超過 10 萬個 ChatGPT 賬戶被惡意軟件竊取
Bleeping Computer 網站披露,國際網絡安全公司 Group-IB 報告顯示,暗網交易平臺上正在出售超過 10 萬名 ChatGPT 用戶的個人信息。
從 Group-IB 統計的數據來看,2022 年 6 月至 2023 年 5 月期間,暗網平臺有許多 ChatGPT 賬戶正在”待售“,買賣高峰期出現在 2023 年 5 月,當時威脅者發布了 26800 個新 ChatGPT 用戶信息。值得一提的是,Group-IB 表示按照 ChatGPT 帳戶所屬地區劃分,亞太地區為 40999 條、中東和非洲地區 24925 條、歐洲 16951 條。
【受害者分布(Group-IB)】
信息竊密惡意軟件主要攻擊目標是存儲在電子郵件客戶端、網絡瀏覽器、即時通訊工具、游戲服務、加密貨幣錢包等應用程序上的賬戶數據。這些類型的惡意軟件通過從程序 SQLite 數據庫中提取證書,并濫用 CryptProtectData 功能對存儲的數據信息進行反向加密,從而竊取保存在網絡瀏覽器中的憑證。一旦得手,憑證和其它被盜數據就會立刻被打包到日志文檔中,發送回攻擊者的服務器進行檢索。
部分大企業禁止內部使用 ChatGPT
Group-IB 的 Dmitry Shestakov 表示許多企業正在將 ChatGPT 整合到自身操作流程中,當員工輸入機密信件或優化內部專有代碼時,鑒于 ChatGPT 的標準配置會保留所有對話,一旦威脅者獲得賬戶憑證,這可能會無意中為攻擊者提供大量敏感情報。
正是基于這些擔憂,像三星這樣科技巨頭已經直接禁止員工在工作電腦上使用 ChatGPT,甚至威脅要開除不遵守該政策的員工。
Group-IB 的數據顯示,隨著時間推移,被盜 ChatGPT 日志數量穩步增長,幾乎 80% 的日志來自 Raccoon 竊取者,其次是 Vidar(13%)和 Redline(7%)。
被入侵的 ChatGPT 賬戶(Group-IB)
考慮到數據安全性,如果用戶在 ChatGPT 上輸入了敏感數據,請認真考慮在設置菜單中禁用聊天保存功能或在使用完工具后立即手動刪除這些對話。
值得警惕的是,許多信息竊取者會對受感染的系統進行截圖或進行鍵盤記錄,因此即使不把對話保存到 ChatGPT 賬戶,惡意軟件感染仍可能導致數據泄漏。最后,規勸需要處理極其敏感信息的工作人員,盡量在本地構建和自托管工具上輸入信息。
蘋果審核機制遭質疑:假冒 Trezor 錢包的詐騙應用橫行App Store
6 月 21 日消息,蘋果公司一直堅持認為,只允許用戶通過 App Store 下載 iOS 應用,是為了保證用戶不會受到詐騙的影響。然而,有些應用卻能夠繞過 App Store 的審核規則,悄悄上架。最近,就有一款假冒的 Trezor 錢包應用,讓用戶誤以為它是一款官方的比特幣和其他加密貨幣管理應用。
Trezor 是一個合法的加密貨幣錢包,但是一些 iPhone 用戶發現,幾周前,App Store 上出現了一款名為“Trezor Wallet Suite”的假冒應用。盡管使用了 Trezor 錢包的名字,但它與 Trezor 沒有任何關系。The Crypto Lawyers 的 Rafael Yakob 報告稱,這款應用在美國和英國的 App Store 搜索結果中排名第一,這令人非常擔憂。“這款應用已經存在了幾周,雖然受害者的總數不得而知,但很可能有數百或數千人。”Yakob 說。
這款假冒的應用會向用戶索要大量的個人數據,這些數據可能被用于惡意目的。蘋果公司目前已經將這款應用從 App Store 上下架。
讓用戶感到不滿的是,蘋果對于比特幣應用并不是很友好。很多合法的可以管理比特幣和其他加密貨幣錢包的 iOS 應用經常被蘋果拒絕,而像這樣的詐騙應用卻能夠通過蘋果的審核過程。
據IT之家了解,蘋果允許加密貨幣應用在 App Store 上架,但有嚴格的條件。例如,開發者必須有在應用上架地區運營的許可和權限,應用也不能使用加密貨幣來解鎖內容或功能。
上周,蘋果威脅要將社交網絡應用 Damus 從 App Store 上移除,因為該應用允許用戶使用“Zaps”來給個人帖子打賞,“Zaps”是基于比特幣的微交易。蘋果聲稱,給個人帖子打賞相當于出售數字內容。Damus 必須從 iOS 應用中移除這個選項,才能保證它在 App Store 上可用。
雖然蘋果聲稱 App Store“是一個你可以信任的地方”,并且反對側載(sideloading),但現實生活中卻是即使蘋果也不能保證 App Store 中沒有詐騙應用。如果蘋果公司真的想要證明 App Store 是一個安全的地方,就應該確保像這樣的假冒和詐騙應用永遠不會出現在其商店里。
安全圈
D1Net
嘶吼專業版
商密君
信息安全與通信保密雜志社
安全內參
中國網絡空間安全協會
D1Net
GoUpSec
FreeBuf
看雪學苑
黑客技術和網絡安全
