ChatGPT a changé le monde. Pas toujours pour le meilleur… Selon le dernier rapport de SlashNext, le nombre d’emails malveillants et de phishing a augmenté de 1265% depuis l’arrivée de ChatGPT…
1265% ! C’est l’augmentation en un an du nombre d’emails malveillants détectés par SlashNext depuis l’arrivée de l’IA générative et notamment de ChatGPT. On savait ces IA capables d’aider aussi bien les collaborateurs des entreprises que les cybercriminels avec leur capacité à générer des textes crédibles et sans fautes dans une multitude de langues. Mais on manquait encore de métriques sur le sujet.
Des métriques, le dernier rapport « The State of Phishing Report 2023 » de SlashNext en fournit quelques-unes… Et elles ont de quoi inquiéter. Plus personne ne peut douter de l’usage intensif des IA génératives par les cyberattaquants.
L’étude montre également que parmi tous ces emails de phishing détectés, 68% sont exclusivement basés sur du texte. Autre chiffre et autre augmentation explosive, les emails de phishing visant à dérober des identifiants ont augmenté de 967%.
« Pour les cybercriminels, les IA génératives comme ChatGPT ont significativement réduit les obstacles à la création d’attaques sophistiquées de type BEC (Business Email Compromission). Elles leur ont aussi permis d’améliorer leurs logiciels malveillants » expliquent les experts de SlashNext.
Une nouvelle génération d’outils malveillants dopés à l’IA
L’étude revient également sur la découverte cette année de nouveaux outils d’IA générative spécialement créés par les cyberattaquants. C’est notamment le cas de WormGPT (basé sur le modèle LLM GPTJ) découvert par SlashNext, mais aussi de FraudGPT, DarkBARD et DarKBERT… Toutes ces IA conversationnelles sont spécialement créées pour produire des textes de phishing capables de contourner la plupart des filtres antiphishing mais aussi dans certains cas de produire du code de malwares.
Certains outils exploitent directement ChatGPT et son potentiel créatif via des techniques de « jailbreak » de son API.
Pour Patrick Harr, PDG de SlashNext, il ne s’agit pas de tomber dans le sensationnalisme mais « nous ne pouvons ignorer de telles statistiques. Bien qu’il y ait eu bien des débats sur la véritable influence de l’IA générative sur l’activité cybercriminelle, nos recherches montrent que les acteurs malveillants utilisent des outils comme ChatGPT pour rédiger des messages BEC et de phishing sophistiqués et ciblés. L’augmentation de plus de 1 000 % de ces menaces coïncide avec le lancement de ChatGPT. Notre but n’est pas d’exagérer les menaces liées à l’IA générative, mais d’aider nos clients et la communauté de la cybersécurité à comprendre les véritables dangers et à réagir de manière appropriée. »
puis