Qu'est-ce que FraudGPT ?

ChatGPT a capté l'attention des gens, modifiant leurs flux de travail et modifiant la façon dont ils obtiennent des informations en ligne. Même ceux qui ne l'ont pas essayé sont curieux de savoir comment les chatbots d'intelligence artificielle (IA) auront un impact sur l'avenir.

Les cybercriminels ont exploré comment ils pourraient capitaliser sur le phénomène. FraudGPT en est un exemple récent.

Qu'est-ce que FraudGPT ?

FraudGPT est un produit vendu sur le dark web et Telegram qui fonctionne de manière similaire à ChatGPT mais crée du contenu pour faciliter les cyberattaques. Membres de l'équipe de recherche sur les menaces de Netenrich identifié pour la première fois et l'a vu annoncé en juillet 2023. Un argument de vente majeur était que FraudGPT ne dispose pas des contrôles et limitations intégrés qui empêchent ChatGPT de faire ou de répondre à des demandes inappropriées.

De plus amples détails indiquent que l'outil est mis à jour toutes les une à deux semaines et propose différents modèles d'IA sous le capot. FraudGPT a également un modèle de tarification basé sur un abonnement. Les gens peuvent payer 200 $ pour l'utiliser mensuellement ou 1 700 $ pour un an.

Comment fonctionne FraudGPT et que peut-il faire ?

L'équipe Netenrich a acheté et testé FraudGPT. L'interface ressemble à ChatGPT, avec un enregistrement des demandes précédentes de l'utilisateur dans la barre latérale gauche et la fenêtre de chat occupant la majeure partie de l'écran. Les gens n'ont qu'à taper dans la fenêtre Poser une question et appuyer sur Entrée pour générer la réponse.

L'une des invites de test demandait à l'outil de créer des e-mails de phishing liés à la banque. Les utilisateurs n'avaient qu'à formater leurs questions pour inclure le nom de la banque, et FraudGPT ferait le reste. Il a même suggéré où dans le contenu les gens devraient insérer un lien malveillant. FraudGPT pourrait aller plus loin en créant des pages de destination frauduleuses encourageant les visiteurs à fournir des informations.

D'autres invites ont demandé à FraudGPT de répertorier les sites ou services les plus ciblés ou les plus utilisés. Ces informations pourraient aider les pirates à planifier de futures attaques. Une publicité Web sombre pour le produit a mentionné qu'il pourrait créer du code malveillant, créer des logiciels malveillants indétectables, trouver des vulnérabilités, identifier des cibles, etc.

L'équipe de Netenrich a également identifié le vendeur de FraudGPT comme quelqu'un qui offrait auparavant des services de piratage pour compte d'autrui. De plus, ils ont lié le même individu à un outil similaire appelé WormGPT.

Les chercheurs de SlashNext ont déclaré que les algorithmes de l'outil ont été formés sur de grandes quantités de données de logiciels malveillants. Cette équipe a déclaré que WormGPT avait un potentiel particulier pour créer des messages réalistes de phishing et de compromission des e-mails professionnels.

Les preuves de ces outils prouvent que les cybercriminels continuent d'évoluer pour rendre leurs attaques de plus en plus efficaces. Que peuvent faire les professionnels et les passionnés de la technologie pour rester en sécurité ?

Conseils pour la cybersécurité à l'ère de la fraudeGPT et outils similaires

L'enquête sur FraudGPT a mis en évidence la nécessité de rester vigilant. Ces outils sont nouveaux, il est donc trop tôt pour dire quand les pirates pourraient les utiliser pour créer des menaces inédites - ou s'ils l'ont déjà fait. Cependant, FraudGPT et d'autres produits utilisés à des fins malveillantes pourraient aider les pirates à gagner du temps. Ils pourraient écrire des e-mails de phishing en quelques secondes ou développer des pages de destination entières presque aussi rapidement.

Cela signifie que les gens doivent continuer à suivre les meilleures pratiques en matière de cybersécurité, notamment en se méfiant toujours des demandes d'informations personnelles. Les personnes occupant des postes dans la cybersécurité doivent mettre à jour leurs outils de détection des menaces et savoir que les acteurs malveillants peuvent utiliser des outils tels que FraudGPT pour cibler et infiltrer directement les infrastructures en ligne.

