內容簡述

ChatGPT 去年以強勢之姿上線，並以主打可以免費跟 AI 聊天機器人進行對話，甚至回答使用者各種疑難雜症而爆紅，它的受歡迎程度和實用性使其成為討論的熱門話題。今年 2 月推出付費版 ChatGPT Plus，收取 20 美元月費就能享受更快速地回應，且不會受限於系統過載的情況，還能使用最新功能。 然而，駭客們利用 ChatGPT 的知名度，推出了一堆冒牌的服務和假網站，甚至是名為 ChatGBT 的假 App，並以此來盜取使用者的個人資料和信用卡資訊。

 

釣魚行為

因 ChatGPT 已被尋求提高工作效率的用戶廣泛採用，它已被各種不法人士所利用。Cyble Research and Intelligence Labs (CRIL) 已經確定了幾個實例，是利用 ChatGPT 來發放惡意軟件並進行其他網絡攻擊。以下是一些實例：

 

1. 社交媒體頁面：駭客們建立一個非官方、多關注者和按讚數的 ChatGPT 社群媒體頁面，該頁面試圖通過影片和其他不相關的貼文來建立可信度。然而，仔細觀察會發現頁面上的一些貼文包含連結，這些連結會將用戶引導至冒充 ChatGPT 的釣魚頁面，並向用戶展示了一些假按鈕，如 “ DOWNLOAD FOR WINDOWS ”、" TRY CHATGPT " 按鈕，這些可能包含幾個臭名昭著的惡意軟件系列，包括 Lumma Stealer、Aurora Stealer、clipper 惡意軟件等。單擊該按鈕後，會下載可能有害的可執行文件，讓用戶將惡意文件下載到他們的機器上，進而竊取用戶資訊。

 

 

(圖源：The Growing Threat of ChatGPT-Based Phishing Attacks)

 

2. 假信用卡付費頁面：駭客利用 ChatGPT 來實施金融欺詐。常見的是創建偽造的 ChatGPT 相關支付頁面，旨在竊取受害者的錢和信用卡信息。

 

3. 安卓惡意軟體：仿冒 ChatGPT 的惡意 App 有將近 50 多個，包括簡訊詐騙程式、資料竊取程式。這些惡意軟體使用 ChatGPT 的名稱和圖標，但沒有 AI 功能。有些惡意軟體屬於 SMS 欺詐家族，它執行計費欺詐，這種特殊的惡意軟件會檢查特定的網絡運營商，並通過向收費號碼“+4761597”發送短信來在用戶不知情的情況下訂閱收費服務。

 

總結與建議

駭客經常會用看起來合法的網站和 APP 進行惡意活動。隨著 ChatGPT 的受歡迎程度持續上升，它已成為駭客們散播惡意軟體和網絡釣魚攻擊的目標。研究表明，這些駭客正在模仿 ChatGPT 在 Windows 和 Android 的軟體，並且進行竊取個資的行為。

基於此，我們給了幾個有用的小建議：

• 避免從未知網站下載文件。
• 不要在未先驗證其真實性的情況下打開不受信任的鏈接和電子郵件附件。
• 教育員工保護自己免受網絡釣魚/不受信任的 URL 等威脅。
• 監控網絡級別的信標，以阻止惡意軟體或 TA 的數據洩露。
• 在員工系統上啟用數據丟失防護 (DLP) 解決方案。
• 僅從 Google Play Store 或 iOS App Store 等官方應用商店下載和安裝軟件。
• 盡可能使用強密碼並強制執行多重身份驗證。
• 盡可能啟用指紋或面部識別等生物識別安全功能來解鎖移動設備。
• 確保在 Android 設備上啟用了 Google Play Protect。
• 啟用任何權限時要小心。
• 讓您的設備、操作系統和應用程序保持更新。

最後我們再次重申，ChatGPT 是純粹線上服務，並沒有Windows或Android、iOS版App。它的官方網址為chat.openai.com。

 

參考資料：

1. 山寨ChatGPT App藉FB及Google Play Store散布 （24 Feb 2023）-https://www.ithome.com.tw/node/155658

2. The Growing Threat of ChatGPT-Based Phishing Attacks （22 Feb 2023）-https://blog.cyble.com/2023/02/22/the-growing-threat-of-chatgpt-based-phishing-attacks/

3. Phishing Sites and Apps Use ChatGPT as Lure（23 Feb 2023）- https://www.infosecurity-magazine.com/news/phishing-sites-and-apps-use/