Palo Alto Networks:ChatGPT相關詐騙攻擊與日俱增
ChatGPT是史上增長最快的消費者應用程式之一;Palo Alto Networks旗下威脅研究團隊Unit 42就此熱門話題圍繞新註冊及搶註的域名進行監測。當ChatGPT越受歡迎,騙徒們也越趨利用與其相關的內容及域名來進行詐騙。
在2022年11月至2023年4月初,Unit 42發現與ChatGPT相關域名的每月註冊量增加了910%。期間,團隊從DNS安全日誌中觀察到相關搶註域名的盜用增長高達17,818%。Palo Alto Networks的進階URL過濾系統也偵察到每天多達118個ChatGPT相關的惡意URL。
通過研究不同案例,Unit 42發現騙徒的行騙方法層出不窮,其目的均在於引誘用戶下載惡意軟件或共享機密資訊。隨著OpenAI於2023年3月1日正式公布了ChatGPT的API,使用此程式的可疑應用也隨之增加。因此,ChatGPT用戶應時刻保持警惕,避免墮入仿冒聊天機器人設下的陷阱。
Palo Alto Networks的新世代防火牆和Prisma Access客戶可透過訂閱進階URL過濾、DNS安全服務和WildFire惡意軟件防護引擎,從而預防與ChatGPT相關騙局。這些安全服務已涵蓋了所提到的惡意指標(域名、IP、URL和hashes)。
ChatGPT相關騙局日益增多
隨著OpenAI迅速崛起,成為人工智能領域中最著名的品牌之一,我們觀察到攻擊者註冊和使用具有「openai」和「chatgpti」作為其域名(例如,openai[.]us,openai[.]xyz和chatgpt[.]jobs)。
截至2023年4月初,這類域名大多都不包含任何惡意內容。惟令人擔憂的是,它們並不是由 OpenAI或其他真實的域名管理公司控制。當它們被濫用且成為有心人的利器時,威脅也隨之而來。
圖一展示了ChatGPT發佈後,與其相關搶註域名註冊的趨勢。研究期間,我們注意到每天的域名註冊量顯著增加。2023年2月7日,微軟發布新版本的Bing後不久,就有超過300個與ChatGPT相關的域名被註冊。
圖二的趨勢亦類似,ChatGPT的認可度和普及導致DNS安全
Unit42 團隊還通過進階 URL 過濾系統進行了關鍵詞搜索。圖三顯示了在 OpenAI 發布 ChatGPT 官方 API 和 GPT-4 的當天出現了兩個大的上升峰值。
ChatGPT騙案案例
在進行研究時,團隊觀察到多個仿冒官方 OpenAI 網站的釣魚 URL。大多情況下,騙徒會創建一個假網站,該網站看起來與ChatGPT 官方網站十分相似,並騙取用戶下載惡意軟件或分享敏感資訊。
例如,圖四顯示了騙徒用來傳送惡意軟件的常見招數。一個「下載 Windows 版本」的視窗會彈出,一旦點擊,就會在用戶未意識到風險的情況下,下載特洛伊木馬軟件(SHA256: ab68a3d42cb0f6f93f14e2551cac7fb1451a49bc876d3c1204ad53357ebf745f)至其設備。
此外,騙徒可能利用與 ChatGPT 相關的「社交工程」盜竊用戶身份或詐騙金錢。儘管 OpenAI 為用戶提供了 ChatGPT 的免費版本,但騙徒會將受害者引導至虛假網站,
團隊還注意到,一些騙徒正在充分利用 OpenAI 的日益普及來進行加密貨幣詐騙。圖六顯示了一個騙徒濫用 OpenAI 標誌和 Elon Musk 的名字來吸引受害者參加此項加密貨幣贈送欺詐活動。
仿冒AI 聊天機器人的風險
ChatGPT 已成為今年最受歡迎的應用之一,市面上也出現了越來越多的仿冒 AI 聊天機器人應用程式。其中一些應用程式提供大型語言模型,而其他應用程式聲稱通過在 3 月 1 日宣布的公共 API 提供 ChatGPT 服務。然而,使用仿冒AI 聊天機器人伴隨著不少安全風險。
在ChatGPT API發布之前,已有數個開源項目允許用戶通過各種自動化工具連接到ChatGPT。考慮到某些國家或地區的用戶無法訪問到ChatGPT,這些自動化工具或API創建的網站可能會吸引這些地區的大量用戶。這同時為攻擊者提供了通過代理其服務謀取利益的機會。圖7顯示了一個中文網站提供付費聊天機器人服務。
無論是否免費,這些仿冒聊天機器人都不可信。它們許多是基於GPT-3所創建(於2020年6月發布),比最近的GPT-4和GPT-3.5弱。
此外,使用這些聊天機器人還存在另一個重大風險。它們可能會收集和竊取你提供的資料。換句話說,提供任何敏感或機密資料可能會讓你處於危險之中。聊天機器人的回應也可能被操縱以給出錯誤答案或誤導資訊。
例如,如圖八所示,搶註域名chatgptforchrome[.]com托管了ChatGPT Chrome的擴充功能的介紹網頁,並使用了官方OpenAI擴充功能的資料和影片。
「添加到Chrome」鏈結引導至不同的外掛程式URL
chrome[.]google[.]com/webstore/detail/ai-chatgpt/boofekcjiojcpcehaldjhjfhcienopme,而正確的URL應該是
chrome[.]google[.]com/webstore/detail/chatgpt-chrome-extension/cdjifpfganmhoojfclednjdnnpooaojb。
我們下載了圖八中顯示的「AI ChatGPT」擴充功能(SHA256:94a064bf46e26aafe2accb2bf490916a27eba5ba49e253d1afd1257188b05600),發現它在受害者的瀏覽器中添加了一個包含高度混淆的JavaScript。我們對JavaScript的分析顯示,它調用Facebook Graph API來竊取受害者的賬戶詳細信息,並可能進一步訪問其Facebook賬戶。其他研究人員也報告了類似涉及惡意瀏覽器擴充功能的活動。
結論
ChatGPT在全球日益普及,因此成為騙徒的目標。我們注意到與ChatGPT相關新註冊域名和網站數量急劇增加,這些都可能被騙徒作不法之用。
為保障自己,ChatGPT用戶應注意與ChatGPT相關的可疑電子郵件或鏈接,並避免使用仿冒聊天機器人,應由官方OpenAI網站進入聊天室。
Palo Alto Networks新世代防火墻和Prisma Access客戶搭配進階URL過濾、DNS安全解決方案和防護引擎WildFire,可以保護用戶免受ChatGPT相關騙局的侵害。
發表迴響