Les chatbots gagnent du terrain : l'IA est désormais à la hauteur de l'ignorance naturelle

Le chatbot basé sur l'intelligence artificielle ChatGPT fait les gros titres dans le monde entier - et outre les annonces dans l'environnement de la bourse et des droits d'auteur, la sécurité informatique est également au centre des discussions. En effet, la disponibilité plus large de l'outil, réalisée depuis peu, entraîne, malgré tous les efforts de sécurité du fabricant, de nouveaux défis lorsqu'il s'agit d'appâts d'hameçonnage ou de schémas d'escroquerie orientés vers le dialogue, comme les romance scams via les réseaux sociaux ou les attaques de compromission à but commercial par e-mail.

Les chatbots, auxiliaires des cybercriminels

"L'un des principaux risques est que les pirates utilisent ces plates-formes pour améliorer considérablement la qualité de leurs appâts de phishing. Les attaques de phishing deviennent ainsi de plus en plus difficiles à identifier, même pour les utilisateurs les plus attentifs", explique Chet Wisniewski, expert en cybersécurité chez Sophos. "En fin de compte, les chatbots à IA de plus en plus performants fournissent une mise à niveau gratuite pour tous les types d'attaques d'ingénierie sociale. Des programmes comme ChatGPT peuvent être utilisés pour mener des conversations interactives très réalistes à visée criminelle via la messagerie électronique ou pour lancer des attaques par chat via Facebook Messenger, WhatsApp ou d'autres applications de chat. Aujourd'hui, le plus grand danger concerne le groupe cible anglophone. Mais ce n'est probablement qu'une question de temps avant que de nouvelles versions soient disponibles pour créer des textes crédibles dans toutes les langues fréquemment parlées dans le monde. Nous avons atteint un stade où les gens sont de plus en plus souvent incapables de distinguer la prose générée par une machine de celle écrite par des humains - en particulier lorsque nous ne connaissons pas bien notre interlocuteur".

Escroqueries - "optimisées" par les chatbots

Die Zeiten, in denen sich Unternehmen darauf verlassen konnten, dass die Mitarbeiter eine aktive Rolle bei der Verteidigung gegen Cyberattacken spielen, in dem sie auf Grammatik- und Rechtschreibfehler oder seltsame Formulierungen achten, sind vorbei. Eines der letzten effizienten Elemente von Schulungsprogrammen wird durch Chatbots wie ChatGPT ausgehebelt – und das sehr effektiv, wie die folgenden zwei Beispiele verdeutlichen. Der originale Ködertext eines BEC-Betrügers (Business E-Mail Compromise), der versucht, den Gehaltsscheck einer anderen Person auf das Konto des Angreifers umzuleiten, ist relativ einfach als „nicht echt“ zu erkennen. Im Vergleich dazu steht im Anschluss eine Variante, die durch die Eingabe der entsprechenden thematischen Eckpunkte von ChatGPT geschrieben wurde. E-mail frauduleux standard : Salut ...., J'ai changé de banques car mon ancien compte n'est plus bon pour accepter les paiements dd et j'aimerais changer les détails de mon dépôt direct paycheck, le changement peut-il être effectif pour la date de paiement actuelle ? Thanks, ....   Texte écrit par ChatGPT : Cher HR,  Je vous écris pour vous demander de mettre à jour mes informations de dépôt direct dans le système de paie de l'entreprise. Les informations de mon compte bancaire actuel ne sont plus valables et je vais changer de banque.  Could you let me know what information you need in order to update my direct deposit information ? Je me ferai un plaisir de vous fournir tous les détails nécessaires.  Je souhaiterais également demander que cette mise à jour soit effectuée en temps voulu pour la prochaine période de paie. Y a-t-il autre chose que je doive faire pour assurer une transition en douceur ?  Merci pour votre attention à ce sujet. J'apprécie votre aide pour garantir que mes chèques de paie sont déposés sur le bon compte. Sincèrement, [Votre nom]   Et l'exemple suivant d'une escroquerie à la carte cadeau montre rapidement à quel point les chatbots IA sont désormais performants. E-mail frauduleux standard : S'il vous plaît, j'ai besoin de vous pour acheter des cartes-cadeaux. Nous avons quelques clients auxquels je souhaite envoyer des cadeaux. Comment pouvez-vous les organiser rapidement ? Car j'ai besoin de les envoyer en moins d'une heure. Puis-je donc vous indiquer le produit dont nous avons besoin et la quantité ? Merci. Texte écrit par ChatGPT : Hey [Employé] J'espère que vous vous en sortez bien. Je m'adresse à vous parce que j'ai besoin de votre aide pour quelque chose de vraiment important. J'ai un client qui a besoin d'une carte cadeau ASAP, et je n'ai pas le temps de me la procurer moi-même. Pourriez-vous prendre une carte cadeau de [magasin ou site web de cartes e-gift] pour [montant] et me l'envoyer par email dès que possible ? Je sais que cela peut être un peu gênant, mais j'apprécie vraiment votre aide pour que cela soit pris en charge rapidement. Si tu as des questions ou si tu as besoin de plus d'informations, n'hésite pas à me le faire savoir. Thanks a ton for your help. Prenez soin de vous, [Votre nom] Wisniewski parle de son "travail créatif" avec le chatbot : "Les deux exemples sonnent comme le courriel d'une personne réelle, ils ont une bonne ponctuation, une bonne orthographe et une bonne grammaire. Sont-ils parfaits ? Non. Sont-ils assez bons ? Dans tous les cas ! Comme les escrocs gagnent déjà des millions avec leurs appâts mal fabriqués, il est facile d'imaginer la nouvelle dimension de cette communication poussée par l'IA. Imaginez que vous discutiez avec ce bot via WhatsApp ou Microsoft Teams. Auriez-vous reconnu la machine ?"

