網絡釣魚攻擊　目標ChatGPT使用者

編譯／陳佩君

INKY研究人員發現，駭客冒充ChatGPT聊天機器人背後的OpenAI公司，進行了一場巧妙的釣魚攻擊，主要在竊取使用者的商業電子信箱帳戶資訊。因ChatGPT迅速受到歡迎，廣泛被個人和組織使用，這已足夠讓駭客冒充且利用該品牌公司。

其攻擊方式的初始階段讓涉及受害者收到一封看似合法的電子郵件，聲稱由OpenAI寄送，該郵件要求收件人驗證其電子信箱地址，以便繼續使用其ChatGPT帳號設置。在郵件中，提供了一個「驗證您的郵件」按鈕，其中包含一個惡意鏈接，點擊後，受害者將被重新導向到一個具有與OpenAI網站相似設計的欺騙性網站，他們會被提示輸入登入資訊。在第一次登入嘗試會返回錯誤訊息，但受害者的敏感資訊已經被駭客竊取。隨後，第二次登入嘗試將受害者重新導向到組織的合法網域名稱（Domain name）。

這種攻擊方式之所以危險，是因為聊天機器人看似真實且具有說服力，它們可以模仿真實人類的對話方式，回答問題並提供所需的資訊，讓人很難分辨它們是否真的合法。這些駭客利用人們對聊天機器人的信任，引誘他們提供敏感的個人資訊，例如帳號密碼、身分證號碼、信用卡資訊等。一旦駭客獲得了這些資訊，他們就可以進一步進行金融詐騙、身分竊取或其他惡意行為。

保護自己免受這類攻擊的傷害非常重要，不要輕易相信聊天機器人，當聊天機器人要求提供個人資訊時，要保持警惕。謹慎處理個人資訊，不要輕易提供敏感的個人資訊，特別是在未經驗證的情況下。學習辨識釣魚攻擊，要注意網路上的釣魚攻擊警示標誌，例如錯誤的URL、拼寫錯誤、不尋常的要求等。讓我們一起保持警覺，確保我們的個人資訊安全。

備註：INKY Technology 是專注於網路安全和防範電子郵件釣魚攻擊的公司
資料來源：helpnetsecurity

※更多ChatGPT相關訊息，請參考【生成式AI創新學院】。

瀏覽 1,011 次