À l’ère des chatbots qui s’expriment comme des pros, « réfléchir avant de cliquer » prend un sens très différent.
ChatGPT a pris le monde d’assaut, ayant récemment atteint 100 millions d’utilisateurs dans le monde, deux mois seulement après son lancement. La couverture médiatique de l’étonnante capacité de l’outil à rédiger des textes ultra réalistes masque une réalité potentiellement plus dangereuse.
Entre de mauvaises mains, le puissant chatbot (par ailleurs désormais intégré au moteur de recherche Bing) ainsi que les technologies de ce type pourraient être utilisés à mauvais escient par des escrocs et contribuer ainsi à « démocratiser » la cybercriminalité. En offrant un moyen relativement peu coûteux et automatisé de créer de vastes campagnes d’escroquerie, ce pourrait être le point de départ d’une nouvelle vague d’attaques d’hameçonnage plus convaincantes que jamais.
Armement d’un chatbot
ChatGPT repose sur la famille des « grands modèles de langage » GPT-3 d’OpenAI. En tant que tel, il a été minutieusement pensé pour interagir avec des utilisateurs sur le ton de la conversation, et en a séduit plus d’un par ses réponses très réalistes. Le produit n’en est encore qu’à ses débuts, mais pourtant certains retours sont d’ores et déjà préoccupants.
Bien qu’OpenAI ait intégré des garde-fous dans le produit pour empêcher son utilisation à des fins malveillantes, ces mesures ne semblent pas toujours efficaces ou cohérentes. Des sources ont notamment affirmé qu’une demande de rédaction d’un message réclamant une aide financière pour fuir l’Ukraine a été signalée comme étant une arnaque puis refusée par l’outil. Mais une autre demande d’aide à la rédaction d’un faux email informant un destinataire qu’il avait gagné à la loterie a, en revanche, été acceptée. D’après d’autres signalements, les contrôles destinés à empêcher les utilisateurs de certaines régions d’accéder à l’interface de programmation d’applications (API) de l’outil ont également échoué.
C’est une mauvaise nouvelle pour les internautes. En effet, des cybercriminels ont déjà utilisé ChatGPT à des fins malveillantes à plusieurs reprises. Ces développements pourraient permettre à des malfaiteurs toujours plus nombreux de lancer des cyberattaques et des escroqueries à grande échelle, convaincantes, sans erreur, voire même ciblées, telles que des attaques par usurpation de messagerie professionnelle (BEC).
La plupart (51% ) des responsables de la cybersécurité s’attendent désormais à ce que ChatGPT contribue à la réussite d’une cyberattaque d’ici un an. Il en ressort clairement que nous devons tous mieux repérer les signes révélateurs des escroqueries en ligne et nous préparer à une augmentation potentielle du nombre d’emails malveillants. Voici quelques éléments à prendre en compte :
Quels sont les signes probables liés à un email d’hameçonnage ?
1) Contact non sollicité : Les messages d’hameçonnage apparaissent généralement à l’improviste, même si les communications marketing peuvent également sembler assez soudaines. Mais lorsqu’un email non sollicité provenant d’une banque ou de toute autre organisation apparaît dans votre boîte de réception, vous devez automatiquement être sur vos gardes pour détecter toute activité potentiellement suspecte, surtout s’il contient un lien ou une pièce jointe.
2) Liens et pièces jointes : Comme nous l’avons mentionné, l’une des méthodes classiques utilisées par les criminels pour parvenir à leurs fins consiste à intégrer des liens malveillants ou joindre des fichiers malveillants à leurs emails. Ils peuvent installer secrètement des malwares sur votre appareil, ou utiliser des liens pour vous rediriger vers une page d’hameçonnage qui vous demandera de fournir des informations personnelles. Évitez de cliquer sur les liens, de télécharger des fichiers ou d’ouvrir les pièces jointes des messages, même s’ils semblent provenir d’une source connue et fiable, à moins que vous n’ayez vérifié auprès de l’expéditeur par d’autres moyens que le message est bel et bien authentique.
