Incidents associés
L'avènement de ChatGPT a effrayé les experts en cybersécurité. Certains craignent que le puissant chatbot ne facilite la création pour les non-codeurs des logiciels malveillants et devenir des cybercriminels. Mais jusqu'à présent, selon une entreprise de cybersécurité, ChatGPT peut avoir un effet contre-intuitif sur le piratage : suralimenter les escroqueries qui ne reposent sur aucun type de code malveillant.
Max Heinemeyer, directeur des produits de la société de cybersécurité basée au Royaume-Uni Darktrace, déclare qu'en regardant la période d'un mois depuis [ChatGPT a atteint 1 million d'utilisateurs](https://fortune.com/longform/chatgpt-openai-sam- altman-microsoft/) début décembre, le nombre total de tentatives de cyberattaques ciblant les clients de Darktrace a peu changé. Mais Darktrace a vu un changement distinct dans les tactiques utilisées par les cybercriminels.
Les liens malveillants dans les e-mails de phishing sont passés de 22 % des cas à seulement 14 %, selon Heinemeyer. Mais la complexité linguistique moyenne des e-mails de phishing rencontrés par Darktrace a bondi de 17 %.
La théorie de travail de l'entreprise : les cybercriminels commencent à utiliser ChatGPT pour créer des [e-mails de phishing] beaucoup plus convaincants (https://fortune.com/recommends/banking/common-banking-scam-and-fraud-tactics-to-avoid/) -ceux qui sont si bons que les cybercriminels n'ont même pas besoin de s'appuyer sur l'intégration de logiciels malveillants dans des pièces jointes ou des liens. Après tout, les liens malveillants ou les logiciels malveillants intégrés peuvent souvent être détectés et arrêtés par des logiciels de cybersécurité tels que Darktrace.
Ce qui est beaucoup plus difficile à arrêter, ce sont les attaques qui reposent entièrement sur la tromperie à l'ancienne, ou "l'ingénierie sociale". Un e-mail écrit de manière si convaincante que le destinataire pense qu'il provient d'une source fiable est un excellent moyen d'effectuer une fraude de paiement push autorisée, par exemple. La victime est amenée à envoyer des fonds pour payer ce qu'elle pense être une transaction ou une facture légitime, mais envoie en fait l'argent directement sur le compte d'un fraudeur.
Dans certains cas, dit Heinemeyer, les criminels peuvent préparer le terrain pour des escroqueries plus longues qui impliquent de gagner la confiance des victimes sur une période de temps et peuvent impliquer des imitations sophistiquées de vrais cadres ou clients.
Un cadeau pour les hackers non anglophones
En plus de l'I.A. des outils d'écriture tels que ChatGPT, d'autres nouvelles I.A. génératives. outils pourraient être utilisés pour encourager de telles escroqueries. I.A. des logiciels, tels que celui de la startup naissante Eleven Labs, peuvent désormais créer des clones de voix réalistes après avoir été entraînés sur des enregistrements de la voix d'une cible qui peuvent ne durer que quelques secondes. Pendant ce temps, les logiciels de génération de texte en image, tels que Stable Diffusion, peuvent créer des deepfakes de plus en plus réalistes avec une fraction des données de formation précédemment requises pour d'autres méthodes de deepfake.
Les fraudes basées sur des e-mails commerciaux compromis ont augmenté au cours des quatre à cinq dernières années, a déclaré Evan Reiser, fondateur et PDG de cybersecurity Abnormal. Et bien qu'il affirme que son entreprise n'a pas encore vu d'augmentation de ce type d'attaques depuis le lancement de ChatGPT, il pense qu'il est possible que des criminels, en particulier ceux dont la langue maternelle n'est pas l'anglais, soient tentés d'utiliser l'outil pour créer des e-mails qui sont moins susceptibles de lever des drapeaux rouges avec des victimes potentielles en raison d'expressions non grammaticales ou peu familières. "Tout outil perçu par les humains comme authentique aggravera la [fraude]", déclare Reiser.
