近期多名 Claude AI 用户在 Facebook 社群与 Reddit 发文示警,其 Anthropic 账号所绑定的信用卡遭人频繁盗刷,攻击者通过平台的「礼物订阅 (Gift)」功能进行大量消费,多位来自台湾、加拿大与美国的受害者反应损失上万台币,引发外界关注。
Google 恶意扩充功能潜伏三年,偷偷绕过密码与双重验证
台湾受害者洪先生在 Claude Taiwan 臉书社团发文披露,事件主因源自于他在 2023 年 4 月下载软件的过程中,不知情地一同安装了一个名为「Start New Tab Search」的恶意 Chrome 扩充功能,该程序属于 Adware.NewTab 家族,至今潜伏长达三年。
这个扩充功能具备拦截 HTTP 请求的权限,持续在后台窃取用户的 cookie 与 session token。攻击者一旦取得有效的 session token,完全不需要账号密码或经过双重验证 (2FA),就能直接通过用户账号进行消费。这也是为何受害者事后停卡、改密码、开启 2FA 等措施全部失效的主要原因。
三天内四笔扣款、换卡也没用,Anthropic 界面缺陷曝光
洪先生表示,4 月 16 日凌晨他发现账号被自动扣款购买「Gift Max 5X」方案,即便他立刻采取所有标准安全措施:停卡、更改密码、启用双重验证、登出所有装置、撤销 API Keys,并更换新的支付方式,但盗刷仍持续发生至 4 月 20 日。
最终洪先生被成功扣款四笔交易,损失达 到 400 美元。期间他的手机持续收到 Mastercard 3D 验证信与 Stripe 验证码,显示攻击者不断尝试以新卡再次扣款。
他担忧,Anthropic 的账单界面并没有「移除信用卡」的选项,只有「更新支付方式 (Update)」,导致用户无法将卡片与账号解除绑定。
国内外受害者同步发声,Reddit 也传盗刷案例
值得注意的是,另一名加拿大用户同样在 Reddit 的 r/ClaudeAI 版发文,表示其账号遭人以信用卡购买「Gift Max 20x」礼物订阅,损失约 950 加币 (约 700 美元),同样也是多笔扣款持续发生。
他指出,消费评论网站 Trustpilot 上也有多位来自荷兰、英国与美国的用户反映类似案例。
Anthropic 客服形同虚设,联系信用卡公司成用户最快自救管道
两名受害者都面临同一个困境:Anthropic 一般客服 support@anthropic.com 几乎无法提供即时协助。洪先生在 4 月 18 日通报后,后续又补寄四封说明信,但 72 小时内始终没有任何真人回应,只有 Fin AI Agent 的自动化回复。加拿大用户也直言,Fin AI 的支援效果极差。
目前两人皆已转向信用卡公司申请争议扣款 (chargeback),这也成为受害者目前能快速止损的自救方式。洪先生另外建议,若想要联络 Anthropic 团队,可同时寄信至 usersafety@anthropic.com 与 disclosure@anthropic.com,或许有机会获得更直接的回应。
如何自保?三步骤立即检查你的 Claude 账号
面对这波持续扩散的攻击,受害者呼吁所有 Claude 用户立即采取以下防护措施。
首先,立刻登录 claude.ai,前往「Settings → Billing → Invoices」,检查是否出现任何未授权的「Gift Max」相关扣款记录,一旦发现即应立即联系发卡银行申请争议扣款,不要等待 Anthropic 客服回应。
接着,开启 Chrome 的扩充功能管理页面 (chrome://extensions/),仔细检查所有已安装的扩充功能,移除任何不认识、有疑虑开发商,或是不记得曾主动安装的项目,这些恶意程式往往以「增强或美化界面」等名义伪装。
最后,向 Anthropic 提交正式的支援工单,并同时寄信至 usersafety@anthropic.com 及 disclosure@anthropic.com 两个邮箱,以提高获得真人处理的机会。
受害者同时希望 Anthropic 能尽快补强平台防护机制,包括让用户能确实移除支付方式、对短时间内多笔 Gift 交易加入二次验证,以及在用户通报诈骗后自动冻结账号等功能。
这篇文章 Claude 账号爆大规模盗刷!台湾、加拿大受害者损失上万元,三步骤立即自保 最早出现于 链新闻 ABMedia。
相关文章