3) Demandes d’informations personnelles et financières : quel est l’objectif final d’une attaque d’hameçonnage ? Il s’agit parfois de persuader le destinataire d’installer involontairement un malware sur son ordinateur. Mais dans la plupart des autres cas, c’est pour l’amener à fournir des informations personnelles. Ces données sont généralement vendues sur le dark web, puis utilisées pour commettre des vols d’identité et des fraudes. Il peut s’agir par exemple de souscrire à une nouvelle ligne de crédit en votre nom, ou de payer un article avec les informations de votre carte bancaire.
4) Moyens de pression : L’hameçonnage s’appuie sur une technique connue sous le nom d’ingénierie sociale, qui est essentiellement l’art de faire faire aux autres ce que vous voulez par la persuasion et l’exploitation de l’erreur humaine. La création d’un sentiment d’urgence est une tactique classique d’ingénierie sociale, qui consiste à dire à la victime qu’elle n’a qu’un temps limité pour répondre, sous peine de se voir infliger une amende ou de passer à côté de la possibilité de gagner quelque chose.
5) Quelque chose de « gratuit » : Si quelque chose semble trop beau pour être vrai, c’est généralement le cas. Pourtant, cela n’empêche pas les gens de se laisser séduire par de fausses offres gratuites. Les « cadeaux » généreux offerts aux utilisateurs en échange de leur participation à des enquêtes, dans lesquelles ils doivent fournir des informations personnelles et/ou financières, en sont un exemple classique. Il va sans dire que la victime ne recevra jamais son iPhone, ses bons d’achat, son argent ou tout autre gain promis.
6) Non-concordance entre l’expéditeur affiché et le domaine réel : Les pirates essaient souvent de faire croire que leur adresse email provient d’une source légitime, alors que ce n’est pas le cas. Par exemple, en passant la souris sur le domaine de l’expéditeur, vous pouvez souvent voir la véritable adresse email qui l’a envoyé. Si les deux ne correspondent pas et/ou si l’adresse sous-jacente est une longue combinaison de caractères aléatoires, il y a de fortes chances qu’il s’agisse d’une escroquerie.
7) Salutations peu familières ou génériques : Les auteurs d’emails d’hameçonnage tentent de se faire passer pour des personnes appartenant à des organisations légitimes afin de gagner la confiance de leurs victimes. Mais ils ne savent pas toujours quel ton utiliser lorsqu’ils envoient un email. Si vous avez l’habitude d’être appelé par votre prénom par une entreprise, et que vous recevez ensuite un email plus formel, ou vice versa, cela devrait vous alerter. De même, aucune banque légitime ou autre organisation ne vous enverra un email à partir d’une adresse se terminant par @gmail.com.
8) Exploitation des événements actuels ou des situations d’urgence : Une autre technique classique d’ingénierie sociale consiste à détourner des événements d’actualité ou des situations d’urgence pour persuader les destinataires de cliquer. C’est la raison pour laquelle le volume d’emails d’hameçonnage a explosé pendant la pandémie de COVID-19 et que des criminels ont déployé des escroqueries associées à des dons caritatifs peu après l’invasion de l’Ukraine par la Russie. Soyez toujours sceptique face aux messages qui citent des événements actuels.
9) Demandes inhabituelles : De même, soyez attentif·ve aux emails comportant des demandes inhabituelles de la part de l’expéditeur. Il peut s’agir par exemple de votre banque qui vous demande de confirmer des données personnelles et financières par email ou par SMS, ce qu’une véritable banque ne ferait jamais. Tout email commençant par « Cher client » ou « Cher [adresse email] » devrait vous alarmer.
10) Demandes d’argent : L’hameçonnage consiste à récolter des informations personnelles et/ou installer des malwares. Mais certaines escroqueries sont encore plus directes. Il va sans dire que vous ne devez jamais accepter de remettre de l’argent à quelqu’un qui vous envoie un message non sollicité, même s’il est question de régler des « frais » pour terminer une livraison ou obtenir un prix.
Les erreurs grammaticales risquent d’appartenir au passé grâce à des outils comme ChatGPT. Il existe heureusement de nombreux autres signes pour nous avertir d’éventuelles escroqueries. Prenez votre temps et réfléchissez toujours à ce qui a motivé une personne à envoyer un message en particulier. Pour aller plus loin, sensibilisez vos employés et testez-vous ! Découvrez notre kit gratuit à la sensibilisation à la cybersécurité à travers des outils simples et efficaces.
