就离谱,OpenAI 官号一夜间被挖币的给黑了!

就是刚开设专门发新闻的那个OpenAI Newsroom账号。

深更半夜突然发了这么一条推文:

随后送上了钓鱼网站链接。

目前这条推文是看不到了,只留下一句:

不止这个官号,15个月内,OpenAI相关帐号至少被盗了4个。

OpenAI员工账号最近也都接连遭遇不测。

首席科学家Jakub Pachocki、CTO Mira Murati、研究员Jason Wei的账号全都成为被攻击对象。

看这一毛一样的操作,是同一波人干的没跑儿了。

网友表示,过去12个月内,Jason Wei账号至少被盗了10次。

而这次OpenAI Newsroom账号被黑,距离Jason Wei账号最新一次被黑,仅仅间隔不到两天。

这些推文散播在上,聚集成了大型吃瓜现场。

在此之余,网友们也为大伙儿捏了把汗,可别真上当了。

马斯克的xAI员工、Grok开发者都忍不住开麦:

也有网友为OpenAI感叹:

网友调侃Ilya创业搞SSI(Safe SuperIntelligence),OpenAI这下成了USI(Unsafe SuperIntelligence):

所以为啥不开2FA(双因素认证)?

或许……2FA都不管用了。

就有网友对这次攻击的运作方式和技术栈进行了分析。

以下是Vercel CEO Guillermo Rauch给出的分析。

首先要注意的是,大多数钓鱼网站有一个共同缺点:网站看起来很low。

但这次的钓鱼网站真像那么回事儿,真像是合法网站。

攻击者怎么能做得这么逼真?

注意“data-scrapbook-source”属性。可能是用了某种爬虫工具?

谷歌一下,会发现它出现在许多被报告的钓鱼网站上。它来自一个名为“WebScrapBook”的Chrome扩展,可以立即将网站克隆为静态HTML。

Guillermo Rauch亲自试了一下,表示效果非常好:

接下来Guillermo Rauch发现了华点。

HTML中暴露了攻击者抓取的日期:20240619000652144。

如果对其进行解析,结果显示为:2024-06-19T00:06:52.144Z,即三个月前。

进入服务器堆栈。网站通过@cloudflare托管,理论上这很难追踪到源服务器。

但是,当触发404错误页面时,Guillermo Rauch得到了一些有趣的信息:

为什么有趣?

Guillermo Rauch解释,“Port 80”可能意味着两种情况:

一种可能是他们设置了一个加密的反向隧道连接到Cloudflare(这不常见),或者正好相反,他们可能在大胆尝试直接将${ip}:80作为源。

问题是:如何找到这个源IP地址?

与普遍观点不同,传统CDN并不能真正保护源IP地址,这些IP地址可能会被搜索引擎发现。

该技术涉及在源中查找唯一的字符串,其中有一些很好的候选字符串。例如,CSS id:

这里发现了一个疑似克隆网站,但由于标签不匹配,这并不是一个完全相同的克隆。

此外,它与HTML中的土耳其语不相符:

另一个非常有趣的字符串是攻击者意图接收加密货币的钱包地址。

这个地址并没有直接嵌入到HTML中,而是通过一个令人困惑的加密脚本进行控制,该脚本极力避免被审查,不断触发调试器进入循环。

Guillermo Rauch晒出了脚本,表示还没有机会开始反向工程。

最后Guillermo Rauch进行了一些反诈经验总结:

OpenAI这次被盗号发布钓鱼信息也是给大伙儿提了个醒。

童鞋们上网可要擦亮眼睛~

[1]https://x.com/iScienceLuvr/status/1838344428504973585

[2]https://news.ycombinator.com/item?id=41631412

[3]https://x.com/SmokeAwayyy/status/1838345566100820102

[4]https://x.com/rauchg/status/1838005061332673008