Quelques mois seulement après son lancement, ChatGPT est devenu un phénomène mondial. Il n’en fallait pas plus aux hackers pour trouver des moyens ingénieux d’exploiter le nouvel agent conversationnel basé sur l’intelligence artificielle pour soutirer de l’argent à leurs victimes.
Une fois n’est pas coutume, les pirates vont où les utilisateurs sont. Les hackers utilisent ainsi l’engouement autour de ChatGPT pour détourner des comptes, créer des campagnes d’hameçonnages et vous délester de quelques euros au passage.
La fausse extension Chrome de ChatGPT
ChatGPT n’en finit plus de faire parler de lui. Après la vague de curiosité qu’il a créée lors de son lancement en fin d’année dernière, l’agent conversationnel d’OpenAI a refait l’actualité cette semaine en lançant GPT-4. Une version plus puissante du moteur de l’outil qui a incité beaucoup de curieux à revenir dessus pour tester ses nouvelles capacités.
Avec plus de 100 millions d’utilisateurs, il n’est pas étonnant de voir fleurir de nombreux outils comme des extensions pour utiliser ChatGPT sur différents navigateurs web. Des hackers ont saisi l’opportunité en proposant une fausse extension Chrome mettant en avant un « accès rapide à ChatGPT ». L’extension véreuse n’est en fait qu’un moyen de détourner des comptes Facebook et créer de faux comptes administrateurs, comme le souligne Nati Tal chercheur chez Guardio Labs :
« En détournant des comptes professionnels Facebook de premier plan, le hacker peut créer une armée d’élite de bots Facebook et un appareil médiatique payant malveillant […] Cela lui permet de diffuser des publicités payantes sur Facebook aux dépens de ses victimes. »
L’extension nommée « Quick access to Chat GPT » a été installée 2000 fois par jour depuis le 3 mars 2023, avant d’être retirée par Google de son magasin d’applications pour Chrome le 9 mars 2023. Ironiquement, le logiciel malveillant a été mis en avant par les pirates en utilisant des publications sponsorisées sur Facebook…
L’extension a beau se connecter à ChatGPT, elle a également été conçue pour collecter les cookies et autres données de compte Facebook en utilisant une session authentifiée déjà active de l’utilisateur. Après avoir pris le contrôle du compte publicitaire Facebook, et donc des moyens de paiements associés, les pirates n’ont plus qu’à lancer des campagnes publicitaires aux frais de leurs victimes.
Les campagnes de phishing basées sur ChatGPT
Selon le laboratoire antispam de Bitdefender, ChatGPT est également utilisé dans le cadre de campagnes d’hameçonnage qui commence par de simples emails aux titres accrocheurs, dont voici quelques exemples :
- ChatGPT : le nouveau bot AI rend tout le monde fou
- ChatGPT : le nouveau bot IA choque tout le monde
- Le nouveau chatbot ChatGPT rend tout le monde fou maintenant – mais ce sera très bientôt un outil aussi banal que Google
- Pourquoi tout le monde panique-t-il à propos du bot ChatGPT ?
Le mail contient ensuite assez peu de contenus et incite les lecteurs à cliquer sur un lien. Les utilisateurs sont alors redirigés vers une fausse version de ChatGPT qui attire les utilisateurs avec des opportunités financières, promettant jusqu’à 10 000 euros par mois grâce à la « plateforme unique qu’est ChatGPT ».
Le faux chatbot se met ensuite à expliquer comment il peut analyser les marchés financiers et permettre à n’importe qui de devenir un investisseur prospère en investissant en actions. L’outil se présente même comme un « robot automatique créé par OpenAI (Elon Musk) pour travailler sur les marchés financiers »…
Après avoir analysé votre niveau (insuffisant) de revenus, le faux ChatGPT vous demande votre adresse email pour vérifier que vous êtes bien « réel ». Puis le chatbot va un peu plus loin en vous demandant un numéro de téléphone pour vous aider à activer un compte WhatsApp dédié à l’augmentation de vos revenus, qui pourraient s’élever à 420 $ par jour (d’après ChatGepetto).
En avançant dans le processus, le chercheur de Bitdefender a reçu un appel d’une jeune femme parlant roumain (et probablement anglais), qui semblait venir d’un centre d’appel. Cette dernière lui a expliqué comment gagner de l’argent très rapidement en investissant dans « la crypto, le pétrole et les actions internationales », tout en précisant que la mise de départ était de 250 € minimum.
L’interlocutrice lui a ensuite demandé les six derniers chiffres d’une carte d’identité valide. Le chercheur a préféré sauter cette étape en demandant un lien contenant ce dont il avait besoin pour transférer l’argent. Un formulaire lui demandant de nombreux détails personnels ainsi que la méthode de paiement lui a ensuite été partagé. Vous imaginez la suite…
Ce type d’arnaque n’a rien de nouveau et ChatGPT n’est qu’une porte d’entrée pour les hackers qui utilisent les sujets d’actualité pour attirer leurs victimes en leur faisant des promesses de gains rapides. Alors soyez vigilants, et comme le dit l’expression populaire : « Quand c’est flou, c’est qu’il y a un loup ».
source : 01net