FraudGPT est le jumeau maléfique de ChatGPT. Et sur le Dark Web, les cybercriminels en paient déjà les frais
L’IA révolutionne également le monde de la cybercriminalité. Pour créer de nouveaux malwares, tromper les utilisateurs, générer des campagnes de désinformation ou créer de faux appels vidéo. Tout en un clic. Mais pas depuis ChatGPT, où OpenAI établit des limites et empêche la réalisation de certaines actions, mais via FraudGPT et WormGPT, deux modèles d’IA disponibles sur le DarkWeb et créés pour satisfaire les besoins des cybercriminels.
Les méchants jumeaux de ChatGPT. Comme le décrivent les chercheurs dans un rapport publié dans IJSR CSEIT, FraudGPT représente un tournant dans les cyberattaques malveillantes. Il s’agit d’un outil d’IA générative par abonnement qui vous permet de créer des e-mails de phishing très convaincants ou de fausses pages Web. FraudGPT a été découvert par la plateforme Netenrich en juillet 2023, via les canaux DarkWeb et Telegram.
WormGPT est une autre IA similaire, qui vous permet de créer facilement des e-mails de phishing. L’origine de ce LLM est basée sur GPT-J, un modèle ouvert créé par EleutherAI en 2021 et avec un nombre de paramètres équivalents à GPT-3.
A partir de 200 dollars par mois. FraudGPT n’est pas gratuit. Comme la version OpenAI, elle a un coût mensuel. Les cybercriminels paient environ 200 dollars par mois ou 1 700 dollars par an. L’ancienne version de WormGPT est un peu moins chère, disponible à partir d’environ 60 euros par mois et jusqu’à 550 euros par an, comme décrit par Trustwave. Dans le cas de WormGPT, une version v2 plus mise à jour est proposée et peut être personnalisée pour 5 000 euros.
Demander des scripts malveillants adoucis dans ChatGPT. FraudGPT est décrit comme une IA permettant d’écrire du code malveillant, de créer des logiciels malveillants indétectables, de créer des pages de phishing, des outils de piratage ou d’écrire des e-mails frauduleux.
Les chercheurs de Trustwave ont testé l’outil et l’ont comparé à ChatGPT, obtenant des résultats très différents. Bien que ChatGPT propose le code et l’e-mail de phishing (après plusieurs tentatives et un peu d’ingénierie avec l’invite), il le fait avec un message d’avertissement et l’e-mail de phishing n’est pas aussi convaincant.
Les cyberattaquants ne font plus de fautes d’orthographe. « Il est révolu le temps où il était conseillé aux utilisateurs de rechercher les erreurs grammaticales, contextuelles et syntaxiques évidentes pour détecter les e-mails malveillants », explique Fernando Anaya, de la société de sécurité Proofpoint à El País.
Des outils comme FraudGPT permettent aux cybercriminels de créer des e-mails malveillants dans n’importe quelle langue, avec un langage pratiquement parfait.
Un terrain à exploiter. L’IA ouvre de nouvelles possibilités aux cybercriminels et les entreprises de cybersécurité en sont bien conscientes. Comme le décrit Zac Amos de ReHack : « FraudGPT est un rappel important de la façon dont les cybercriminels continueront à modifier leurs techniques pour obtenir un impact maximal. »