一位在德里工作的IT從業人員收到一條短信,發件人自稱是大學時的老朋友。起初,他覺得這很蹊蹺。發件人自稱是印度行政服務官員,聲稱他的一位在準軍事部隊服役的朋友即將調任,需要“低價”出售一些高檔傢俱和家電。
這是一起典型的“軍隊調動”詐騙案, 也是印度普遍存在的網絡詐騙手段。但受害者並沒有拉黑對方號碼或上當受騙,而是決定利用常被指責為網絡犯罪分子提供便利的技術——人工智能——來反擊。
根據Reddit上發佈的詳細報告,網名為u/RailfanHS的用戶利用OpenAI的ChatGPT程序對一個追蹤網站進行了“氛圍編碼” 。這個陷阱成功獲取了騙子的位置信息和一張面部照片,導致雙方展開了一場激烈的網絡對峙,據說騙子在對峙中苦苦哀求。
雖然無法獨立核實 Reddit 用戶的身份,並且具體個人仍然匿名,但帖子中描述的技術方法已經過該平臺開發者和人工智能愛好者社區的審查和驗證。
該事件凸顯了“ 打擊詐騙”這一日益增長的趨勢——即精通技術的人引誘詐騙分子浪費時間或揭露其詐騙活動,這種私刑正義在生成式人工智能的幫助下不斷發展。
這起在印度廣為流傳的遭遇,開頭套路似曾相識。騙子發送商品照片和二維碼,要求預付款。用戶 u/RailfanHS 假裝掃描遇到技術問題,轉而求助於 ChatGPT。
他向人工智能聊天機器人輸入提示信息,使其生成一個模擬支付門戶的功能網頁。這段被描述為“80行PHP網頁”的代碼,實際上是秘密設計的,用於獲取訪客的GPS座標、IP地址和前置攝像頭拍攝的照片。
這種追蹤機制部分依賴於社會工程學,部分依賴於軟件漏洞。為了繞過瀏覽器通常會阻止靜默訪問攝像頭的安全功能,用戶告訴詐騙者他需要將二維碼上傳到鏈接中以“加快付款流程”。當詐騙者訪問該網站並點擊上傳圖像的按鈕時,瀏覽器提示他允許訪問攝像頭和位置信息——由於急於拿到錢,他在不知不覺中授予了這些權限。
“他被貪婪、急躁和對交易門戶網站的輕信矇蔽,點擊了鏈接,”用戶 u/RailfanHS 在 r/delhi 子版塊的帖子中寫道。“我立即獲得了他的實時 GPS 座標、IP 地址,最令人滿意的是,還有一張他坐著的清晰前置攝像頭照片。”
報復行動迅速展開。這位IT專業人士將竊取的數據發回給了詐騙者。據帖子所述,此舉立即引發了恐慌。詐騙者的電話被打爆,隨後又發來大量信息,懇求原諒並承諾金盆洗手。
“他現在苦苦哀求,堅稱他會徹底放棄這份工作,拼命請求再給他一次機會,”RailfanHS寫道。“不用說,他很可能下一小時就會去騙別人,但從竊賊手中偷東西的快感真是令人瘋狂。”
雖然網絡正義的戲劇性故事往往令人懷疑,但這次釣魚執法的技術基礎已得到該帖子中其他用戶的驗證。一位網名為 u/BumbleB3333 的用戶報告稱,他使用 ChatGPT 成功復現了“虛假 HTML 網頁”。他指出,雖然該人工智能有防止生成用於靜默監視的惡意代碼的防護措施,但它很容易生成看似合法的網站代碼,這些網站會請求用戶權限——而這正是騙子落網的原因。
“我用 ChatGPT 做了一個類似示例 HTML 網頁的東西。它會在徵得用戶許可後上傳圖片時獲取地理位置信息,”用戶 u/BumbleB3333 評論道,證實了這種破解方法的可能性。另一位用戶 u/STOP_DOWNVOTING 聲稱他生成了一個“符合倫理規範”的代碼版本,可以修改後實現類似的功能。
原帖作者在評論中自稱是人工智能產品經理,他承認自己必須使用特定的提示語才能繞過 ChatGPT 的一些安全限制。“我習慣用正確的提示語繞過這些限制,”他說道,並補充說他將腳本託管在虛擬專用服務器上。
網絡安全專家警告說,雖然這種“黑客反擊”令人滿足,但它們遊走在法律灰色地帶,存在風險。不過,這確實很誘人——而且也頗具觀賞性。
