西風 發自 凹非寺
量子位 | 公眾號 qbitai
就離譜,openai 𝕏官號一夜間被挖幣的給黑了!
就是剛開設專門發新聞的那個openai newsroom賬號。
深更半夜突然發了這麼一條推文:
我們非常高興宣布推出💲openai:這是一種連接人工智能和區塊鏈技術的代幣。所有openai用戶都有資格領取一部分💲openai的初始供應。持有💲openai將獲得我們未來所有測試程序的訪問權限。
隨後送上了釣魚網站鏈接。
目前這條推文是看不到了,只留下一句:
評論因惡意鏈接而被關閉。祝大家好運!
不止這個官號,15個月內,openai相關𝕏帳號至少被盜了4個。
openai員工賬號最近也都接連遭遇不測。
首席科學家jakub pachocki、cto mira murati、研究員jason wei的賬號全都成為被攻擊對象。
看這一毛一樣的操作,是同一波人乾的沒跑兒了。
網友表示,過去12個月內,jason wei賬號至少被盜了10次。
而這次openai newsroom賬號被黑,距離jason wei賬號最新一次被黑,僅僅間隔不到兩天。
這些推文散播在𝕏上,聚集成了大型吃瓜現場。
在此之餘,網友們也為大伙兒捏了把汗,可別真上當了。
我不太理解這裡的目標受眾是誰。如果這些騙局不起作用,他們應該不會花這麼多時間去搞。
但是,究竟是哪些人會同時:1)對加密貨幣感興趣;2)了解openai及其高層領導,並且3)能輕易落入這種簡單的錢包盜竊陷阱?
馬斯克的xai員工、grok開發者都忍不住開麥:
祝大家好運!
也有網友為openai感嘆:
一次是運氣不好兩次就能反映問題了三次就是系統性的了
網友調侃ilya創業搞ssi(safe superintelligence),openai這下成了usi(unsafe superintelligence):
所以為啥不開2fa(雙因素認證)?
或許……2fa都不管用了。
就有網友對這次攻擊的運作方式和技術棧進行了分析。
攻擊方法分析
以下是vercel ceo guillermo rauch給出的分析。
首先要注意的是,大多數釣魚網站有一個共同缺點:網站看起來很low。
但這次的釣魚網站真像那麼回事兒,真像是合法網站。
攻擊者怎麼能做得這麼逼真?
注意「data-scrapbook-source」屬性。可能是用了某種爬蟲工具?
谷歌一下,會發現它出現在許多被報告的釣魚網站上。它來自一個名為「webscrapbook」的chrome擴展,可以立即將網站克隆為靜態html。
guillermo rauch親自試了一下,表示效果非常好:
我克隆了自己的網站,複製得非常精準。
接下來guillermo rauch發現了華點。
html中暴露了攻擊者抓取的日期:20240619000652144。
如果對其進行解析,結果顯示為:2024-06-19t00:06:52.144z,即三個月前。
這表明他們搞這玩意已經有一段時間了,可能針對的是多名openai員工。
進入服務器堆棧。網站通過@cloudflare託管,理論上這很難追蹤到源服務器。
但是,當觸發404錯誤頁面時,guillermo rauch得到了一些有趣的信息:
pache/2.4.52 (ubuntu) server at distribution-openai.com port 80
為什麼有趣?
guillermo rauch解釋,「port 80」可能意味着兩種情況:
一種可能是他們設置了一個加密的反向隧道連接到cloudflare(這不常見),或者正好相反,他們可能在大膽嘗試直接將${ip}:80作為源。
問題是:如何找到這個源ip地址?
與普遍觀點不同,傳統cdn並不能真正保護源ip地址,這些ip地址可能會被搜索引擎發現。
該技術涉及在源中查找唯一的字符串,其中有一些很好的候選字符串。例如,css id:
這裡發現了一個疑似克隆網站,但由於<title>標籤不匹配,這並不是一個完全相同的克隆。
此外,它與html中的土耳其語不相符:
videoyu cep telefonunuzda izlemeye devam etmek için qr kodunu tarayın(若要繼續在您的手機上觀看視頻,請掃描qr碼)
另一個非常有趣的字符串是攻擊者意圖接收加密貨幣的錢包地址。
這個地址並沒有直接嵌入到html中,而是通過一個令人困惑的加密腳本進行控制,該腳本極力避免被審查,不斷觸發調試器進入循環。
guillermo rauch曬出了腳本,表示還沒有機會開始反向工程。
最後guillermo rauch進行了一些反詐經驗總結:
啟用非短訊方式的多因素認證(mfa)即便開啟了mfa,仍需對電子郵件保持高度警覺。現有攻擊模式已能竊取mfa驗證碼始終對域名和電子郵件保持警惕。
openai這次被盜號發佈釣魚信息也是給大伙兒提了個醒。
童鞋們上網可要擦亮眼睛~
參考鏈接:[1]https://x.com/iscienceluvr/status/1838344428504973585[2]https://news.ycombinator.com/item?id=41631412[3]https://x.com/smokeawayyy/status/1838345566100820102[4]https://x.com/rauchg/status/1838005061332673008