СИНГАПУР - Когда 14 мая мисс Хо Си Пин проверила свой банковский счет в OCBC, студентка была ошеломлена, узнав, что за несколько транзакций в течение двух дней с подписки на ChatGPT было списано в общей сложности 137 долларов.
Но 19-летний студент никогда не подписывался на платную версию программы искусственного интеллекта OpenAI, которая была запущена в феврале и стоит 20 долларов США (S $ 27) в месяц.
Она входит в число растущей группы держателей кредитных и дебетовых карт в Сингапуре и за рубежом, которые невольно подверглись платежам со стороны законных фирм, включая OpenAI и Apple, через мошенников.
Компания по кибербезопасности Palo Alto Networks также зафиксировала всплеск атак на тему ChatGPT в период с ноября 2022 по апрель, согласно результатам ее исследования, в период с ноября 2022 по апрель было зарегистрировано более 100 вредоносных URL-адресов, связанных с ChatGPT, и множество фишинговых URL-адресов, пытающихся выдавать себя за официальные сайты OpenAI.
С января полиция получила четыре сообщения о том, что OpenAI или ChatGPT совершали такие несанкционированные транзакции, хотя Агентство кибербезопасности Сингапура (CSA) заявило, что не получало никаких сообщений о мошеннических транзакциях, связанных с подписками ChatGPT.
CSA и эксперты по кибербезопасности заявили, что такие мелкие транзакции могли использоваться киберпреступниками для идентификации или проверки данных дебетовых и кредитных карт перед совершением крупных транзакций, и посоветовали потребителям устанавливать оповещения об этих транзакциях в своих аккаунтах.
После обнаружения пяти транзакций ChatGPT, датированных 11 и 12 мая, госпожа Хо связалась с OCBC, которая в конечном итоге вернула ей сумму, аннулировала ее карту и подала заявление в полицию.
“Я зарегистрировала бесплатную учетную запись на ChatGPT, но я никогда не вводила данные своей карты на веб-сайте ChatGPT”, - сказала она.
Клиенты других местных банков, включая POSB, DBS Bank и UOB, обнаружили аналогичные транзакции на своих счетах.
Владелица кредитной карты DBS, которая хотела, чтобы ее называли только миссис Лоу, сказала, что с несуществующего веб-сайта с нее сняли 40 долларов США, и сообщила об инциденте банку в мае.
“(банк) не объяснил, как происходили транзакции, и просто аннулировал мою карту и перевыпустил мне новую”, - сказала 28-летняя куратор, добавив, что она получила возмещение и не стала подавать заявление в полицию, поскольку это была небольшая сумма.
Другие пользователи обратились к платформам социальных сетей, таким как Reddit, TikTok и Xiaohongshu, чтобы выразить свои жалобы по поводу несанкционированных платежей со своих местных банковских счетов.
Мисс Хо Си Пин была ошеломлена, узнав, что за несколько транзакций в течение двух дней с абонентов ChatGPT было списано в общей сложности 137 долларов.
29 мая создатель контента Дейзи Энн Митчелл опубликовала на TikTok сообщение о том, что она потеряла 205 долларов за восемь дней из-за 28 небольших транзакций, включая платежи в размере 1 и 3 долларов, совершенных с ее учетной записи POSB в Apple.
В четверг пользовательница Reddit, которая хотела, чтобы ее называли мисс Тан, сообщила, что потеряла 79 долларов из-за шести несанкционированных транзакций с различными фирмами, совершенных с помощью дебетовой карты UOB.
“Люди, которые не пользуются предоставленными дебетовыми картами, особенно запасными, которые выдают банки, не ожидают, что по ним будут совершаться какие-либо транзакции, и, следовательно, могут по праву быть совершенно не осведомлены о таких транзакциях. И я не думаю, что большинство людей осознают, что эти дебетовые карты могут быть скомпрометированы, даже не выходя из дома, ни физически, ни в цифровом виде ”, - сказал 28-летний пользователь Straits Times в пятницу.
Г-н Ян Лим, директор по безопасности Palo Alto Networks на местах, сказал, что эти данные карты могли быть получены в результате атаки с использованием банковского идентификационного номера (BIN), когда мошенники используют первые шесть цифр кредитной карты и используют программное обеспечение для генерации остальных цифр, а также значения для подтверждения карты или CVV и сроков годности.
Г-н Лим сказал: “Затем полностью сгенерированные номера проверяются на соответствие реальным транзакциям, чтобы убедиться, что карта все еще действительна”.
Создатель контента Дейзи Энн Митчелл опубликовала на TikTok сообщение о том, что за восемь дней она потеряла 205 долларов из-за 28 мелких транзакций.
Кроме того, большинство торговых точек не требуют от пользователя предоставления двух или более факторов подтверждения для совершения транзакций, не требующих физических карт, для упрощения использования, сказал г-н Лим, отметив, что количество атак с использованием BIN растет одновременно с онлайн-покупками.
