ChatGPT 的热度不减，追随者被网络钓鱼

ChatGPT迅速发布了版本4，网页版用户登录后发现仍然只能使用3.5版本。这是因为OpenAI 仅通过其 API 向 ChatGPT Plus 订阅者和开发人员提供 GPT-4 访问权限。然而心急的测试者被其出神入化的新能力所吸引，往往急于一探究竟。

这种心态已经被网络钓鱼者所利用。

3月16日，有一些用户收到了一封仿冒 OpenAI 官方模板的邮件：

这封邮件看起来非常“官方”。遗憾的是，这封本来伪装性很高的邮件，却不太像是在英语国家的受过基本教育的人所写的，因为其中有不少语法和拼写错误，内容读起来很别扭，这是钓鱼者的失误。

邮件说GPT-4“现在只对拥有 OpenAI 令牌的人开放”。这与 OpenAI 官方限制 GPT-4 访问暗合。OpenAI通过 API 向 ChatGPT Plus 用户和开发人员提供 GPT-4 访问权限。

虚假加密货币通过社交媒体“促销”并不新鲜，网络钓鱼者不一定已经得到了OpenAI 用户清单。可能是利用从 SendGrid 获得的非法数据设法建立了一个邮件列表，这些数据暴露了加密税务服务CoinTracker 用户的信息。

一旦用户点击网络钓鱼电子邮件中的链接，他们将被定向到一个看起来与 ChatGPT 和 GPT-4 的OpenAI 官网非常相似的网站。

假冒网站在明显位置宣传“限时 OpenAI DEFI Token发放”。假冒网站称 OpenAI 令牌的持有者将获得独家访问权，以在公开发布之前预览“即将推出的产品”和测试原型。还指定 OpenAI 代币将使用 $OAI 代币符号。

钓鱼者使用像“限时”“稀缺”这样的术语。声明在“有限”时间内分发“有限”数量的Token从而产生紧迫感。使得受害者放松警惕，忽略那些明显的错误，例如错误的日期（星期二是 3 月 14 日，而不是 3 月 16 日）或者去中心化金融应该缩写为 DeFi 而不是 DEFI .

这个钓鱼网站域名 URL 的前半部分很像是主域是“openai.com”。这是通过使用子域“openai”和二级“.com-token”后跟顶级域“.info”来伪装的。

将被钓鱼者的钱包连接到钓鱼网站

为了“领取”所谓的OpenAI Token，用户被指示点击“点击这里认领”的按钮，将你的钱包连接到其他网站的选项。大多数加密货币用户都熟悉这个过程，他们经常将钱包连接到去中心化应用程序或简称为dApps 。因为这是一个熟悉的过程，一般人到此都会毫不犹豫地将他们的钱包连接到这个钓鱼网站。用户可以选择使用流行的基于浏览器的加密货币钱包MetaMask或WalletConnect进行连接，这是一种将 170 多个钱包连接到 dApp 的方法。连接后，钓鱼网站能够自动窃取钱包中的所有加密货币代币，包括不可替代Token (NFT)，方法是将它们转移到自己的钱包中。一旦这些Token被转移，拿回来的可能性就微乎其微了。