เมื่อเร็วๆ นี้ ผู้ใช้ Claude AI หลายรายได้ออกมาเตือนในชุมชน Facebook และโพสต์บน Reddit ว่าบัตรเครดิตที่ผูกกับบัญชีของ Anthropic ถูกขโมยไปทํารายการโดยไม่ได้รับอนุญาตอย่างถี่ถ้วน ผู้โจมตีใช้ฟังก์ชัน “การสมัครสมาชิกของขวัญ (Gift)” ของแพลตฟอร์มเพื่อทำการใช้จ่ายเป็นจำนวนมาก ผู้เสียหายหลายรายจากไต้หวัน แคนาดา และสหรัฐอเมริการายงานว่ามีความเสียหายมากกว่าสิบกว่าหมื่นดอลลาร์ไต้หวัน (NTD) จนเป็นที่สนใจจากสาธารณชน
Google ขยายปลั๊กอินที่เป็นอันตรายแฝงอยู่นานถึง 3 ปี คอยหลบเลี่ยงรหัสผ่านและการยืนยันแบบสองขั้นตอนอย่างลับๆ
คุณ Hong จากไต้หวัน ผู้เสียหาย ได้โพสต์เปิดเผยเหตุการณ์ดังกล่าวในกลุ่ม Facebook ของ Claude Taiwan โดยระบุว่าสาเหตุหลักมาจากระหว่างที่เขาดาวน์โหลดซอฟต์แวร์ในเดือนเมษายน 2023 ซึ่งไม่รู้ตัวว่าร่วมติดตั้งปลั๊กอิน Chrome ที่เป็นอันตรายชื่อ “Start New Tab Search” ปลั๊กอินดังกล่าวอยู่ในตระกูล Adware.NewTab และแฝงตัวอยู่นานถึงสามปีจนถึงปัจจุบัน
ส่วนปลั๊กอินนี้มีสิทธิ์ในการดักจับคำขอ HTTP คอยขโมย cookie และ session token ของผู้ใช้ต่อเนื่องในเบื้องหลัง เมื่อผู้โจมตีได้ session token ที่ใช้งานได้แล้ว ก็ไม่จำเป็นต้องใช้รหัสผ่านของบัญชีหรือผ่านการยืนยันแบบสองขั้นตอน (2FA) แต่อย่างใด ก็สามารถทำการใช้จ่ายผ่านบัญชีของผู้ใช้ได้ทันที นี่จึงเป็นเหตุผลหลักที่มาตรการหลังเกิดเหตุของผู้เสียหาย เช่น การยกเลิกบัตร เปลี่ยนรหัสผ่าน เปิดใช้งาน 2FA ฯลฯ กลับไม่สามารถหยุดยั้งได้ทั้งหมด
ภายใน 3 วัน ถูกหักเงิน 4 รายการ แม้เปลี่ยนบัตรก็ไม่ช่วย เผยช่องโหว่ในอินเทอร์เฟซของ Anthropic
คุณ Hong ระบุว่า ในช่วงเวลาประมาณเที่ยงคืนของวันที่ 16 เมษายน เขาพบว่าบัญชีถูกตัดเงินอัตโนมัติเพื่อซื้อแพ็กเกจ “Gift Max 5X” ถึงแม้เขาจะรีบดำเนินการมาตรการความปลอดภัยมาตรฐานทั้งหมดทันที ได้แก่ ยกเลิกบัตร เปลี่ยนรหัสผ่าน เปิดใช้งานการยืนยันแบบสองขั้นตอน ออกจากระบบทุกอุปกรณ์ เพิกถอน API Keys และเปลี่ยนไปใช้วิธีชำระเงินใหม่ แต่การโจรกรรมยังคงเกิดขึ้นต่อเนื่องจนถึงวันที่ 20 เมษายน
ท้ายที่สุด คุณ Hong ถูกตัดเงินสำเร็จ 4 รายการ รวมความเสียหาย 400 ดอลลาร์สหรัฐ ในช่วงเวลาดังกล่าว มือถือของเขายังคงได้รับข้อความยืนยัน Mastercard 3D และรหัสยืนยันของ Stripe แสดงให้เห็นว่าผู้โจมตีพยายามจะทำรายการตัดเงินซ้ำอีกครั้งด้วยบัตรใบใหม่
เขากังวลว่า หน้าอินเทอร์เฟซการเรียกเก็บเงินของ Anthropic ไม่มีตัวเลือก “นำบัตรเครดิตออก” มีเพียง “อัปเดตวิธีการชำระเงิน (Update)” เท่านั้น ทำให้ผู้ใช้ไม่สามารถยกเลิกการผูกบัตรกับบัญชีได้
ผู้เสียหายทั้งในและต่างประเทศออกมาให้ข้อมูลพร้อมกัน และ Reddit ก็มีเคสการโจรกรรมด้วยบัตร
น่าสังเกตคือ ผู้ใช้ชาวแคนาดารายหนึ่งได้โพสต์ใน Reddit ฝั่ง r/ClaudeAI เช่นกัน โดยระบุว่าบัญชีของเขาถูกซื้อด้วยบัตรเครดิตเพื่อสมัครสมาชิกของขวัญ “Gift Max 20x” ทำให้เสียหายราว 950 ดอลลาร์แคนาด (ประมาณ 700 ดอลลาร์สหรัฐ) และยังมีการถูกตัดเงินหลายรายการเกิดขึ้นต่อเนื่องเช่นเดียวกัน