Это позволяет автоматам emuneration генерировать различные комбинации цифр без необходимости одобрения клиентами каждой из этих транзакций. Мошенническая транзакция считается успешной, если номер дебетовой или кредитной карты, сгенерированный методом проб и ошибок, работает.
Мошеннические транзакции также могут иметь место, когда киберпреступники используют данные карты в результате утечки данных или когда данные клиента украдены с незащищенного веб-сайта, сказал г-н Бивер Чуа, глава отдела по борьбе с мошенничеством OCBC Bank, группа по борьбе с финансовыми преступлениями.
Представитель CSA заявил, что такие методы проверки данных карт не новы, и посоветовал населению немедленно информировать свое финансовое учреждение и полицию о мошеннических или подозрительных транзакциях.
Представитель Валютного управления Сингапура (MAS) заявил, что клиенты не будут нести ответственности за несанкционированные транзакции, если продавец не потребовал от потребителей авторизации онлайн-транзакций по картам с использованием одноразового пароля.
Однако ответственность за активацию аутентификации 3D Secure (3DS) лежит на продавцах, что является дополнительным шагом, требующим от клиента ввести пароль, связанный с картой, или код, отправленный на его телефон на веб-сайте своего банка, прежде чем можно будет произвести платеж.
Продавцы могут отказаться от 3DS, поскольку такие дополнительные шаги при покупке могут повлиять на доход и объем продаж, по словам г-на Йео Сианг Тонга, генерального менеджера Kaspersky по кибербезопасности в Юго-Восточной Азии.
Другим могла потребоваться аутентификация 3DS только для более крупных транзакций, сказал он, что означает, что транзакции на сумму от 20 до 30 долларов могли обойти эту проверку.
Г-н Йео сказал: “Этот небольшой вычет стоимости - еще одна тактика, которую используют преступники, чтобы отвести подозрения от жертв”.
OCBC, UOB и DBS посоветовали клиентам обезопасить себя, регулярно отслеживая свои транзакции и знакомясь с мерами безопасности, например, как временно заблокировать свои карты.
Представитель DBS сказал: “У большинства уважаемых онлайн-продавцов включена функция 3D Secure. Для большего спокойствия клиенты всегда должны пытаться совершать сделки с этими продавцами и быть осведомленными о протоколах безопасности карт, чтобы дополнительно защитить себя”.
Но 19-летний студент никогда не подписывался на платную версию программы искусственного интеллекта OpenAI, которая была запущена в феврале и стоит 20 долларов США (S $ 27) в месяц.
Она входит в число растущей группы держателей кредитных и дебетовых карт в Сингапуре и за рубежом, которые невольно подверглись платежам со стороны законных фирм, включая OpenAI и Apple, через мошенников.
Компания по кибербезопасности Palo Alto Networks также зафиксировала всплеск атак на тему ChatGPT в период с ноября 2022 по апрель, согласно результатам ее исследования, в период с ноября 2022 по апрель было зарегистрировано более 100 вредоносных URL-адресов, связанных с ChatGPT, и множество фишинговых URL-адресов, пытающихся выдавать себя за официальные сайты OpenAI.
С января полиция получила четыре сообщения о том, что OpenAI или ChatGPT совершали такие несанкционированные транзакции, хотя Агентство кибербезопасности Сингапура (CSA) заявило, что не получало никаких сообщений о мошеннических транзакциях, связанных с подписками ChatGPT.
CSA и эксперты по кибербезопасности заявили, что такие мелкие транзакции могли использоваться киберпреступниками для идентификации или проверки данных дебетовых и кредитных карт перед совершением крупных транзакций, и посоветовали потребителям устанавливать оповещения об этих транзакциях в своих аккаунтах.
После обнаружения пяти транзакций ChatGPT, датированных 11 и 12 мая, госпожа Хо связалась с OCBC, которая в конечном итоге вернула ей сумму, аннулировала ее карту и подала заявление в полицию.
“Я зарегистрировала бесплатную учетную запись на ChatGPT, но я никогда не вводила данные своей карты на веб-сайте ChatGPT”, - сказала она.
Клиенты других местных банков, включая POSB, DBS Bank и UOB, обнаружили аналогичные транзакции на своих счетах.
Владелица кредитной карты DBS, которая хотела, чтобы ее называли только миссис Лоу, сказала, что с несуществующего веб-сайта с нее сняли 40 долларов США, и сообщила об инциденте банку в мае.
“(банк) не объяснил, как происходили транзакции, и просто аннулировал мою карту и перевыпустил мне новую”, - сказала 28-летняя куратор, добавив, что она получила возмещение и не стала подавать заявление в полицию, поскольку это была небольшая сумма.
Другие пользователи обратились к платформам социальных сетей, таким как Reddit, TikTok и Xiaohongshu, чтобы выразить свои жалобы по поводу несанкционированных платежей со своих местных банковских счетов.
Мисс Хо Си Пин была ошеломлена, узнав, что за несколько транзакций в течение двух дней с абонентов ChatGPT было списано в общей сложности 137 долларов.
