Technologue.id, Jakarta - Kaspersky mendeteksi taktik penipuan yang memanfaatkan platform OpenAI. Penyerang menyalahgunakan fitur undangan grup (team invitation) dan undangan tim OpenAI untuk mengirim email spam dari alamat OpenAI yang sah, berpotensi menipu pengguna agar mengklik tautan penipuan atau menghubungi nomor telepon palsu.
Kampanye spam dimulai dengan penyerang mendaftarkan akun di platform OpenAI. Selama pendaftaran, pengguna diminta untuk memasukkan nama organisasi, yang dapat terdiri dari kombinasi simbol apa pun. Penipu mengeksploitasi ini dengan menyematkan teks yang menyesatkan dan tautan atau nomor telepon palsu langsung ke dalam kolom nama organisasi itu sendiri.
Setelah "organisasi" dibuat, OpenAI menyediakan opsi untuk "mengundang tim Anda," yang memungkinkan input alamat email target para korban.
Ketika undangan dikirim, undangan tersebut berasal dari alamat OpenAI, sehingga tampak sepenuhnya sah dari sudut pandang teknis. Kaspersky mendeteksi beberapa jenis pesan yang berisi ancaman email yang dikirim dengan cara tersebut. Ini adalah email penipuan yang mempromosikan penawaran palsu, seperti layanan dewasa.
Sudut serangan lain adalah vishing atau pemberitahuan palsu yang mengklaim langganan telah diperbarui dengan jumlah besar. Penyerang menginstruksikan penerima untuk menghubungi nomor telepon yang diberikan untuk "membatalkan" tagihan atau melakukan tindakan lain yang menyebabkan risiko keamanan lebih lanjut. Mungkin juga ada ancaman email lain yang menyebar melalui platform OpenAI.
Teks yang ingin dibaca korban oleh penyerang (ditandai dengan huruf tebal dalam templat email) secara struktural tidak konsisten dengan bagian lain dari templat email, yang awalnya dirancang untuk mengundang kolaborator proyek. Tetapi penyerang meyakini bahwa korban tidak akan memperhatikannya.
"Kasus ini menyoroti kerentanan tentang bagaimana fitur platform dapat dimanfaatkan sebagai senjata untuk serangan email rekayasa sosial. Dengan menyematkan elemen-elemen yang menyesatkan di bidang yang tampaknya tidak berbahaya seperti nama organisasi, penyerang mencoba untuk melewati filter email tradisional dan mengeksploitasi kepercayaan pengguna pada layanan bereputasi," kata Anna Lazaricheva, analis spam senior di Kaspersky.
Kaspersky mendesak semua pengguna untuk memverifikasi undangan dengan cermat dan menghindari mengklik tautan yang disematkan tanpa pemeriksaan. Kaspersky juga merekomendasikan brand untuk mempertimbangkan apakah layanan atau platform online mereka dapat disalahgunakan oleh penyerang.