In letzter Zeit haben sich mehrere Claude-AI-Nutzer in Facebook-Communities und auf Reddit gemeldet und gewarnt: Ihre bei Anthropic hinterlegte Kreditkarte werde häufig gestohlen und missbräuchlich belastet. Die Angreifer führen über die Funktion „Gift-Abonnement (Gift)“ der Plattform massenhaft Käufe durch. Mehrere Opfer aus Taiwan, Kanada und den USA berichten von Verlusten in Höhe von über Zehntausenden an NT-Dollar, was das öffentliche Interesse geweckt hat.
Google bösartige Erweiterung lauerte drei Jahre lang, umging heimlich Passwörter und die Zwei-Faktor-Authentifizierung
Der taiwanesische Betroffene, Herr Hong, deckte in einer Facebook-Gruppe von „Claude Taiwan“ den Vorfall auf. Als Hauptursache gab er an, dass er im Zuge des Downloads einer Software im April 2023 unwissentlich gleichzeitig eine bösartige Chrome-Erweiterung namens „Start New Tab Search“ mitinstalliert habe. Die Anwendung gehört zur Adware.NewTab-Familie und sei bis heute ganze drei Jahre lang aktiv geblieben.
Diese Erweiterung verfügt über die Berechtigung, HTTP-Anfragen abzufangen, und stiehlt kontinuierlich im Hintergrund die Cookies und Session Tokens der Nutzer. Sobald ein Angreifer einen gültigen Session Token erhält, braucht er weder Kontonamen noch Passwörter oder eine durchlaufene Zwei-Faktor-Authentifizierung (2FA). Er kann stattdessen direkt über das Nutzerkonto einkaufen. Deshalb sind bei den Opfern nachträglich Maßnahmen wie Karte sperren, das Passwort ändern, 2FA aktivieren usw. alle gescheitert.
Vier Abbuchungen in drei Tagen, Karte wechseln brachte nichts, Defekt in der Anthropic-Oberfläche aufgedeckt
Herr Hong sagte, er habe am frühen Morgen des 16. April festgestellt, dass von seinem Konto automatisch der Kauf des „Gift Max 5X“-Pakets abgebucht wurde. Obwohl er sofort alle üblichen Sicherheitsmaßnahmen ergriffen habe: Karte sperren, Passwort ändern, Zwei-Faktor-Authentifizierung aktivieren, sich von allen Geräten abmelden, API Keys widerrufen und eine neue Zahlungsmethode verwenden—hande lte der Kreditkartenbetrug dennoch bis zum 20. April weiter.
Schließlich wurde Herrn Hong mit Erfolg viermal abgebucht, insgesamt im Wert von 400 US-Dollar. In der Zeit erhielt sein Handy fortlaufend Mastercard-3D-Validierungsnachrichten sowie Stripe-Validierungscodes, was zeigt, dass der Angreifer immer wieder versucht hat, mit einer neuen Karte erneut abzubuchen.
Er mache sich Sorgen, dass in der Abrechnungsoberfläche von Anthropic keine Option „Kreditkarte entfernen“ existiere, sondern nur „Zahlungsmethode aktualisieren (Update)“. Dadurch könne der Nutzer die Karte nicht von Konto und Bindung trennen.
Opfer im In- und Ausland melden sich zeitgleich, auch Reddit meldet Fälle von Kreditkartenbetrug
Bemerkenswert ist, dass auch ein weiterer kanadischer Nutzer im Reddit-Subreddit r/ClaudeAI einen Beitrag veröffentlichte. Er sagte, dass sein Konto über eine Kreditkarte mit dem Kauf eines „Gift Max 20x“-Geschenk-Abonnements belastet worden sei. Sein Verlust liege bei etwa 950 CAD (etwa 700 US-Dollar), und auch bei ihm seien mehrere Abbuchungen fortlaufend erfolgt.
Er führte aus, dass es auf der Bewertungsplattform Trustpilot ebenfalls Berichte von mehreren Nutzern aus den Niederlanden, Großbritannien und den USA zu ähnlichen Fällen gebe.
Anthropic-Kundendienst wirkt wie eine Scheinlösung; Kontakt zur Kreditkartenfirma ist für Nutzer der schnellste Weg zur Selbsthilfe
Beide Opfer stehen vor demselben Dilemma: Der normale Kundensupport von Anthropic support@anthropic.com kann kaum sofortige Hilfe leisten. Herr Hong hatte am 18. April gemeldet; anschließend schickte er weitere vier Erklärungsbriefe. Innerhalb von 72 Stunden gab es jedoch weiterhin keine Reaktion von einem echten Menschen—nur automatisierte Antworten von „Fin AI Agent“. Auch der kanadische Nutzer sagte offen, dass die Unterstützung von Fin AI sehr schlecht sei.
Aktuell haben beide bereits zu den Kreditkartenfirmen gewechselt und einen Widerspruch zur Abbuchung beantragt (chargeback). Das ist inzwischen für die Opfer der schnellste Weg, um Schadensbegrenzung zu erreichen. Herr Hong empfahl außerdem, wenn man den Anthropic-Teams kontaktieren möchte, zusätzlich eine E-Mail an usersafety@anthropic.com und disclosure@anthropic.com zu senden—möglicherweise erhalte man dadurch direktere Rückmeldungen.
Wie schützt man sich selbst? Drei Schritte: Prüfe sofort dein Claude-Konto
Angesichts dieser sich weiter ausbreitenden Angriffe rufen die Opfer alle Claude-Nutzer auf, umgehend die folgenden Schutzmaßnahmen zu ergreifen.
Zuerst melde man sich sofort bei claude.ai an, gehe zu „Settings → Billing → Invoices“ und prüfe, ob dort irgendwelche nicht autorisierten „Gift Max“-bezogenen Abbuchungsaufzeichnungen auftauchen. Sobald man so etwas findet, sollte man sofort die ausstellende Bank kontaktieren und einen Widerspruch zur Abbuchung beantragen—nicht darauf warten, dass Anthropic auf den Support reagiert.
Als Nächstes öffne man die Seite zur Verwaltung von Chrome-Erweiterungen (chrome://extensions/), prüfe sorgfältig alle installierten Erweiterungen und entferne alle, die man nicht kennt, bei denen man misstrauisch ist, deren Entwickler fragwürdig sind, oder die man nicht daran erinnert, jemals aktiv installiert zu haben. Solche bösartigen Programme sind oft unter dem Namen „Benutzeroberfläche verbessern oder verschönern“ getarnt.
Zum Schluss reiche man bei Anthropic ein formelles Support-Ticket ein und sende gleichzeitig eine E-Mail an usersafety@anthropic.com sowie an disclosure@anthropic.com, um die Chance zu erhöhen, dass ein echter Mitarbeiter sich kümmert.
Die Opfer hoffen außerdem, dass Anthropic die Schutzmechanismen auf der Plattform so schnell wie möglich nachbessert, darunter die Möglichkeit, dass Nutzer Zahlungsmethoden tatsächlich entfernen können, dass bei mehreren Gift-Transaktionen innerhalb kurzer Zeit eine zweite Authentifizierung verlangt wird, sowie dass Konten nach Meldung von Betrug automatisch eingefroren werden.
Dieser Artikel: Das Claude-Konto explodiert—großflächiger Kreditkartenbetrug! Opfer aus Taiwan und Kanada verlieren Zehntausende, drei Schritte zum sofortigen Selbstschutz Erstmals erschienen auf 鏈新聞 ABMedia.
