Sophos最新研究揭示
虛假ChatGPT應用程式成功騙取多名受害者數千美元
欺詐程式Fleeceware利用人工智能及聊天機械人及App Store政策漏洞
向用戶強制收取額外費用
Sophos為旨在提供創新網絡安全即服務的全球領導廠商,今天發佈Sophos X-Ops最新研究報告《AI熱潮下應運而生的欺詐程式》,並揭示騙徒利用聊天機械人ChatGPT建立多個欺詐應用程式,從而向用戶騙取每月高達數千美元。該報告更詳細指出,目前該欺詐程式能於Google Play和Apple App Store下載,而當中的免費版本更近乎沒有任何功能且經常有廣告彈出,令受害者有機會在不知情下每年支付數百美元的訂閱費用。
Sophos首席威脅研究員Sean Gallagher表示:「最近騙徒經常利用最新的技術趨勢來制定攻擊策略,而ChatGPT正是最佳例子。隨著人工智能(AI)及聊天機械人發展日益蓬勃,用戶將主動前往Apple App Store或Google Play Store下載與ChatGPT相關的應用程式。Sophos將該類型的虛假應用程式稱為欺詐程式(Fleeceware),而受害者往往因不斷受到各種廣告的滋擾,最終逼於無奈選擇成為訂閱用戶,而騙徒則會令他們忘記自己已訂閱該服務。此外,即使成為訂閱用戶,相關欺詐程式亦沒有實際用途,而受害者在刪除程式後不會意識到自己仍需每月或每週支付訂閱費用。」
Sophos X-Ops總共調查了5個與ChatGPT相關的欺詐程式,且發現全部均有採用ChatGPT的演算法。OpenAI通常免費向用戶提供ChatGPT的基本功能,然而相關欺詐程式均需支付每月10美元或每年70美元的訂閱費用。以其中一款名為「ChatGBT」欺詐程式為例,開發者則利用ChatGPT的名稱以提升Google Play或App Store的排名。在「ChatGBT」欺詐程式的iOS版本「Ask AI Assistant」中,用戶則需於3天試用期後支付每週6美元或每年312美元的訂閱費用,故令開發者成功於3月份 賺取1萬美元的收入。另外,一款名為「Genie」的欺詐程式則鼓勵用戶支付每週7美元或每年70美元的訂閱費用,並在過去一個月內取得100萬美元的收入。
根據Sophos一項於2019年的調查,結果則首次揭示相關欺詐程式向用戶索取過高費用,並且利用社交工程或強制性營銷策略逼使受害人選擇定期訂閱服務,然而相關應用程式則免費提供相關功能。除非受害者選擇付費訂閱,否則他們幾乎不能使用當中的功能。此外,這些欺詐程式通常品質較差,另外其付費體驗亦未如理想。為了提升應用程式的排名,騙徒更會於應用程式商店上發佈虛假評論,或要求受害者在免費試用期前評分。
Gallagher補充:「由於該類欺詐程式不會違反應用程式商店的安全或私隱守則,並只提供Google及Apple所允許的設計專屬服務,因此在審查期間不會受到商店拒絕。自2019年推出相關的調查報告以來,Google和Apple一直實施更新條例以制止欺詐程式,但騙徒在開發程式時都會尋找方法繞過這些條例,例如在用戶付費前嚴格限制應用程式的功能以逼使用戶付費。雖然某些報告所提及與ChatGPT有關的欺詐程式已下架,但同類型的程式亦正持續湧現。因此,我們應視教育大眾用戶為最佳防禦形式,讓他們意識到這些欺詐程式的存在,並在點擊『訂閱』前仔細閱讀細則。假如用戶認為開發人員以不道德手段獲利,他們亦向Apple或Google舉報。」
目前,我們已經就報告所提及的欺詐程式向Apple和Google舉報,並建議已下載該程式的用戶遵循App Store或Google Play商店的指引「取消訂閱」,而單靠刪除欺詐程式並不會取消訂閱服務。
欲了解更多與ChatGPT相關的欺詐程式及防禦策略,請參閱《AI熱潮下應運而生的欺詐程式》完整報告。
發表迴響