau social d'une cible, puis les exécuteront via une application de synthèse vocale capable de générer un nouveau contenu dans le style de l'audio d'origine. Ces types d'applications sont accessibles en ligne gratuitement et ont des utilisations légitimes et non néfastes.

L'escroc créera un message vocal ou une note vocale décrivant sa cible en détresse et ayant désespérément besoin d'argent. Celui-ci sera ensuite envoyé aux membres de leur famille, en espérant qu'ils ne pourront pas faire la distinction entre la voix de leur proche et une version générée par l'IA.

Se protéger des escroqueries vocales par IA

La Federal Trade Commission (FTC) conseille aux consommateurs de rester calmes s'ils reçoivent une correspondance prétendant provenir d'un être cher en détresse et d'essayer d'appeler le numéro d'où ils ont reçu l'appel pour confirmer qu'il est bien réel.

Si vous pensez que vous êtes dans cette situation et que vous ne pouvez pas appeler le numéro, essayez le numéro de téléphone normal de la personne en question. Si vous n'obtenez pas de réponse, essayez de vérifier où ils se trouvent en contactant des personnes proches d'eux - et vérifiez des applications telles que Find My Friends si vous les utilisez, pour voir s'ils se trouvent dans un endroit sûr.

Si vous ne pouvez pas vérifier où ils se trouvent, il est crucial de contacter immédiatement les forces de l'ordre. Si vous découvrez qu'il s'agit d'une arnaque, assurez-vous de le signaler directement à la FTC.

Escroqueries frauduleuses sur l'application ChatGPT

Comme tout autre grand engouement technologique, si les gens en parlent - et plus important encore, le recherchent - les escrocs vont l'exploiter à des fins néfastes. ChatGPT en est un excellent exemple.

Un rapport récent de Sophos a trouvé une pléthore d'applications adjacentes à ChatGPT qu'il a surnommées "fleeceware". Les applications Fleeceware fournissent un programme gratuit avec des fonctionnalités limitées, puis bombardent les utilisateurs de publicités intégrées à l'application jusqu'à ce qu'ils souscrivent à un abonnement trop cher.

Selon la société de cybersécurité, "en utilisant une combinaison de publicités à l'intérieur et à l'extérieur des magasins d'applications et de fausses critiques qui déjouent les systèmes de notation des magasins, les développeurs de ces applications trompeuses sont capables d'inciter les utilisateurs d'appareils sans méfiance à les télécharger".

Une fausse application ChatGPT appelée Genie, qui propose des abonnements de 7 $ par semaine ou 70 $ par an, a rapporté 1 million de dollars sur une période mensuelle, selon SensorTower. D'autres ont fait des dizaines de milliers de livres. Un autre, appelé "Chat GBT" sur la boutique Android, a été spécifiquement nommé dans le rapport de Sophos :

(Crédit image : Sophos)

Selon la firme de cybersécurité, les fonctionnalités "pro" pour lesquelles les utilisateurs finissent par payer une somme considérable sont "essentiellement les mêmes" que la version gratuite. Ils signalent également qu'avant la suppression de l'application, la section des critiques était jonchée de "commentaires de personnes qui ont téléchargé l'application et ont constaté qu'elle ne fonctionnait pas - soit elle n'affichait que des publicités, soit elle ne répondait pas aux questions lorsqu'elle était déverrouillée".

Protégez-vous contre les fausses arnaques de l'application ChatGPT

Le moyen le plus simple de vous assurer de ne pas encourir ce type de frais d'abonnement - ou de télécharger des logiciels malveillants indésirables - est tout simplement de ne pas télécharger les applications. Les utilisateurs d'iPhone peuvent désormais télécharger l'application officielle ChatGPT, qui vient d'être lancée. Il sera intéressant de voir si cela marque la disparition des fausses applications ChatGPT qui peuplent actuellement l'App Store.

Alternativement, les utilisateurs iOS et Android peuvent ajouter un lien Web ChatGPT à leur écran d'accueil, et si vous êtes un utilisateur d'iPhone, vous pouvez créer un raccourci Siri qui vous mènera directement à ChatGPT sur le Web. Il y a peu de différence pratique entre le raccourci de l'écran d'accueil et une application native dans ce contexte.

Faux sites Web ChatGPT

En plus des fausses applications ChatGPT, il existe également un tas de faux sites Web ChatGPT, capitalisant sur l'énorme volume de recherche autour du terme.

En février 2023, l'utilisateur de Twitter Alvosec a identifié quatre domaines qui distribuaient tous des logiciels malveillants sous un nom lié à ChatGPT :

️ Méfiez-vous de ces domaines #ChatGPT qui distribuent des malwares

chat-gpt-windows[.]com
chat-gpt-online-pc[.]com
chat-gpt-pc[.]en ligne
chat-gpt[.]run@OpenAI #cybersecurity #infosec pic.twitter.com/hOZIVGN4Wi

— Alvosec ️ (@alvosec) 23 février 2023

Certains rapports ont noté que de faux sites Web ChatGPT présentaient le chatbot d'OpenAI comme une application Windows téléchargeable, plutôt qu'une application intégrée au navigateur, leur permettant de charger des logiciels malveillants sur les appareils.

