Avertissement aux utilisateurs de « ChatGPT » : faux appels via « OpenAI »

SadaNews - Les experts en cybersécurité ont averti les utilisateurs de « ChatGPT » et d'autres plateformes d'« OpenAI » d'un nouveau mode opératoire frauduleux qui exploite la fonctionnalité d'envoi d'invitations sur la plateforme, rendant ainsi les messages frauduleux semblant émaner officiellement d'« OpenAI ».

Selon une enquête récente menée par la société « Kaspersky », ses chercheurs ont découvert que des attaquants ont commencé à abuser des fonctionnalités de création de « structures » et d'invitation des membres de l'équipe sur la plateforme « OpenAI » pour envoyer des messages frauduleux depuis de véritables adresses électroniques appartenant à la société elle-même. Cela confère aux messages une crédibilité technique élevée, augmentant les chances de les faire passer à travers les filtres de spam et de gagner la confiance des destinataires.

Ce mode opératoire ne s'appuie pas sur le piratage des systèmes d'« OpenAI », mais sur la manipulation de caractéristiques légitimes conçues à l'origine pour faciliter la collaboration et le travail en équipe, puis sur leur transformation en un outil d'ingénierie sociale.

Comment fonctionne l'escroquerie ?

Le processus commence par la création d'un compte ordinaire sur la plateforme « OpenAI ». Lors de l'inscription, l'utilisateur est invité à créer une « structure » et à lui donner un nom. Ce champ est généralement réservé au nom d'une entreprise ou d'une équipe, mais il permet l'entrée de symboles et de textes variés.

Les fraudeurs exploitent cette flexibilité pour insérer des phrases trompeuses directement dans le nom de la structure, comme des messages d'avertissement ou des offres mensongères, et parfois des numéros de téléphone ou des liens suspects. Après avoir créé la structure, la plateforme propose l'étape « Invitez votre équipe », où les attaquants saisissent les adresses électroniques de leurs victimes ciblées.

Lors de l'envoi des invitations, les messages proviennent d'adresses officielles liées à « OpenAI », et apparaissent au destinataire comme un avis authentique pour l'ajouter à un projet ou à un groupe de travail. L'e-mail contient le format habituel des invitations à collaborer, mais le texte frauduleux inséré par l'attaquant ressort de manière proéminente dans le message. Les fraudeurs comptent sur le fait qu'un grand nombre d'utilisateurs se concentrent sur l'adresse fiable et le message trompeur, sans prêter attention à l'illogisme du contenu ou à la raison pour laquelle ils reçoivent une invitation pour une structure inconnue.

Types de messages frauduleux

« Kaspersky » a identifié plusieurs types de messages transmis de cette manière. Certains font la promotion de services ou d'offres frauduleuses, tandis que d'autres prennent un caractère plus dangereux. Une des méthodes courantes consiste à envoyer de fausses notifications concernant le renouvellement d'un abonnement coûteux. Le message demande à la victime d'appeler un numéro de téléphone fourni « pour annuler l'opération ». Ce type d'attaque est connu sous le nom de « phishing vocal » (Vishing), où les fraudeurs tentent, lors de l'appel, de convaincre la victime de révéler des informations personnelles ou financières, ou de prendre des mesures menant à un piratage supplémentaire. Dans tous les cas, l'objectif reste de pousser le destinataire à agir rapidement, que ce soit en cliquant sur un lien ou en passant un appel avant de vérifier la validité du message.

Pourquoi les messages semblent-ils convaincants ?

Le danger de cette méthode réside dans le fait que les messages ne sont pas falsifiés de manière traditionnelle. Ils sont envoyés par des canaux officiels et proviennent d'une infrastructure de messagerie réelle appartenant à la plateforme. Par conséquent, beaucoup de signaux d'alerte habituels disparaissent, comme les adresses de l'expéditeur suspectes. Bien que le contenu du message soit souvent incohérent avec le format « invitation à collaborer », cette incohérence peut ne pas être évidente pour tout le monde, surtout pour ceux qui ne s'attendent pas à ce qu'une plateforme fiable soit exploitée de cette manière. Les experts en sécurité estiment que ce cas met en lumière un problème plus vaste. Même les services de bonne réputation peuvent devenir des outils entre les mains de fraudeurs s'ils abusent de leurs fonctionnalités.

Que faut-il faire ?

Pour les utilisateurs de « ChatGPT » et des plateformes « OpenAI » en général, cette campagne est un rappel de l'importance de la prudence, même lorsqu'ils reçoivent des messages qui semblent officiels. Les experts conseillent de traiter toute invitation inattendue avec suspicion, surtout si elle inclut un langage d'urgence ou des exigences financières ou des numéros de téléphone. Il est également préférable d'éviter de cliquer sur les liens inclus ou d'appeler les numéros mentionnés dans des messages suspects. Si un contact avec le support est réellement nécessaire, il est préférable de visiter le site officiel du service et de chercher les coordonnées là-bas.

De plus, signaler les messages suspects à la plateforme contribue à limiter leur propagation, tandis que l'activation de l'authentification à deux facteurs reste une étape importante pour renforcer la sécurité, même si ce type de fraude ne repose pas sur le piratage direct des comptes. Bien que cette campagne cible les particuliers, elle soulève également des questions plus larges pour les entreprises qui gèrent des plateformes collaboratives. Les outils conçus pour faciliter l'adhésion et le travail en équipe pourraient devenir des points faibles s'ils ne sont pas suffisamment restreints ou surveillés.