Il dit que cela est particulièrement vrai des systèmes où ils sont explicitement formés pour produire du texte dans un style particulier, des voix synthétisées ou des images dans le but de tromper les gens. Mais il dit aussi que souvent les astuces les plus simples - juste un très court e-mail qui semble provenir d'une personne de confiance - fonctionnent assez bien et que les criminels gravitent généralement vers les méthodes les plus simples et qui nécessitent le moins d'efforts. "Vous pouvez envoyer des e-mails idiots et stupides et gagner des millions de dollars", dit-il. "Pourquoi se donner la peine et l'effort de former des modèles [A.I.] pour faire cela."
À la suite de la sortie de ChatGPT, certaines entreprises de cybersécurité ont sonné l'alarme que l'A.I. pourrait rendre diaboliquement facile de réaliser une cyberattaque. Maya Horowitz, vice-présidente de la recherche de la société de cybersécurité Checkpoint, a déclaré que son équipe avait réussi à faire en sorte que ChatGPT génère chaque étape d'une cyberattaque, en commençant par un e-mail de phishing supérieur à la moyenne, puis en poursuivant l'écriture du logiciel. code pour une attaque de logiciel malveillant et être capable de comprendre comment intégrer ce code dans une pièce jointe d'apparence anodine. Horowitz a déclaré qu'elle craignait que ChatGPT et d'autres modèles de langage génératif ne conduisent à de nombreuses autres cyberattaques.
Mais le même type de grands modèles de langage qui alimentent ChatGPT peut également être utilisé pour aider les entreprises de cybersécurité à se défendre contre les attaques. Abnormal utilise certains modèles de langage, tels que le modèle de langage BERT de Google, pour aider à déterminer l'intention d'un e-mail. Si un e-mail demande à une personne de payer pour quelque chose et met cette personne sous pression, en disant que c'est urgent ou doit être fait dès que possible, cela pourrait être un drapeau rouge, dit Reiser. Les modèles linguistiques peuvent également lire les pièces jointes et voir si elles correspondent à la forme et au style des factures précédentes, ou si l'entreprise qui facture est celle avec laquelle l'entreprise a déjà interagi. Il peut même voir si les numéros de compte semblent correspondre à ceux qui ont été utilisés précédemment. (Abnormal analyse même des choses telles que si une pièce jointe à un e-mail a des polices qui correspondent à celles précédemment vues de cette société et examine les métadonnées des documents pour des signaux potentiels que quelque chose de louche se passe, dit Reiser.)
Une grande partie de ce que fait Abnormal est d'examiner les modèles d'un grand nombre de fonctionnalités et d'utiliser des modèles d'apprentissage automatique pour déterminer s'ils atteignent le seuil où l'e-mail doit être bloqué et l'équipe de sécurité d'une entreprise alertée. Il y a presque toujours quelque chose qui révélera une tentative de phishing si vous savez où chercher, dit Reiser. Même dans le cas où un compte de messagerie professionnel légitime a été compromis, l'attaquant prendra souvent des mesures, telles que l'exécution de plusieurs recherches dans l'historique du compte ou l'utilisation d'une API pour contrôler le compte plutôt qu'un clavier de PC, qui fournira un signal que quelque chose ne va pas.
Nicole Eagan, directrice de la stratégie de Darktrace, explique que Darktrace lui-même utilise le même type de grands modèles de langage qui sous-tendent ChatGPT pour créer des e-mails de harponnage plus crédibles que l'entreprise utilise dans des exercices internes de "red teaming" pour tester ses propres pratiques de cybersécurité. Eagan dit qu'elle est récemment tombée amoureuse de l'un d'entre eux, qui a été inséré directement dans la chaîne de messagerie réelle qu'elle avait avec un recruteur extérieur utilisé par Darktrace.
(Darktrace a passé une grande partie de la semaine dernière à essayer de prouver qu'un autre type de modèle n'indiquait rien de louche: le cours de l'action de la société a chuté de façon spectaculaire après que le vendeur à découvert Quintessential Capital Management a publié un rapport affirmant qu'il avait trouvé des preuves que la société de cybersécurité aurait pu se livrer à des pratiques comptables douteuses pour tenter de gonfler ses revenus et sa rentabilité avant son introduction en bourse en 2021. Darktrace a nié les accusations contenues dans le rapport, affirmant que le fonds spéculatif ne l'avait jamais contacté avant de publier son rapport et qu'il avait "pleine confiance » dans ses pratiques comptables et « l'intégrité de nos états financiers audités de manière indépendante ».)