AI時代

ChatGPT騙局攻擊數量上升

ChatGPT 是史上增長最快的消費者應用程式之一,ChatGPT騙局攻擊數量上升亦成了熱門話題;Palo Alto Networks旗下威脅研究團隊Unit 42就此熱門話題圍繞新註冊及搶註的域名進行監測。當ChatGPT越受歡迎,騙徒們也越趨利用與其相關的內容及域名來進行詐騙。

在2022年11月至2023年4月初,Unit 42發現與ChatGPT相關域名的每月註冊量增加了910%。期間,團隊從DNS安全日誌中觀察到相關搶註域名的盜用增長高達17,818%。Palo Alto Networks的進階URL過濾系統也偵察到每天多達118個ChatGPT相關的惡意URL。

通過研究不同案例,Unit 42發現騙徒的行騙方法層出不窮,其目的均在於引誘用戶下載惡意軟件或共享機密資訊。隨著OpenAI於2023年3月1日正式公布了ChatGPT的API,使用此程式的可疑應用也隨之增加。因此,ChatGPT用戶應時刻保持警惕,避免墮入仿冒聊天機器人設下的陷阱。

Palo Alto Networks的新世代防火牆和Prisma Access客戶可透過訂閱進階URL過濾、DNS安全服務和WildFire惡意軟件防護引擎,從而預防與ChatGPT相關騙局。這些安全服務已涵蓋了所提到的惡意指標(域名、IP、URL和hashes)。

ChatGPT騙局日益增多

隨著OpenAI迅速崛起,成為人工智能領域中最著名的品牌之一,我們觀察到攻擊者註冊和使用具有「openai」和「chatgpti」作為其域名(例如,openai[.]us,openai[.]xyz和chatgpt[.]jobs)。

截至2023年4月初,這類域名大多都不包含任何惡意內容。惟令人擔憂的是,它們並不是由 OpenAI或其他真實的域名管理公司控制。當它們被濫用且成為有心人的利器時,威脅也隨之而來。

上圖展示了ChatGPT發佈後,與其相關搶註域名註冊的趨勢。研究期間,我們注意到每天的域名註冊量顯著增加。2023年2月7日,微軟發布新版本的Bing後不久,就有超過300個與ChatGPT相關的域名被註冊。

ChatGPT騙局攻擊數量上升

Unit42 團隊還通過進階 URL 過濾系統進行了關鍵詞搜索。上圖顯示了在 OpenAI 發布 ChatGPT 官方 API 和 GPT-4 的當天出現了兩個大的上升峰值。

 ChatGPT騙案案例

在進行研究時,團隊觀察到多個仿冒官方 OpenAI 網站的釣魚 URL。大多情況下,騙徒會創建一個假網站,該網站看起來與ChatGPT 官方網站十分相似,並騙取用戶下載惡意軟件或分享敏感資訊。

例如,上圖顯示了騙徒用來傳送惡意軟件的常見招數。一個「下載 Windows 版本」的視窗會彈出,一旦點擊,就會在用戶未意識到風險的情況下,下載特洛伊木馬軟件(SHA256: ab68a3d42cb0f6f93f14e2551cac7fb1451a49bc876d3c1204ad53357ebf745f)至其設備。

 此外,騙徒可能利用與 ChatGPT 相關的「社交工程」盜竊用戶身份或詐騙金錢。儘管 OpenAI 為用戶提供了 ChatGPT 的免費版本,但騙徒會將受害者引導至虛假網站,聲稱用戶需要為這些服務付費。如圖五所示,該偽造 ChatGPT 網站試圖引誘受害者提供其機密信息,例如信用卡詳細資料和電郵。

 團隊還注意到,一些騙徒正在充分利用 OpenAI 的日益普及來進行加密貨幣詐騙。圖六顯示了一個騙徒濫用 OpenAI 標誌和 Elon Musk 的名字來吸引受害者參加此項加密貨幣贈送欺詐活動。

仿冒AI 聊天機器人的風險

ChatGPT 已成為今年最受歡迎的應用之一,市面上也出現了越來越多的仿冒 AI 聊天機器人應用程式。其中一些應用程式提供大型語言模型,而其他應用程式聲稱通過在 3 月 1 日宣布的公共 API 提供 ChatGPT 服務。然而,使用仿冒AI 聊天機器人伴隨著不少安全風險。 在ChatGPT API發布之前,已有數個開源項目允許用戶通過各種自動化工具連接到ChatGPT。考慮到某些國家或地區的用戶無法訪問到ChatGPT,這些自動化工具或API創建的網站可能會吸引這些地區的大量用戶。

無論是否免費,這些仿冒聊天機器人都不可信。它們許多是基於GPT-3所創建(於2020年6月發布),比最近的GPT-4和GPT-3.5弱。

此外,使用這些聊天機器人還存在另一個重大風險。它們可能會收集和竊取你提供的資料。換句話說,提供任何敏感或機密資料可能會讓你處於危險之中。聊天機器人的回應也可能被操縱以給出錯誤答案或誤導資訊。

結論

ChatGPT在全球日益普及,因此成為騙徒的目標。我們注意到與ChatGPT相關新註冊域名和網站數量急劇增加,這些都可能被騙徒作不法之用。為保障自己,ChatGPT用戶應注意與ChatGPT相關的可疑電子郵件或鏈接,並避免使用仿冒聊天機器人,應由官方OpenAI網站進入聊天室。

更多AI時代內容:

AI 進一步消滅人類職位? IBM停止招聘7,800個職位!

Chirper AI 社交網路登場,人類禁止的AI專屬世界

AGI 人工通用智能(Artificial General Intelligence)降臨在即?2023現身?

TechApple.com 編輯部

堅持製作專業科技內容,全員擁有多種不同技術知識的特異科技媒體團隊。 電郵:editor@techapple.com