Les pirates ne sont pas les seules menaces

De plus en plus de travailleurs utilisent ChatGPT dans leur travail, mais ce n'est pas nécessairement bon pour la cybersécurité. Les employés pourraient involontairement compromettre des informations confidentielles de l'entreprise en les collant dans ChatGPT. Des entreprises, dont Apple et Samsung, ont déjà limité la façon dont les travailleurs peuvent utiliser l'outil dans leurs rôles.

Une étude a révélé que 72 % des petites entreprises ferment à l'intérieur deux ans de perte de données. De nombreuses personnes ne considèrent que l'activité criminelle comme cause de perte d'informations. Cependant, les personnes avant-gardistes réalisent également le risque de coller des données confidentielles ou propriétaires dans ChatGPT.

Ces craintes ne sont pas sans fondement. Un bogue ChatGPT de mars 2023 a divulgué les détails de paiement des personnes qui avaient utilisé l'outil pendant une fenêtre de neuf heures et abonné à la version payante. De plus, les futures versions de ChatGPT sont formées sur les informations saisies par les utilisateurs précédents. Il est facile d'imaginer les problèmes si des détails confidentiels faisaient partie des données qui apprennent aux algorithmes à fonctionner. Les utilisateurs peuvent choisir de ne pas utiliser leurs invites pour la formation, mais ce n'est pas le paramètre par défaut.

Des problèmes peuvent également survenir si les travailleurs supposent que les informations qu'ils obtiennent de ChatGPT sont correctes. Les personnes utilisant l'outil pour les tâches de programmation et de codage ont averti que il fournit des réponses inexactes que les professionnels moins expérimentés peuvent considérer comme factuels.

Un article de recherche d'août 2023 de l'Université Purdue a confirmé cette affirmation en testant ChatGPT sur des questions de programmation. Les conclusions surprenantes ont trouvé l'outil ont donné de mauvaises réponses dans 52 % des cas des cas et était verbeux 77 % du temps. Si ChatGPT se trompe également dans les invites liées à la cybersécurité, cela pourrait poser des problèmes aux équipes informatiques qui essaient d'enseigner aux membres du personnel comment prévenir les piratages.

ChatGPT pourrait devenir un terrain de jeu pour les pirates

Une chose essentielle à réaliser est que les pirates peuvent toujours faire des dégâts extraordinaires sans payer pour des produits comme FraudGPT. Les chercheurs en cybersécurité ont déjà souligné que la version gratuite de ChatGPT leur permet de faire la plupart des mêmes choses. Les protections intégrées de cet outil peuvent rendre plus difficile l'obtention immédiate des résultats souhaités. Cependant, les criminels savent être créatifs, ce qui peut inclure la manipulation de ChatGPT pour le faire fonctionner comme ils le souhaitent.

L'IA pourrait finalement élargir la portée des cybercriminels et les aider orchestrer les attaques plus rapidement. À l'inverse, de nombreux professionnels de la cybersécurité utilisent l'IA pour accroître la sensibilisation aux menaces et accélérer la résolution. Ainsi, les gens peuvent compter sur la technologie pour renforcer et éroder les mesures de protection. Il n'est pas surprenant qu'une enquête de juin 2023 a montré que 81% des répondants avaient la sécurité et les problèmes de sécurité concernant ChatGPT.

Une autre possibilité est que les gens puissent télécharger ce qu'ils croient être l'application ChatGPT authentique et recevoir des logiciels malveillants à la place. Il n'a pas fallu longtemps pour de nombreuses applications ressemblant à l'outil pour apparaître dans les magasins d'applications. Certains ne fonctionnaient que de la même manière et ne semblaient pas tromper délibérément les utilisateurs. Cependant, d'autres avaient des noms similaires - tels que "Chat GBT" - qui pourraient facilement tromper les individus sans méfiance.

Les pirates intègrent généralement des logiciels malveillants dans des applications apparemment légitimes. Les gens devraient s'attendre à ce qu'ils profitent également de la popularité de ChatGPT.

Les technologies émergentes nécessitent de nouvelles méthodes de cybersécurité

La recherche sur FraudGPT est un rappel mémorable de la façon dont les cybercriminels continueront de changer leurs techniques pour un impact maximal. Cependant, les outils disponibles gratuitement présentent également des risques de cybersécurité. Toute personne utilisant Internet ou travaillant à la sécurisation des infrastructures en ligne doit se tenir au courant des nouvelles technologies et de leurs risques. La clé est d'utiliser des outils comme ChatGPT de manière responsable tout en restant conscient des dommages potentiels.