Dans cette arnaque, l'IA est responsable de la romance et aussi de la falsification de licences d'avocat

La plupart des activités dans ces zones de fraude sont réalisées avec un seul compte ChatGPT.

Auteur : Curry, Deep潮 TechFlow

OpenAI a publié récemment un rapport indiquant que certains utilisent ChatGPT pour commettre des actes malveillants, et ils ont été arrêtés.

Le rapport est long, listant de nombreux cas d’abus de l’IA. Certains utilisent la désinformation en Russie, d’autres sont soupçonnés d’espionnage via ingénierie sociale, mais aujourd’hui je veux parler d’un cas précis :

La “pousse à la viande” au Cambodge.

Ce type d’arnaque n’est pas nouveau, on a beaucoup entendu parler des zones de fraude au Cambodge. Ce qui est surprenant, c’est le rôle joué par l’IA.

Dans ce groupe de fraude, ChatGPT s’occupe de séduire, de traduire les instructions des superviseurs, d’écrire quotidiennement des rapports de travail, et d’estimer la valeur de chaque victime.

Dans cette arnaque, le terme interne est “kill value”, c’est-à-dire la somme estimée que l’on peut tirer de vous.

Tout au long de la chaîne, ChatGPT est probablement l’employé le plus occupé.

OpenAI a donné un nom de code à cette opération : Operation Date Bait (Piège à rendez-vous).

Voici comment cela fonctionne.

Le groupe de fraude crée d’abord un faux service de rencontres haut de gamme, appelé Klub Romantis, avec un logo généré par ChatGPT. Ensuite, ils achètent des publicités payantes sur les réseaux sociaux, ciblant des mots-clés comme golf, yacht, restaurants haut de gamme, visant spécifiquement les jeunes hommes indonésiens.

En cliquant sur la publicité, vous discutez d’abord avec un chatbot IA. Le robot, en se faisant passer pour une réceptionniste sexy, vous demande quel type de fille vous préférez, puis vous donne un lien Telegram avec un code d’invitation personnalisé.

Une fois sur Telegram, une personne réelle prend le relais.

L’agent continue d’utiliser ChatGPT pour générer des messages ambigus, de plus en plus osés, puis vous dirige vers deux faux sites de rencontres, LoveCode et SexAction.

Ces plateformes contiennent de faux profils de filles, ainsi qu’une barre de messages défilants annonçant “Félicitations à tel ou tel pour avoir accompli une tâche, déverrouillage du bonus”. Tout cela est inventé. Les internautes expérimentés peuvent rapidement s’en rendre compte, mais tous les cibles ne sont pas aussi vigilantes.

Une fois la conversation bien engagée, l’agent vous transfère à un “mentor”. Ce dernier vous donne des “missions” qui nécessitent de payer, avec des montants croissants : achat de cartes VIP, votes pour la “fille préférée”, dépôt pour réserver un hôtel, etc.

La dernière étape, appelée en interne “kill”, consiste à vous faire faire une fausse raison, comme une erreur de traitement de données ou une vérification de dépôt, pour vous faire transférer une grosse somme d’argent en une seule fois. OpenAI a inclus dans le rapport une lettre envoyée par le groupe de fraude à la victime, demandant un paiement de 20,5 millions de roupies indonésiennes, soit environ 12 000 dollars, avec la promesse de reverser 35 % de bonus après paiement.

Une fois l’argent reçu, les escrocs sur Telegram vous bloquent et marquent votre dossier comme clôturé.

À ce stade, vous pourriez penser que ce n’est pas très grave.

Les techniques d’escroquerie ne sont pas nouvelles, et cette arnaque au “pousse à la viande” a été décortiquée plusieurs fois ces dernières années. Ce qui est vraiment frappant, c’est la gestion en arrière-plan.

Les enquêteurs d’OpenAI ont analysé les logs d’utilisation de ces comptes ChatGPT pour reconstituer une architecture complète de l’entreprise :

Le centre de fraude est divisé en trois départements : acquisition, accueil, supervision. L’équipe d’acquisition lance des publicités pour attirer des victimes, l’équipe d’accueil construit la confiance via chat, et l’équipe de supervision finalise la récolte.

Ils ont un rapport quotidien. Ce rapport liste chaque victime en cours de traitement, indique le responsable, la progression, et ce chiffre :

kill value.

C’est la somme estimée que le superviseur pense pouvoir extraire de cette personne.

Ils utilisent aussi ChatGPT pour analyser les comptes financiers, générer des rapports de travail, voire demander comment accéder à l’API ou modifier le code des sites de rencontres. Lorsqu’un superviseur parle chinois et un employé indonésien, ChatGPT sert de traducteur.

Ce qui est amusant, c’est qu’un employé a demandé à ChatGPT comment gérer la fiscalité après avoir reçu des revenus, et a honnêtement indiqué “scammer” (escroc) dans la case profession.

