Claude 帳號爆大規模盜刷!台灣、加拿大受害者損失上萬元,三步驟立即自保
近期多名 Claude AI 用戶在 Facebook 社群與 Reddit 發文示警,其 Anthropic 帳號所綁定的信用卡遭人頻繁盜刷,攻擊者透過平台的「禮物訂閱 (Gift)」功能進行大量消費,多位來自台灣、加拿大與美國的受害者反應損失上萬台幣,引發外界關注。
Google 惡意擴充功能潛伏三年,偷偷繞過密碼與雙重驗證
台灣受害者洪先生在 Claude Taiwan 臉書社團發文揭露,事件主因源自於他在 2023 年 4 月下載軟體的過程中,不知情地一同安裝了一個名為「Start New Tab Search」的惡意 Chrome 擴充功能,該程式屬於 Adware.NewTab 家族,至今潛伏長達三年。
這個擴充功能具備攔截 HTTP 請求的權限,持續在背景竊取用戶的 cookie 與 session token。攻擊者一旦取得有效的 session token,完全不需要帳號密碼或經過雙重驗證 (2FA),就能直接透過用戶帳號進行消費。這也是為何受害者事後停卡、改密碼、開啟 2FA 等措施全部失效的主要原因。
廣告 - 內文未完請往下捲動
三天內四筆扣款、換卡也沒用,Anthropic 介面缺陷曝光
洪先生表示,4 月 16 日凌晨他發現帳號被自動扣款購買「Gift Max 5X」方案,即便他立刻採取所有標準安全措施:停卡、更改密碼、啟用雙重驗證、登出所有裝置、撤銷 API Keys,並更換新的支付方式,但盜刷仍持續發生至 4 月 20 日。
最終洪先生被成功扣款四筆交易,損失達到 400 美元。期間他的手機持續收到 Mastercard 3D 驗證信與 Stripe 驗證碼,顯示攻擊者不斷嘗試以新卡再次扣款。
他擔憂,Anthropic 的帳單介面並沒有「移除信用卡」的選項,只有「更新支付方式 (Update)」,導致用戶無法將卡片與帳號解除綁定。
國內外受害者同步發聲,Reddit 也傳盜刷案例
值得注意的是,另一名加拿大用戶同樣在 Reddit 的 r/ClaudeAI 版發文,表示其帳號遭人以信用卡購買「Gift Max 20x」禮物訂閱,損失約 950 加幣 (約 700 美元),同樣也是多筆扣款持續發生。
他指出,消費評論網站 Trustpilot 上也有多位來自荷蘭、英國與美國的用戶反映類似案例。
Anthropic 客服形同虛設,聯繫信用卡公司成用戶最快自救管道
兩名受害者都面臨同一個困境:Anthropic 一般客服 [email protected] 幾乎無法提供即時協助。洪先生在 4 月 18 日通報後,後續又補寄四封說明信,但 72 小時內始終沒有任何真人回應,只有 Fin AI Agent 的自動化回覆。加拿大用戶也直言,Fin AI 的支援效果極差。
目前兩人皆已轉向信用卡公司申請爭議扣款 (chargeback),這也成為受害者目前能快速止損的自救方式。洪先生另外建議,若想要聯繫 Anthropic 團隊,可同時寄信至 [email protected] 與 [email protected],或許有機會獲得更直接的回應。
如何自保?三步驟立即檢查你的 Claude 帳號
面對這波持續擴散的攻擊,受害者呼籲所有 Claude 用戶立即採取以下防護措施。
- 首先,立刻登入 claude.ai,前往「Settings → Billing → Invoices」,檢查是否出現任何未授權的「Gift Max」相關扣款紀錄,一旦發現即應立即聯繫發卡銀行申請爭議扣款,不要等待 Anthropic 客服回應。
- 接著,開啟 Chrome 的擴充功能管理頁面 (chrome://extensions/),仔細檢查所有已安裝的擴充功能,移除任何不認識、有疑慮開發商,或是不記得曾主動安裝的項目,這些惡意程式往往以「增強或美化介面」等名義偽裝。
- 最後,向 Anthropic 提交正式的支援工單,並同時寄信至 [email protected] 及 [email protected] 兩信箱,以提高獲得真人處理的機會。
受害者同時希望 Anthropic 能盡快補強平台防護機制,包括讓用戶能確實移除支付方式、對短時間內多筆 Gift 交易加入二次驗證,以及在用戶通報詐騙後自動凍結帳號等功能。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