เขาระบุว่า เว็บไซต์รีวิวการชำระเงิน Trustpilot ก็มีผู้ใช้หลายรายจากเนเธอร์แลนด์ สหราชอาณาจักร และสหรัฐอเมริการายงานเคสลักษณะเดียวกัน
ฝ่ายบริการลูกค้าของ Anthropic ดูเหมือนจะไม่มีประสิทธิภาพ ติดต่อบริษัทบัตรเครดิตคือช่องทางช่วยเหลือตัวเองที่เร็วที่สุด
ผู้เสียหายทั้งสองต้องเผชิญกับปัญหาเดียวกัน: การสนับสนุนลูกค้า support@anthropic.com ของ Anthropic โดยทั่วไปแทบไม่สามารถช่วยเหลืออย่างทันท่วงทีได้ หลังจากคุณ Hong แจ้งเรื่องในวันที่ 18 เมษายน ต่อมาเขายังส่งเอกสารชี้แจงเพิ่มอีก 4 ฉบับ แต่ภายใน 72 ชั่วโมงก็ไม่มีการตอบกลับจากบุคคลจริงใดๆ มีเพียงการตอบอัตโนมัติของ Fin AI Agent เท่านั้น ผู้ใช้ในแคนาดาก็ระบุเช่นกันว่า ประสิทธิภาพของการช่วยเหลือของ Fin AI แย่มาก
ขณะนี้ ทั้งสองคนได้หันไปขอให้บริษัทผู้ออกบัตรดำเนินการโต้แย้งรายการ (chargeback) แล้ว ซึ่งกลายเป็นวิธีช่วยเหลือตัวเองที่ผู้เสียหายใช้เพื่อหยุดความเสียหายได้เร็วที่สุด คุณ Hong ยังแนะนำเพิ่มเติมว่า หากต้องการติดต่อทีมของ Anthropic อาจส่งอีเมลไปยัง usersafety@anthropic.com และ disclosure@anthropic.com พร้อมกัน เพื่อโอกาสที่จะได้รับการตอบกลับที่ตรงกว่าทางอื่น
จะป้องกันตัวอย่างไร? ตรวจสอบบัญชี Claude ของคุณทันที 3 ขั้นตอน
เมื่อเผชิญกับการโจมตีที่กำลังขยายตัวอย่างต่อเนื่อง ผู้เสียหายเรียกร้องให้ผู้ใช้ Claude ทุกคนรีบใช้มาตรการป้องกันต่อไปนี้ทันที
ขั้นแรก ให้เข้าสู่ระบบที่ claude.ai ทันที ไปที่ “Settings → Billing → Invoices” เพื่อตรวจสอบว่ามีบันทึกการเรียกเก็บที่เกี่ยวข้องกับ “Gift Max” ที่ไม่ได้รับอนุญาตหรือไม่ หากพบให้รีบติดต่อธนาคาร/บริษัทผู้ออกบัตรเพื่อยื่นขอให้ดำเนินการโต้แย้งรายการทันที อย่ารอการตอบกลับจากฝ่ายบริการลูกค้าของ Anthropic
จากนั้น เปิดหน้าจัดการส่วนขยายของ Chrome ที่ (chrome://extensions/) ตรวจสอบปลั๊กอิน/ส่วนขยายทั้งหมดที่ติดตั้งไว้อย่างละเอียด ลบรายการที่ไม่รู้จัก มีความน่าสงสัย หรือที่คุณไม่เคยจำได้ว่าตั้งใจติดตั้งไว้ด้วยตนเอง โปรแกรมอันตรายเหล่านี้มักปลอมตัวภายใต้ชื่ออย่างเช่น “เพิ่มประสิทธิภาพหรือทำให้หน้าตาดีขึ้นของอินเทอร์เฟซ”
สุดท้าย ให้ส่งใบคำขอสนับสนุนอย่างเป็นทางการไปยัง Anthropic และส่งอีเมลไปยัง usersafety@anthropic.com และ disclosure@anthropic.com พร้อมกัน เพื่อเพิ่มโอกาสในการได้รับการดูแลจากเจ้าหน้าที่ที่เป็นคนจริง
ผู้เสียหายยังต้องการให้ Anthropic เสริมกลไกป้องกันของแพลตฟอร์มโดยเร็ว รวมถึงทำให้ผู้ใช้สามารถถอด/ยกเลิกวิธีการชำระเงินได้อย่างแท้จริง ทำการเพิ่มการยืนยันแบบสองขั้นตอนสำหรับธุรกรรม Gift หลายรายการในช่วงเวลาสั้นๆ และทำการแช่แข็งบัญชีโดยอัตโนมัติหลังจากผู้ใช้แจ้งเหตุหลอกลวง
บทความนี้: บัญชี Claude โดนขโมยเครดิตรูดขนาดใหญ่! ผู้เสียหายในไต้หวันและแคนาดาเสียหายมากกว่าสิบกว่าพันดอลลาร์ไต้หวัน ขั้นตอน 3 อย่างเพื่อป้องกันตัวทันที เผยแพร่ครั้งแรกที่ 鏈新聞 ABMedia
