Meta發佈資安報告,揭露駭客利用ChatGPT的惡意程式偽裝竊取受害者帳號

Meta發佈資安報告,揭露駭客利用ChatGPT的惡意程式偽裝竊取受害者帳號

Meta本週公佈了今年第一季的安全報告,指出光是今年3月,就有大約10款惡意程式家族偽裝成火紅的ChatGPT或類似的工具,以竊取受害者的帳號。

其實Meta的安全報告著重於保護旗下社交平臺的企業與使用者,因此其主要內容為所移除的間諜網路,包括巴基斯坦APT、Bahamut APT及Patchwork APT,或者是所移除的認知作戰網路,涵蓋來自伊朗、中國、美國、委內瑞拉或多哥的認知作戰網路。

但在調查這些APT(Advanced Persistent Threats,進階持續性威脅)組織所使用的惡意程式與網址時,發現駭客利用熱門的ChatGPT來吸引受害者,並透過擴充套件、廣告或社交平臺來散布惡意程式。例如駭客於瀏覽器的官方應用程式市集中提供了多款基於ChatGPT的工具,再透過社交媒體或搜尋引擎的廣告來推廣相關擴充套件,這些擴充套件的確擁有ChatGPT功能,但它們同時也是惡意程式。

Meta表示,駭客還企圖利用其旗下平臺來分享惡意網站,使得Meta安全團隊該季就封鎖了超過1,000個偽裝成ChatGPT的不同網址。駭客的目的是要取得受害者於社交平臺或網路上的企業帳號,以便用來執行未經授權的廣告。