“7天内不更新付款方式,你的ChatGPT Plus就要降级了。”——2026年5月5日,一批打着ChatGPT旗号的邮件开始在南非密集投放,发件人栏赫然显示着“ChatGPT”。微软安全团队随后介入分析,结果发现这并非孤例,而是一波围绕AI品牌展开的规模化社会工程攻击。
微软在2026年6月发布的威胁报告中指出,ChatGPT、Claude、DeepSeek乃至微软自家的Copilot,都已在近期被攻击者反复冒充。手法的核心不是技术漏洞,而是利用人们对AI工具付费模式和账号安全机制的熟悉度正在形成、但警惕心尚未建立的时间窗口。
报告披露了两种主要攻击形态。一类是传统的品牌钓鱼邮件,另一类则是通过广告位投放来诱导用户下载伪装成AI插件的恶意程序——也就是所谓的“恶意广告攻击”。两种手法共享同一套底层逻辑:让受害者以为自己正在为一个熟悉的AI服务完成某项必要操作。
先说邮件钓鱼。微软捕获的ChatGPT仿冒邮件使用了“ChatGPT Plus的付款方式需要更新”这一话术,邮件标题直接呼应,顶部赫然嵌入ChatGPT的Logo。正文警告收件人,如果在7天内不绑定有效的支付方式,账户将从付费版跌落回免费版。
这封邮件在南非一地就被发送了4500封。但追踪同一个模板和基础设施后,微软发现背后还有更广的投放网络。在瑞士、奥地利和南非同时展开的一轮大规模群发中,单日最高峰竟达到10万封。攻击者在短时间内追求的是覆盖密度,而不是精准命中。
邮件的交互链路被刻意拉得很长。收件人点击“Update payment method”按钮后,不会立刻到达钓鱼页面,而是先跳转到一家正规的客户管理服务平台,再经由Amazon的邮件打开与点击追踪域名进行中转,接着通过短链接服务Rebrandly,经历多层跳转后,最终才落到非官方域名的“/ChatGPT/”目录下。
微软对此的解释是,多层重定向既能干扰邮件安全网关的自动判断,也容易让普通用户产生“这个链接应该是真的”的错觉。攻击者在经过多次中转后,进入仿冒页面时反而刻意放慢了节奏。
落地页并没有一上来就展示信用卡输入框。它首先呈现的是一个伪装成验证环节的页面,只有一个按钮,写着“Update payment”。用户点击之后,才会进入依次填写姓名、地址的表单。最后一步才是要求提交持卡人姓名、卡号、有效期和CVV安全码。微软分析,这种分段诱导的设计大概率是为了验证“正在操作的是活人”,防止自动化脚本批量提交。
ChatGPT并不是唯一被打着旗号使用的品牌。2026年4月20日到22日之间,另一轮攻击把主角换成了Claude,连诈骗剧本也换了。微软监测到,有超过2000个组织收到了冒充Anthropic相关服务的邮件,重点目标集中在美国、英国和印度,受害机构多分布在信息技术、商业服务和金融三个行业。
这批邮件的内文不再谈“付款方式更新”,而是转而使用“利用規約違反への異議申し立て”这一说辞——通知收件人,因其账号被认定违反了可接受使用政策(AUP),现在需要提交申诉。邮件整体采用HTML排版,视觉风格刻意模仿Anthropic与Claude的官方样式。
正文之外,邮件还附加了一个PDF文件,文件名被设定为“Fill and Sign Claude Appeal Form.pdf”(Claude申述表)。PDF里的指令是:先复制申述ID,再点击页面上的“Claude Appeal”链接。
点击PDF内嵌链接后,访问者并不会直接到达最终页面,而是先被引入攻击者掌控的域名,并看到一张仿冒Cloudflare验证界面的掩护页面。通过这层所谓的验证之后,用户会进入一个模仿Claude风格的“Account Security & Compliance”页面,页面提示要复制一段访问代码并继续前进。
微软判断,这一整套带有验证环节的流程,很可能就是为了阻挡自动化扫描器,让真正的个人用户能够更顺利地进入陷阱深处。在微软进行分析时,最后一步页面已经下线,但在源码中仍能发现条件判断逻辑:根据设备是移动端还是桌面端,会将受害者导向不同的钓鱼落地页。
整合多个案例里的共享中转域名与类似的跳转策略之后,微软给出了一个更完整的攻击链条推演。钓鱼的最终目的地很可能是仿冒微软登录界面的页面,攻击者在此部署中间人攻击(AiTM)来窃取认证令牌。也就是说,无论在表层模仿的是ChatGPT还是Claude,本质目标都不是单纯偷信用卡,还包括劫持账户凭证。
AI品牌的滥用范围还在向外溢出,延伸到了广告分发环节。微软提到的“恶意广告攻击”案例,发生在免费电影流媒体网站上。用户点击视频播放器中的播放按钮,或者尝试关闭弹窗广告时,会被强引导至一个推广页面,兜售一款名为“Awesome AI Windows Plugin”的工具。
这个插件名听起来像是一套能为系统叠加AI能力的增强工具,但现实中并不存在。它的作用就是一个唬人的外壳。微软将此攻击行为关联到一个代号为Storm-3075的犯罪团伙,并指出该团伙在活动中扮演着“初期访问代理”的角色——即负责为其他攻击者建立入侵的入口,并出售这种立足点。
仅仅在2026年3月13日单日的一次活动中,就有超过66000台设备被暴露在这一恶意广告的传播范围内。下载链接最终指向的是一个托管在GitHub上、文件夹名带有AI色彩的恶意文件“ProFluxeFlowAi-win-Setup.exe”。这个可执行文件还被套上了一个来路不正的代码签名证书,签发方信息显示的是Microsoft。
微软整份报告勾勒的图景相当清晰:攻击者正在体系化地收割AI热点带来的信任红利。品牌被冒用这件事本身并不新鲜,但此轮AI主题攻击的操作节奏明显在加快——从早期单点钓鱼邮件,到引入多层中继、身份验证伪装、PDF欺骗,再到结合恶意广告与初期访问代理建立攻击前哨,整个过程在数月内便完成了迭代。
热门跟贴