29 мая создатель контента Дейзи Энн Митчелл опубликовала на TikTok сообщение о том, что она потеряла 205 долларов за восемь дней из-за 28 небольших транзакций, включая платежи в размере 1 и 3 долларов, совершенных с ее учетной записи POSB в Apple.
В четверг пользовательница Reddit, которая хотела, чтобы ее называли мисс Тан, сообщила, что потеряла 79 долларов из-за шести несанкционированных транзакций с различными фирмами, совершенных с помощью дебетовой карты UOB.
“Люди, которые не пользуются предоставленными дебетовыми картами, особенно запасными, которые выдают банки, не ожидают, что по ним будут совершаться какие-либо транзакции, и, следовательно, могут по праву быть совершенно не осведомлены о таких транзакциях. И я не думаю, что большинство людей осознают, что эти дебетовые карты могут быть скомпрометированы, даже не выходя из дома, ни физически, ни в цифровом виде ”, - сказал 28-летний пользователь Straits Times в пятницу.
Г-н Ян Лим, директор по безопасности Palo Alto Networks на местах, сказал, что эти данные карты могли быть получены в результате атаки с использованием банковского идентификационного номера (BIN), когда мошенники используют первые шесть цифр кредитной карты и используют программное обеспечение для генерации остальных цифр, а также значения для подтверждения карты или CVV и сроков годности.
Г-н Лим сказал: “Затем полностью сгенерированные номера проверяются на соответствие реальным транзакциям, чтобы убедиться, что карта все еще действительна”.
Создатель контента Дейзи Энн Митчелл опубликовала на TikTok сообщение о том, что за восемь дней она потеряла 205 долларов из-за 28 мелких транзакций.
Кроме того, большинство торговых точек не требуют от пользователя предоставления двух или более факторов подтверждения для совершения транзакций, не требующих физических карт, для упрощения использования, сказал г-н Лим, отметив, что количество атак с использованием BIN растет одновременно с онлайн-покупками.
Это позволяет автоматам emuneration генерировать различные комбинации цифр без необходимости одобрения клиентами каждой из этих транзакций. Мошенническая транзакция считается успешной, если номер дебетовой или кредитной карты, сгенерированный методом проб и ошибок, работает.
Мошеннические транзакции также могут иметь место, когда киберпреступники используют данные карты в результате утечки данных или когда данные клиента украдены с незащищенного веб-сайта, сказал г-н Бивер Чуа, глава отдела по борьбе с мошенничеством OCBC Bank, группа по борьбе с финансовыми преступлениями.
Представитель CSA заявил, что такие методы проверки данных карт не новы, и посоветовал населению немедленно информировать свое финансовое учреждение и полицию о мошеннических или подозрительных транзакциях.
Представитель Валютного управления Сингапура (MAS) заявил, что клиенты не будут нести ответственности за несанкционированные транзакции, если продавец не потребовал от потребителей авторизации онлайн-транзакций по картам с использованием одноразового пароля.
Однако ответственность за активацию аутентификации 3D Secure (3DS) лежит на продавцах, что является дополнительным шагом, требующим от клиента ввести пароль, связанный с картой, или код, отправленный на его телефон на веб-сайте своего банка, прежде чем можно будет произвести платеж.
Продавцы могут отказаться от 3DS, поскольку такие дополнительные шаги при покупке могут повлиять на доход и объем продаж, по словам г-на Йео Сианг Тонга, генерального менеджера Kaspersky по кибербезопасности в Юго-Восточной Азии.
Другим могла потребоваться аутентификация 3DS только для более крупных транзакций, сказал он, что означает, что транзакции на сумму от 20 до 30 долларов могли обойти эту проверку.
Г-н Йео сказал: “Этот небольшой вычет стоимости - еще одна тактика, которую используют преступники, чтобы отвести подозрения от жертв”.
OCBC, UOB и DBS посоветовали клиентам обезопасить себя, регулярно отслеживая свои транзакции и знакомясь с мерами безопасности, например, как временно заблокировать свои карты.
Представитель DBS сказал: “У большинства уважаемых онлайн-продавцов включена функция 3D Secure. Для большего спокойствия клиенты всегда должны пытаться совершать сделки с этими продавцами и быть осведомленными о протоколах безопасности карт, чтобы дополнительно защитить себя”.
Что клиенты могут сделать, чтобы защитить себя от мошеннических списаний
- Вы можете рассмотреть возможность использования службы защиты от кражи личных данных для мониторинга своих учетных записей и предоставления вариантов возмещения в случае кражи личных данных.
- Настройте оповещения о транзакциях на суммы от 0,01 доллара в приложении вашего банка.
- Регулярно проверяйте выписки по своим картам. Если вы видите какие-либо несоответствия или получаете уведомления по SMS / push / электронной почте о транзакциях, которые вы не совершали, вам следует уведомить банк немедленно или в течение семи дней после получения выписки по вашим картам.
- Если вам известно о несанкционированной транзакции, незамедлительно сообщите об этом своему банку.
- Вы также можете временно заблокировать свои карты с помощью банковских приложений. Банки рассмотрят дело, если будут основания для спора, и помогут вам направить сообщение о споре в Visa или Mastercard.