Comment vous protéger des faux sites Web ChatGPT

N'oubliez pas que ChatGPT est un produit OpenAI et que le seul moyen d'accéder au chatbot est via l'application mobile ou via son domaine en particulier. "ChatGPT[.]com", par exemple, n'a rien à voir avec le vrai et légitime ChatGPT, et vous ne pouvez pas télécharger ChatGPT comme s'il s'agissait d'un client logiciel.

Curieusement, l'URL de la page de destination légitime d'inscription/de connexion ChatGPT ne contient même pas le mot "ChatGPT" : https://chat.openai.com/auth/login.

Vous pouvez également vous inscrire via le blog d'OpenAI (https://openai.com/blog/chatgpt), mais encore une fois, cela fait partie du domaine OpenAI. Si quelqu'un vous envoie un lien vers un site ChatGPT qui ne mène pas à l'une des adresses ci-dessus, nous vous conseillons de ne pas cliquer dessus et de naviguer vers le site légitime via Google à la place.

Escroqueries à l'investissement dans l'IA

Tout comme la crypto-monnaie, les escrocs tirent parti du battage médiatique autour de l'IA - ainsi que de la technologie elle-même - pour créer de fausses opportunités d'investissement qui semblent authentiques.

"TeslaCoin" et "TruthGPT Coin" ont tous deux été utilisés dans des escroqueries, s'appuyant sur le buzz médiatique autour d'Elon Musk et ChatGPT et se présentant comme des opportunités d'investissement à la mode.

Le département californien de la protection financière et de l'innovation allègue qu'une société appelée Maxpread Technologies a créé un faux PDG généré par l'IA et l'a programmé avec un script encourageant les parieurs à investir (photo ci-dessous). La société a reçu une ordonnance de désistement et d'abstention.

(Crédit image : coinstats.app)

Forbes rapporte qu'une autre société d'investissement, Harvest Keeper - qui, selon le DFPI, s'est effondrée en mars - a embauché un acteur pour se faire passer pour son PDG afin de régner sur des clients enthousiastes. Cela illustre les efforts déployés par certains escrocs pour s'assurer que leur présentation est suffisamment réaliste.

Se protéger des escroqueries liées aux investissements en IA

Si quelqu'un que vous ne connaissez pas vous contacte directement avec des opportunités d'investissement, traitez ses conseils avec une extrême prudence. Les opportunités d'investissement valables n'ont pas tendance à tomber dans les bras des gens de cette façon.

Si cela semble trop beau pour être vrai et que quelqu'un vous offre des rendements garantis, ne le croyez pas. Les rendements ne sont jamais garantis sur les investissements et votre capital est toujours à risque.

Si vous êtes quelqu'un qui investit régulièrement dans des entreprises, vous saurez alors l'importance de faire preuve de diligence raisonnable avant de vous séparer de votre argent durement gagné. Nous vous recommandons d'appliquer un niveau de contrôle encore plus élevé aux investissements potentiels dans l'IA, compte tenu du buzz autour des produits connexes et de la prévalence des escroqueries.

Escroqueries à l'IA : elles ne feront qu'empirer

En 2022, les consommateurs américains ont perdu 8,8 milliards de dollars à cause des escroqueries - et il est peu probable que 2023 soit différent. Les périodes d'instabilité financière sont également souvent corrélées à l'augmentation de la fraude, et à l'échelle mondiale, de nombreux pays sont en difficulté.

Actuellement, l'intelligence artificielle est une mine d'or pour les escrocs. Tout le monde en parle, mais peu savent vraiment de quoi il s'agit, et les entreprises de toutes formes et tailles se précipitent sur le marché des produits d'IA.

À l'heure actuelle, le battage médiatique autour de l'IA en fait le sujet le plus téléchargeable, le plus investi et le plus cliquable sur Internet. Il fournit la couverture parfaite pour les escrocs.

Il est important de se tenir au courant des dernières escroqueries qui circulent, et avec l'IA qui les rend beaucoup plus difficiles à repérer, c'est d'autant plus important. La FTC, le FBI et d'autres agences fédérales émettent régulièrement des avertissements, il est donc fortement conseillé de les suivre sur les réseaux sociaux pour les dernières mises à jour.

Cependant, nous vous recommandons également d'acheter un VPN avec détection de logiciels malveillants, comme NordVPN ou Surfshark . Ils cacheront tous deux votre adresse IP comme un VPN standard, mais vous avertiront également des sites Web suspects qui se cachent sur les pages de résultats de recherche Google. S'équiper d'une technologie comme celle-ci est un élément important pour assurer votre sécurité en ligne.