Le rapport d’OpenAI est très réservé, indiquant qu’en se basant sur leurs enregistrements, le groupe pourrait gérer plusieurs centaines de cibles simultanément, générant plusieurs milliers de dollars par jour. Mais ils précisent aussi qu’ils ne peuvent pas vérifier indépendamment si ces chiffres sont exacts.

Personnellement, je pense que ce n’est pas si important de vérifier la véracité des chiffres, car cette organisation de gestion est déjà révélatrice :

Acquisition, conversion, prix par client, rapports quotidiens, division des départements — en changeant quelques termes, on dirait le manuel d’exploitation d’une SaaS.

Et séduire, traduire, rédiger des rapports, modifier du code, faire des comptes… la majorité des tâches dans cette zone de fraude sont accomplies par un seul compte ChatGPT.

L’histoire ne s’arrête pas là.

Dans le même rapport, OpenAI détaille une seconde opération, nommée Operation False Witness (Fraude secondaire sur la victime), également en provenance du Cambodge.

Ce réseau ne cible pas des personnes ordinaires, mais celles qui ont déjà été victimes.

Le principe est simple : si vous avez été victime d’une arnaque au “pousse à la viande” et souhaitez récupérer votre argent, vous cherchez en ligne comment faire.

Vous tombez sur une publicité pour un cabinet d’avocats prétendant aider les victimes à récupérer leurs pertes. Vous cliquez.

Le site semble crédible. Les photos d’avocats sont soit volées sur les réseaux sociaux, soit générées par IA. Chaque cabinet a une adresse, une licence, une présentation. ChatGPT a généré une carte de membre du Barreau de New York, ainsi qu’un faux registre d’inscription.

OpenAI a identifié au moins six faux cabinets.

Il y a aussi un site qui imite directement le centre de plainte contre la cybercriminalité du FBI. Un bouton “Soumettre une plainte” vous redirige vers un compte Telegram.

Sur Telegram, le “avocat” commence à discuter avec vous. Le discours est généré par ChatGPT, en anglais américain, avec un ton professionnel. Il vous dit qu’ils collaborent avec la Cour pénale internationale, et que la récupération des fonds n’est pas facturée à l’avance.

Mais il faut payer 15 % de frais de service pour activer le compte, en crypto-monnaie.

Ils vous font aussi signer un accord de confidentialité, également rédigé par ChatGPT, pour vous empêcher de vérifier ailleurs.

L’FBI a publié un avertissement public, précisant que cette escroquerie cible principalement les personnes âgées, exploitant leur désir urgent de récupérer leur argent.

Après avoir vu ces deux cas, je pense que dans l’environnement actuel où l’IA est devenue la norme, la chose la plus ironique est la suivante :

La première fois, vous êtes une cible. La deuxième fois, vous êtes une cible encore meilleure, car vous avez déjà prouvé que vous pouvez tomber dans le panneau.

Enfin, dans le rapport, OpenAI résume le processus d’escroquerie en trois étapes.

La première étape s’appelle ping, un contact à froid pour attirer l’attention. La deuxième, zing, consiste à susciter une émotion — excitation, peur ou intérêt. La troisième, sting, consiste à récolter l’argent.

Ce cadre est très bien résumé. En y regardant de près, quelle étape l’IA ne pourrait-elle pas faire ?

Autrefois, le coût principal des arnaques au “pousse à la viande” était la main-d’œuvre. Il fallait embaucher toute une équipe pour discuter en face à face, parlant la langue de la cible. Au Cambodge, ils recrutent encore des personnes parlant anglais, avec des salaires élevés.

Mais avec le rapport mentionnant une arnaque de rencontres, le superviseur parle chinois, les employés parlent indonésien, et la cible est indonésienne. La barrière linguistique aurait empêché cette activité auparavant. Avec ChatGPT, tout est possible.

La langue n’est qu’une facette.

Le rapport mentionne aussi que certains fraudeurs ont demandé à ChatGPT comment utiliser l’API d’OpenAI pour automatiser complètement le processus de chat.

Autrement dit, l’IA ne rend pas la fraude plus sophistiquée, elle la rend simplement moins chère.

Selon OpenAI, ce groupe pourrait gérer plusieurs centaines de cas simultanément. La taille augmente, mais le coût par victime diminue, permettant de cibler plus de personnes à faible valeur.

Et il y a une question que je trouve encore plus importante à réfléchir :

OpenAI peut détecter ces activités parce que le groupe utilise ChatGPT, et que les conversations sont stockées sur les serveurs d’OpenAI.

Mais qu’en est-il de ceux qui déploient des modèles open source en local ?

Ce rapport ne montre qu’une petite partie du puzzle que OpenAI peut voir. La majorité de ce qui échappe à leur vue reste inconnue.