Một tiện ích trình duyệt Chrome mạo danh ChatGPT có thể đánh cắp tài khoản Facebook của những người dùng nhẹ dạ cả tin.

Người dùng Facebook và Chrome đang trở thành mục tiêu của một tiện ích mở rộng giả mạo chatbot ChatGPT. Ngày 8/3, nhà nghiên cứu bảo mật Nati Tal đến từ Guardio Labs cho biết tiện ích có tên “Quick Access to ChatGPT” có thể đánh cắp tài khoản Facebook và cài đặt cửa hậu ẩn.

Quy trình hoạt động của tiện ích “Quick Access to ChatGPT”. Ảnh:  Guardio Labs

Trong bài viết trên Medium, Tal cũng lưu ý cửa hậu cho phép kẻ xấu chiếm quyền siêu-admin. Tiện ích còn khai thác cookies trình duyệt của nạn nhân. Sau khi chiếm đoạt thành công, chúng sẽ xuất bản nhiều bài viết được tài trợ và các hoạt động khác trên tài khoản, sử dụng tín dụng đối với tài khoản doanh nghiệp.

Một khi khai thác được dữ liệu, tin tặc sẽ bán cho những người trả giá cao hơn.

Hàng nghìn tài khoản Facebook có thể đã bị xâm phạm thành công trong chiến dịch độc hại. Từ khi tiện ích xuất hiện vào ngày 3/3, hơn 2.000 người đã cài đặt “Quick Access to ChatGPT” mỗi ngày. Đáng chú ý, bị đánh cắp tài khoản không phải là thiệt hại duy nhất với nạn nhân mà kéo theo nhiều hệ lụy khác.

Google đã gỡ bỏ tiện ích khỏi Google Chrome Store sau khi nhận được báo cáo. Chưa rõ bao nhiêu người bị ảnh hưởng từ chiến dịch. Tuy nhiên, cả Google và Facebook đều không phát hiện ra hoạt động đáng ngờ của “Quick Access to ChatGPT” dù lượng người cài đặt hàng ngày tương đối cao.

Chatbot ChatGPT của OpenAI ra mắt thị trường vào cuối năm 2022 và nhanh chóng trở thành hiện tượng công nghệ toàn cầu. Cùng với sự phổ biến này, tên tuổi của ChatGPT liên tục bị tội phạm mạng lợi dụng để giành được lòng tin của các nạn nhân tiềm năng.

Chẳng hạn, tìm kiếm trên nền tảng giao dịch tiền mã hóa DEXTools, phát hiện 287 token chứa “ChatGPT” trong tên, bất chấp OpenAI chưa bao giờ thông báo tham gia vào lĩnh vực tiền số. Các token không hề liên quan đến công cụ AI nổi tiếng. Chúng có thể kéo nhà đầu tư nhẹ dạ vào kịch bản lừa đảo “bơm thổi” giá của mình. Hãng bảo mật blockchain Peckshield tìm ra hàng chục token “BingChatGPT” mới. Ít nhất một trong số đó này do một kẻ khét tiếng lừa đảo sáng lập.

Vì vậy, người dùng nên giữ cảnh giác dù đó là token liên quan đến ChatGPT, tiện ích mở rộng ChatGPT để tránh bị đánh cắp tiền và dữ liệu.

(Theo CNBC, MUO)

Theo Du Lam (VietNamNet)