Depuis décembre dernier, les équipes de Check Point Research (CPR) expriment leurs inquiétudes face au phénomène ChatGPT. Aujourd’hui, CPR met en garde contre la hausse du trafic de comptes ChatGPT Premium volés. Ces comptes permettent aux cybercriminels de contourner les restrictions d’OpenAI, en matière de géofencing, et d’obtenir un accès illimité à ChatGPT.
Tribune Check Point Research (CPR) – Le marché de la récupération de comptes (ATO), c’est-à-dire des comptes volés à différents services en ligne, est l’un des marchés les plus florissants de l’underground du piratage informatique et du dark web. Historiquement, ce marché se concentrait sur les comptes volés de services financiers (banques, systèmes de paiement en ligne, etc.), de réseaux sociaux, de sites de rencontres en ligne, d’e-mails, etc.
Depuis mars 2023, CPR constate une augmentation des discussions et des activités commerciales sur les comptes volés.
Comptes ChatGPT, et plus particulièrement les comptes Premium :
- Divulgation et publication gratuite d’identifiants de comptes ChatGPT
- Vente de comptes ChatGPT Premium qui ont été volés
- Outils Bruteforcing et Checkers pour ChatGPT (outils qui permettent aux cybercriminels de pirater des comptes ChatGPT en lançant d’énormes listes d’adresses e-mail et de mots de passe, pour essayer de deviner la bonne combinaison afin d’accéder aux comptes existants).
- ChatGPT Accounts as a Service : service spécialisé qui propose l’ouverture de comptes ChatGPT Premium, très probablement à l’aide de cartes de paiement volées.
Pourquoi le marché des comptes ChatGPT volés connaît-il une hausse et que faut-il craindre ?
ChatGPT impose des restrictions de géofencing pour accéder à sa plateforme depuis certains pays (dont la Russie, la Chine et l’Iran). L’utilisation de l’API de ChatGPT permet aux cybercriminels de contourner différentes restrictions, ainsi que l’utilisation du compte Premium de ChatGPT.
Tous ces éléments conduisent à une intensification de la demande de comptes ChatGPT volés, et en particulier de comptes premium payants. Dans le dark web, là où la demande existe, on trouve des cybercriminels prêts à profiter de l’opportunité commerciale.
Entre-temps, au cours des dernières semaines, des discussions ont eu lieu sur les problèmes de confidentialité de ChatGPT, puisque l’Italie a interdit ChatGPT et que l’Allemagne envisage de l’interdire également. Soulignons également un autre risque potentiel de cette plateforme concernant la protection de la vie privée. Les comptes ChatGPT stockent les demandes récentes de leur propriétaire. Ainsi, lorsque des cybercriminels volent des comptes existants, ils ont accès aux requêtes du propriétaire original du compte. Ces demandes peuvent contenir des informations personnelles, des détails sur les produits et les processus de l’entreprise, etc.
Vente de comptes volés de ChatGPT
Les cybercriminels profitent souvent du fait que les utilisateurs se servent du même mot de passe sur plusieurs plateformes. Grâce à ces informations, les acteurs malveillants chargent des ensembles de combinaisons d’e-mails et de mots de passe dans un logiciel dédié (également connu sous le nom de vérificateur de compte) et exécutent une attaque contre une plateforme en ligne spécifique afin d’identifier les ensembles des identifiants qui correspondent à l’ouverture de session sur la plateforme.
Le compte est définitivement piraté lorsqu’un acteur malveillant en prend le contrôle sans l’autorisation du titulaire.
Ce mois-ci, CPR a constaté que les forums clandestins, consacrés à la fuite ou à la vente de comptes ChatGPT Premium compromis, étaient de plus en plus fréquentés :
Image 1 – Discussions sur les forums clandestins sur les comptes ChatGPT volés
La plupart de ces comptes volés sont vendus, mais certains acteurs partagent également des comptes ChatGPT Premium volés gratuitement, pour promouvoir leurs propres services ou outils de vol de comptes. Dans l’exemple suivant, un cybercriminel a partagé quatre comptes ChatGPT Premium volés. La façon dont ces comptes ont été partagés et leur structure ont amené CPR à conclure que ces comptes avaient été volés avec un vérificateur de comptes ChatGPT.
Image 2 – Cybercriminel partageant gratuitement quatre comptes ChatGPT premium
Outils pour pirater les comptes ChatGPT : vérificateur de compte et fichiers de configuration pour les outils de Bruteforcing
SilverBullet est une suite de tests web qui permet aux utilisateurs de lancer des requêtes auprès d’une application web cible. Il propose de nombreux outils pour analyser les résultats. Ce logiciel peut être utilisé pour récupérer et analyser des données, effectuer des tests automatisés, des tests unitaires par le biais de Selenium etc. Cet outil est également fréquemment utilisé par les cybercriminels pour mener des attaques de credential stuffing et de vérification de compte contre différents sites web, et ainsi voler des comptes pour des plateformes en ligne.
SilverBullet étant une suite configurable, pour réaliser une vérification ou une attaque par force brute contre un certain site web, il faut un fichier de « configuration » qui ajuste ce processus pour un site web spécifique et permet aux cybercriminels de voler le compte de ce site web de manière automatisée.
Dans ce cas précis, CPR a identifié des cybercriminels qui proposaient un fichier de configuration pour SilverBullet lequel permettait de vérifier un ensemble d’identifiants pour la plateforme OpenAI de manière automatisée. Ils sont ainsi en mesure de voler des comptes à grande échelle. Le processus est entièrement automatisé et peut lancer entre 50 et 200 vérifications par minute (CPM). Il prend également en charge la configuration d’un proxy, ce qui lui permet dans de nombreux cas de contourner les différentes mesures de sécurité mises en place sur les sites web pour lutter contre ce type d’attaques.
Image 3 – Cybercriminel proposant un fichier de configuration openAI pour SilverBullet
Un autre cybercriminel, qui se concentre uniquement sur les abus et les fraudes à l’encontre des produits ChatGPT, s’est même autobaptisé « gpt4 ». Dans ses fils de discussion, il met en vente des comptes ChatGPT, ainsi qu’une configuration pour un autre outil automatisé qui vérifie la validité d’un justificatif d’identité.
Image 4 – Le cybercriminel surnommé « gpt4 » propose différents services liés aux abus sur la plateforme.
Service de mise à jour à vie de ChatGPT Plus
Le 20 mars, un cybercriminel anglophone a commencé à faire de la publicité pour un service de compte à vie ChatGPT Plus, avec une satisfaction garantie à 100 %.
L’upgrade à vie d’un compte ChatGPT Plus normal (ouvert via l’e-mail fourni par l’acheteur) coûte 59,99 dollars (alors que le prix légitime original d’OpenAI pour ce service est de 20 dollars par mois). Pour réduire les coûts, ce service clandestin offre également la possibilité de partager l’accès au compte ChatGPT avec un autre cybercriminel pour 24,99 dollars, pour toute la durée de vie du compte.
Un certain nombre d’utilisateurs clandestins ont déjà laissé des commentaires positifs sur ce service et le recommandent.
Comme dans d’autres cas de piratage, lorsque l’acteur de la menace fournit certains services à un prix nettement inférieur au prix original, les experts de Check Point supposent que le paiement de la mise à niveau est effectué par cartes bancaires déjà piratées.
Image 5 – Service de comptes à vie Underground ChatGPT Plus