"Le clou dans le cercueil de la conscience de la sécurité de l'utilisateur final".

Fakt ist, dass nahezu alle Anwendungsarten im Bereich KI bereits an einem Punkt angelangt sind, an dem sie einen Menschen in fast 100% der Fälle täuschen können. Die Qualität des „Gesprächs“, das mit ChatGPT geführt werden kann, ist bemerkenswert, und die Fähigkeit, gefälschte menschliche Gesichter zu erzeugen, die (für Menschen) von echten Fotos fast nicht zu unterscheiden sind, ist beispielsweise ebenfalls bereits Realität. Das kriminelle Potential solchen Technologien ist immens, wie ein Beispiel deutlich macht: Kriminelle, die einen Betrug über eine Scheinfirma abwickeln wollen, generieren sich einfach 25 Gesichter und verwenden ChatGPT, um deren Biografien zu schreiben. Dazu noch ein paar gefälschte LinkedIn-Konten und es kann losgehen. Im Umkehrschluss muss sich auch die „gute Seite“ der Technologie zuwenden, um Paroli bieten zu können. „Wir alle müssen unsere Iron-Man-Anzüge anziehen, wenn wir den immer gefährlicher werdenden Gewässern des Internets trotzen wollen“, so Wisniewski. „Es sieht zunehmend so aus, als würden wir Maschinen brauchen, um zu erkennen, wenn andere Maschinen versuchen, uns zu täuschen. Ein interessanter Proof of Concept wurde von Hugging Face entwickelt, das Texte erkennen kann, die mit GPT-2 generiert wurden – was darauf hindeutet, dass ähnliche Techniken verwendet werden könnten, um GPT-3-Ausgaben zu erkennen.“ „Traurig aber wahr: KI hat den letzten Nagel in den Sarg des Endbenutzer-Sicherheitsbewusstseins geschlagen. Will ich damit sagen, dass wir ganz damit aufhören sollten? Nein, aber wir müssen unsere Erwartungen zurückschrauben. Es schadet auf keinen Fall, die bislang und oftmals immer noch geltenden Best Practices in Sachen IT-Sicherheit zu befolgen. Wir müssen die Benutzer dazu animieren, noch misstrauischer als bislang zu sein und vor allem auch fehlerfreie Mitteilungen gewissenhaft zu überprüfen, die den Zugang zu persönlichen Informationen oder monetäre Elemente enthalten. Es geht darum, Fragen zu stellen, um Hilfe zu bitten und sich die wenigen Momente zusätzlicher Zeit zu nehmen, die notwendig sind, um zu bestätigen, dass die Dinge wirklich so sind, wie sie scheinen. Das ist keine Paranoia, sondern der Wille, sich von den Gaunern nicht übers Ohr hauen zu lassen.“ Source : Sophos

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/chatbots-auf-dem-vormarsch-ki-ist-jetzt-der-natuerlichen-ignoranz-gewachsen/