【ChatGPT】假App焗人訂閱月賺100萬美元 域名註冊大升910%
生成式聊天機械人 ChatGPT 熱潮一時無兩,網絡安全供應商 Sophos 及 Palo Alto Networks 旗下威脅研究團隊 Unit 42,均發現與 ChatGPT 相關的騙局日益增多。不法份子會利用偽冒 ChatGPT 應用程式及網頁騙財,有假 App 開發者更借訂閱制,一個月賺取 100 萬美元(約 780 萬港元)。
偽冒應用程式可於 Apple App Store 下載
Sophos 調查了 5 個與 ChatGPT 相關的假 App,且發現全部均有採用 ChatGPT 的演算法,騙徒更會於應用程式商店上發佈虛假評論,或要求用戶在免費試用期前評分,以提升其排名。Sophos 首席威脅研究員 Sean Gallagher 表示,不少用戶主動前往 Apple App Store 或 Google Play Store 下載與 ChatGPT 相關的應用程式,因不斷受到廣告滋擾,最終選擇成為訂閱用戶。
OpenAI 通常免費向用戶提供 ChatGPT 的基本功能,然而假 App 均需支付每月 10 美元或每年 70 美元的訂閱費用。Sophos 以其中一個假 App「ChatGBT」為例,開發者利用 ChatGPT 的名稱以提升 Google Play 或 App Store 的排名,其 iOS 版本「Ask AI Assistant」中,用戶需於 3 天試用期後支付每週 6 美元或每年 312 美元的訂閱費用,令開發者於 3 月份成功賺取 1 萬美元。
另一款假App「Genie」則鼓勵用戶支付每週 7 美元或每年 70 美元的訂閱費用,並在過去一個月內取得 100 萬美元的收入。
由於該類假 App 不會違反應用程式商店的安全或私隱守則,並只提供 Google 及 Apple 所允許的設計專屬服務,因此在審查期間不會被拒絕。騙徒在開發程式時都會尋找方法繞過 Google 及 Apple 的條例,例如在用戶付費前,嚴格限制應用程式的功能以逼使用戶付費。
騙徒會盡量令用戶忘記自己已訂閱該服務,不少用戶在刪除程式後,沒意識到自己仍需每月或每週支付訂閱費用。Sophos 提醒用戶應遵循 App Store 或 Google Play 商店的指引「取消訂閱」,單靠刪除假 App,並不會取消訂閱服務。
相關域名註冊大升 910%
至於 Unit 42 則在 2022 年 11 月至 2023 年 4 月初,發現與 ChatGPT 相關域名的每月註冊量增加了 910%,團隊從 DNS 安全日誌中觀察到,相關域名的盜用增長高達 17,818%。Palo Alto Networks 的進階 URL 過濾系統也偵察到,每天多達 118 個 ChatGPT 相關的惡意 URL。
隨著 OpenAI 迅速崛起,成為人工智能領域中最著名的品牌之一,Unit42 發現攻擊者註冊和使用「openai」和「chatgpt」作為其域名(例如,openai[.]us,openai[.]xyz和chatgpt[.]jobs)。雖然暫時不含惡意內容,惟它們並不是由 OpenAI 或其他真實的域名管理公司控制,當被濫用且成為有心人的利器時,威脅也隨之而來。
多個仿冒官方 OpenAI 網站的釣魚 URL也出現,騙徒會創建一個假網站,該網站與 ChatGPT 官方網站十分相似,並騙取用戶下載惡意軟件或分享敏感資訊。例如彈出一個「下載 Windows 版本」的視窗,一旦點擊,就會在用戶未意識到風險的情況下,下載特洛伊木馬軟件至其設備;又或者將受害者引導至虛假網站,聲稱用戶需要為這些服務付費。
Sophos 認為教育大眾用戶為最佳防禦形式,如用戶認為有開發人員以不道德手段獲利,應向 Apple 或 Google 舉報;而 Unit42 則建議 ChatGPT 用戶注意與 ChatGPT 相關的可疑電子郵件或鏈接,並避免使用仿冒聊天機器人,應由官方 OpenAI 網站進入聊天室。