近期網路安全專家發現,駭客正積極利用 ChatGPT 和 Claude 等備受歡迎的人工智慧工具進行網路釣魚攻擊。
駭客之所以選擇這些工具,主要是看準了它們極高的搜尋量,以及能夠透過外掛程式或內容分享機制,直接「寄生」在官方網域之下。這讓多數使用者在瀏覽 Google 搜尋結果的置頂廣告時,根本難以察覺點擊進去的是釣魚網站,大幅提升了駭客得手的成功率。
在最新曝光的釣魚活動中,駭客巧妙地利用了 ChatGPT Canvas 畫布功能,創建出一個與官方極度相似的仿冒網頁。在這個畫布頁面中,駭客會向使用者顯示「目前瀏覽量太高,請下載桌面版繼續瀏覽」的偽造提示,並提供一個實際上是指向惡意安裝包的下載按鈕。
由於該內容是透過 ChatGPT 官方功能分享產生,不僅網址始終顯示為 ChatGPT.com,更完美避開了各大安全軟體的攔截機制,甚至連 Google 搜尋廣告的網域驗證也能順利通過。
Claude 亦出現類似的分享功能釣魚案例
除了 ChatGPT 之外,另一款知名 AI 工具 Claude 也有用戶發現了類似的釣魚案例。駭客同樣利用了 Claude.ai 的對話內容分享功能,先是建立一段包含惡意網站或軟體下載連結的對話,接著再針對多種熱門軟體(例如系統硬體檢測工具 CPU-Z)製作對應的分享內容。
當不知情的用戶在搜尋這些軟體時,首頁的置頂廣告就會將他們引導至 Claude 的官方網域中,再進一步誘騙他們點擊惡意連結。
由於這類平台(如 OpenAI 或 Anthropic)目前並不太可能針對用戶生成與分享的每一筆內容進行嚴格的事前人工審核,使得這類利用官方網域進行背書的釣魚攻擊在未來極可能會顯著增加。
面對這種難以從源頭徹底斬斷的新型態威脅,資安專家也建議,使用者最直接且有效的防範方式,或許就是安裝廣告攔截擴充功能,全面屏蔽搜尋引擎上的各類置頂廣告。
這波利用 AI 工具官方網域進行釣魚的新型態攻擊,揭示了當駭客開始利用 SaaS 服務的分享功能,讓惡意內容直接披上合法網域的外衣時,傳統的防禦常識便不再適用。這種「合法掩護非法」的策略,無疑對現有的資安攔截機制提出了嚴峻的挑戰。
- 延伸閱讀:ChatGPT 擊垮了 133 年信任傳統:普林斯頓大學廢除「無監考考試」,強制教授重回考場
- 延伸閱讀:蘋果、OpenAI 世紀合作破局?ChatGPT 怒控蘋果「刻意邊緣化」,兩大巨頭徹底撕破臉!
- 延伸閱讀:ChatGPT for PowerPoint 推出 beta 版,可直接在簡報中生成、改寫與潤飾投影片
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!