[资安人文章分享] 留意被动支出！假 ChatGPT 应用程式骗取订阅费

Sophos发现多个 App 假扮成合法的 ChatGPT 型聊天机器人并向用户收取费用，每月赚取数千美元的收入。Sophos X-Ops 最新报告《骗钱软体锁定对 AI 好奇的用户并赚取现金》中揭露，这些 App 已经出现在 Google Play 和 Apple App Store 中。由于它们的免费版本几乎没有功能且经常出现广告，促使毫不知情的用户支付每年可能达数百美元的订阅费用。

Sophos 首席威胁研究员 Sean Gallagher 表示：「诈骗集团总是利用最新的趋势或技术来填满自己的口袋，ChatGPT 出现后也不例外。随著近来人们对人工智慧和聊天机器人的兴趣达到历史高峰，使用者会到 Apple 应用商店和 Google Play 商店下载任何看起来像是 ChatGPT 的东西。这些被 Sophos 称为骗钱软体 (fleeceware) 的诈骗 App 通常会向使用者不断地投放广告，直到他们订阅为止。诈骗分子赌使用者不会注意到费用，或是会忘记自己已经订阅了这个服务。这些 App 被特意设计成在免费试用后就没有太多实用价值，所以使用者会删除它们，但不会意识到他们仍需支付每月或每周的费用。」

Sophos X-Ops 总共调查了五个这种类型的 ChatGPT fleeceware App，它们都声称使用了 ChatGPT 的演算法。就像其中一支「Chat GBT」App 一样，开发者利用神似 ChatGPT 的名字来提高该 App 在 Google Play 或 App Store 中的排名。尽管 OpenAI 为使用者提供的 ChatGPT 基本功能是免费的，但这些骗钱软体的收费却是从每月 10 美元到每年 70 美元不等。「Chat GBT」的 iOS 版本称为「Ask AI Assistant」，在免费试用三天后每周收费 6 美元，亦即每年 312 美元。仅在 3 月这一个月，它就为开发者带来了 1 万美元的收入。另一支类似 fleeceware 的 App 名为「Genie」，鼓励使用者以每周 7 美元或每年 70 美元的费用订阅，过去一个月已经赚了 100 万美元。

这些骗钱软体的主要特徵是用超高价格向使用者收取在其他地方免费提供的功能，并用社交工程和强制策略说服使用者使用自动订阅付款。Sophos 在 2019 年首次发现了这种骗钱软体。通常，这些 App 会提供免费试用但是充满广告和许多限制。除非付费订阅，否则它们几乎无法使用。此外这些 App 程式通常品质不佳，即使使用者转换成付费版本后，App 的功能也不够理想。诈骗分子还会透过假评论和要求使用者在使用之前或免费试用结束之前就给出评价，以提高该 App 在应用程式商店中的评等。

Gallagher 说：「这些骗钱软体被设计成在 Google 和 Apple 服务规范的边缘地带游走，它们不会违反安全或隐私规则，因此在接受审查时几乎不会被拒绝。自从我们在 2019 年揭露此类应用程式以来，Google 和 Apple 已经实施了新的指导方针来遏制它们，但开发者仍会寻找绕过这些政策的方法，例如严格限制应用程式的使用和功能，直到用户付款。虽然本报告中的某些 ChatGPT 骗钱软体已经被下架，但仍会更多后继者继续出现。最好的保护是教育使用者。使用者需要意识到这些应用程式的存在，并在按下『订阅』前要仔细阅读条款。如果使用者认为开发人员使用不道德的手段谋取利益，他们也可以向 Apple 和 Google 举报应用程式。」

报告中提到的所有应用程式都已经回报给 Apple 和 Google。已经下载这些应用程式的用户应该遵循 App Store 或 Google Play 商店的指引来「取消订阅」。单是删除这些骗钱软体并不等于取消订阅。

原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10477