資訊安全新知分享
NEITHNET 資安實驗室
隨著ChatGPT爆紅,攻擊者開始廣泛利用ChatGPT進行多項惡意威脅行動,目前已揭露與ChatGPT相關的惡意活動大致有下列幾項:
● 偽造的ChatGPT軟體
假冒的ChatGPT軟體,利用與ChatGPT相似的圖示或相似的Domain,來誘騙使用者下載使用,並且在Google Play、第三方Android商店和多個平台發布。其中包含有計費簡訊的app chatGPT1,及包含Spynote惡意程式的AI Photo,AI Photo,可以從設備中竊取通話紀錄、聯絡人列表、簡訊、文件。
● 偽造ChatGPT官方網站/社交媒體
非官方ChatGPT社交媒體頁面(ChatGPT AI),其中包含多篇關於ChatGPT和其他OpenAI工具的文章。頁面中試圖通過混合內容來建立可信度,並混雜一些可疑連結,會導向假的ChatGPT 釣魚頁面,透過釣魚頁面誘騙使用者下載惡意檔案。這些假的網站中可能包含惡意軟體,例如:Lumma Stealer、Aurora Stealer、clipper 等惡意軟體。而目前已知假的網站有:openai-pc-pro[.]online、chat-gpt-pc[.]online、chatgpt-go[.]online、chatgptftw[.]com
● 偽造信用卡頁面
假的頁面內容為ChatGPT Plus的支付頁面(假的連結:”pay[.]chatgptftw[.]com”),誘騙使用者填寫、並竊取信用卡資料(例如:姓名、卡號、有效期、CVV 等),攻擊者就可以使用這些資料進行未經授權的線上購買,或進行其他與信用卡相關的詐欺行動。
● 網路釣魚郵件
攻擊者寄送廣告信,例如主題:「ChatGPT讓每個人為之瘋狂」、「新的AI機器人讓每個人都為之震驚」等,內容為號稱使用ChatGPT的聊天機器人,每個月可以賺進超過1萬美元,來誘騙使用者點擊連結,當使用者點擊連結即會被引導到假的ChatGPT頁面,假的平台會先簡單介紹它在金融市場如何運用,可以讓任何人成為全球股票的成功投資者,接著會詢問使用者的目前收入,然後要求使用者輸入email來驗證,開始一連串詐騙行為。目前發現此威脅主要針對丹麥、德國、澳大利亞、荷蘭和愛爾蘭。
以上這些惡意行為和危險內容與實際的ChatGPT或OpenAI並沒有關係。ChatGPT 官方網站(chat.openai.com),目前僅供線上工具使用,不提供任何操作系統的任何移動或桌面應用程式,任何聲稱是ChatGPT 的應用程式或網站都是假的、試圖詐騙或散佈惡意軟體。ChatGPT越來越多人使用,惡意威脅行動就不僅僅是上面所列的這些,可能會越來越多,使用者更應小心謹慎。
建議防範方式:
- 至官方網站OpenAI的官方頁面使用ChatGPT
- 不要在未驗證的情況下,打開不受信任的link、 email和簡訊,必須注意網址的正確性
- 避免從未知網站下載
- 不要下載/安裝可疑來源的軟體
- 啟用任何權限時更謹慎小心
- 定期更新系統及軟體
- 輸入資料時仔細確認網址,提防是否有可能透漏隱私資料
參考資料: