Mauvaise orthographe et grammaire qui peuvent aider à identifier les attaques frauduleuses rectifiées par l’intelligence artificielle
Selon les experts, les chatbots suppriment une ligne de défense essentielle contre les e-mails de phishing frauduleux en supprimant les erreurs flagrantes de grammaire et d’orthographe. L’avertissement intervient alors que l’organisation policière Europol publie un avis international sur l’utilisation criminelle potentielle de ChatGPT et d’autres « grands modèles linguistiques ».
Les e-mails de phishing sont une arme bien connue des cybercriminels et incitent les destinataires à cliquer sur un lien qui télécharge un logiciel malveillant ou les incite à transmettre des informations personnelles telles que des mots de passe ou des codes PIN.
La moitié de tous les adultes en Angleterre et au Pays de Galles ont déclaré avoir reçu un e-mail de phishing l’année dernière, selon l’Office for National Statistics, tandis que les entreprises britanniques ont identifié les tentatives de phishing comme la forme la plus courante de cyber-menace .
Cependant, un défaut fondamental de certaines tentatives de phishing – une orthographe et une grammaire médiocres – est corrigé par des chatbots d’intelligence artificielle (IA), qui peuvent corriger les erreurs qui déclenchent les filtres anti-spam ou alertent les lecteurs humains.
« Chaque pirate peut désormais utiliser une IA qui traite toutes les fautes d’orthographe et de grammaire », déclare Corey Thomas, directeur général de la société américaine de cybersécurité Rapid7. « L’idée que vous pouvez compter sur la recherche d’une mauvaise grammaire ou orthographe pour repérer une attaque de phishing n’est plus le cas. Nous avions l’habitude de dire que vous pouviez identifier les attaques de phishing parce que les e-mails avaient une certaine apparence. Cela ne fonctionne plus.
Les données suggèrent que ChatGPT, le leader du marché qui a fait sensation après son lancement l’année dernière, est utilisé pour la cybercriminalité, avec la montée en puissance des «grands modèles de langage» (LLM) obtenant l’une de ses premières applications commerciales substantielles dans l’élaboration de communications malveillantes.
Les données des experts en cybersécurité de la société britannique Darktrace suggèrent que les e-mails de phishing sont de plus en plus écrits par des bots, permettant aux criminels de surmonter un anglais médiocre et d’envoyer des messages plus longs qui sont moins susceptibles d’être interceptés par les filtres anti-spam.
Depuis que ChatGPT est devenu grand public l’année dernière, le volume global d’escroqueries malveillantes par e-mail qui tentent d’inciter les utilisateurs à cliquer sur un lien a chuté, remplacé par des e-mails plus complexes sur le plan linguistique, selon la surveillance de Darktrace. Cela suggère qu’un nombre significatif d’escrocs qui rédigent des e-mails de phishing et d’autres e-mails malveillants ont acquis une certaine capacité à rédiger une prose plus longue et plus complexe, déclare Max Heinemeyer, directeur des produits de l’entreprise – très probablement un LLM comme ChatGPT ou similaire.
« Même si quelqu’un dit, ‘ne vous inquiétez pas pour ChatGPT, il va être commercialisé’, eh bien, le génie est sorti de la bouteille », a déclaré Max Heinemeyer. « Ce que nous pensons avoir un impact immédiat sur le paysage des menaces, c’est que ce type de technologie est utilisé pour une ingénierie sociale meilleure et plus évolutive : l’IA vous permet de créer des e-mails de « spear-phishing » très crédibles et d’autres communications écrites avec très peu effort, surtout par rapport à ce que vous avez à faire avant.
« Spear-phishing », le nom des e-mails qui tentent d’inciter une cible spécifique à donner des mots de passe ou d’autres informations sensibles, peut être difficile à concevoir de manière convaincante pour les attaquants, a précisé Max Heinemeyer, mais les LLM tels que ChatGPT facilitent la tâche. « Je peux simplement explorer vos réseaux sociaux et les mettre sur GPT, et cela crée un e-mail personnalisé super crédible. Même si je ne maîtrise pas très bien la langue anglaise, je peux créer quelque chose qui ne se distingue pas de l’humain.
Dans le rapport consultatif d’Europol, l’organisation a mis en évidence un ensemble similaire de problèmes potentiels causés par la montée des chatbots d’IA, notamment la fraude et l’ingénierie sociale, la désinformation et la cybercriminalité. Les systèmes sont également utiles pour guider les criminels potentiels à travers les étapes réelles nécessaires pour nuire aux autres, a-t-il déclaré. « La possibilité d’utiliser le modèle pour fournir des étapes spécifiques en posant des questions contextuelles signifie qu’il est beaucoup plus facile pour les acteurs malveillants de mieux comprendre et ensuite de commettre divers types de crimes. »
Ce mois-ci, un rapport de Check Point , une société de cybersécurité américano-israélienne, a déclaré avoir utilisé la dernière version de ChatGPT pour produire un e-mail de phishing apparemment crédible. Il a contourné les procédures de sécurité du chatbot en indiquant à l’outil qu’il avait besoin d’un modèle d’e-mail de phishing pour un programme de sensibilisation des employés.
Google a également rejoint la course aux chatbots en lançant son produit Bard au Royaume-Uni et aux États-Unis la semaine dernière. Invité par le Guardian à rédiger un e-mail pour persuader quelqu’un de cliquer sur un lien d’apparence malveillante, Bard s’est exécuté volontiers s’il manquait de subtilité : « Je vous écris aujourd’hui pour partager un lien vers un article que je pense que vous trouverez intéressant. »
Contacté par le Guardian, Google a souligné sa politique « d’utilisation interdite » pour l’IA , qui stipule que les utilisateurs ne doivent pas utiliser ses modèles d’IA pour créer du contenu pour « des activités trompeuses ou frauduleuses, des escroqueries, du phishing ou des logiciels malveillants ».
OpenAI, créateur de ChatGPT, a été contacté pour commentaires. Les conditions d’utilisation de la société stipulent que les utilisateurs « ne peuvent (i) utiliser les services d’une manière qui enfreint, détourne ou viole les droits de toute personne ».
