La campagne de phishing, qui cible les utilisateurs au Danemark, en Allemagne, en Australie, en Irlande et aux Pays-Bas, commence par un e-mail frauduleux contenant un lien vers « ChatGPT ».
Le lien mène à une version imitée du chatbot, attirant les utilisateurs avec des opportunités financières qui paient jusqu’à 10 000 € par mois « sur la plate-forme unique ChatGPT » – allant au-delà des fausses applications qui sont récemment apparues sur Google et Apple app stores, offrant aux utilisateurs mensuellement ou des abonnements hebdomadaires.
Les escrocs recommandaient alors un investissement minimum de 250 €, demandant les coordonnées de la carte bancaire ainsi qu’une adresse e-mail, un numéro de téléphone et des identifiants.
La fausse version de ChatGPT, qui contrairement au logiciel légitime ne permettait qu’une sélection de réponses prédéterminées à chaque requête, était accessible via un domaine déjà blacklisté https://timegaea[.]com.
>Voir aussi : ChatGPT vs GDPR – ce que les chatbots AI signifient pour la confidentialité des données
Comment fonctionne l’arnaque
Une fois accessible, le chatbot contrefait a commencé par une courte introduction sur son rôle dans l’analyse des marchés financiers, prétendant permettre à quiconque de devenir un investisseur prospère dans les actions mondiales, avant de demander aux utilisateurs la permission de calculer leur revenu quotidien moyen.
Selon les chercheurs de Bitdefender qui ont suivi le programme, le logiciel a ensuite posé des questions sur les sources de revenus passives, combien d’heures par jour sont passées à travailler et si l’utilisateur est satisfait de son revenu actuel.
Ensuite, il a demandé une adresse e-mail « pour une vérification instantanée » et un numéro de téléphone pour créer un compte WhatsApp dédié audit investissement, après quoi les chercheurs ont reçu un appel d’un « représentant » qui a parlé d’investir dans « la crypto, le pétrole , and international stock » en roumain (Bitdefender a son siège à Bucarest).
Après avoir demandé des détails supplémentaires tels que les revenus des membres de la famille, le gestionnaire d’appels a ensuite fait allusion à une somme d’investissement de départ minimum de 250 €, avant de demander les six derniers chiffres d’une carte d’identité valide, à laquelle les chercheurs ont demandé à la place un lien vers le portail d’investissement envoyé par e-mail.
Cela a conduit à un formulaire contenant des champs pour un tableau de données personnelles, pour lequel les chercheurs ont inséré un numéro de carte de crédit inventé, après quoi le paiement n’a jamais semblé passer.
La personne à l’autre bout du fil a également affirmé représenter la société basée à Londres Import Capital, dont le domaine est apparu comme une alerte de la Financial Conduct Authority (FCA) indiquant que la société n’est pas autorisée à exercer des activités au Royaume-Uni. .
Cependant, le formulaire de paiement fourni ne fait aucune mention d’Import Capital, de ChatGPT ou de toute entité réceptrice.
Comment éviter l’exploitation
Les chercheurs impliqués dans l’enquête ont appelé le public à être en alerte, car la campagne semble se développer à l’échelle mondiale.
Pour éviter d’être victime de stratagèmes de phishing, un porte-parole de Bitdefender conseille : « Les escrocs utilisant de nouveaux outils ou tendances Internet viraux pour escroquer les utilisateurs n’ont rien de nouveau. Si vous cherchez à tester le ChatGPT officiel et ses capacités de génération de texte alimentées par l’IA, faites-le uniquement en utilisant le site officiel.
« Ne suivez pas les liens que vous recevez via une correspondance non sollicitée et méfiez-vous particulièrement des stratagèmes d’investissement fournis au nom de l’entreprise, ils sont une arnaque. »
En rapport:
Comment reconnaître les attaques de phishing courantes — Les attaques de phishing sont principalement envoyées par e-mail et exploitent la confiance et la générosité des gens. Comment savoir si vous êtes victime d’une arnaque ?
Confidentialité des données : pourquoi le consentement n’est pas synonyme de conformité — Les marques et les éditeurs s’exposent involontairement à des amendes de plusieurs milliards de dollars pour violation de la confidentialité des données.