Perusahaan keamanan siber global, Kaspersky, mengungkap sebuah modus penipuan baru yang memanfaatkan fitur undangan resmi dari platform OpenAI. Penipuan ini dilakukan dengan mengirim email undangan palsu yang berasal dari alamat resmi OpenAI, sehingga sulit dibedakan oleh penerima.
Serangan ini menggunakan fitur pendaftaran dan pengaturan nama organisasi di OpenAI yang memungkinkan pelaku mencantumkan tautan phishing atau nomor telepon palsu di bagian nama organisasi. Dengan trik ini, email yang dikirimkan tampak valid dan berpotensi menyasar korbannya dengan serangan social engineering.
Mekanisme Modus Penipuan
Modus dimulai ketika pelaku mendaftar akun di platform OpenAI dan mengisi kolom nama organisasi dengan teks atau simbol menyesatkan. Nama organisasi ini kemudian memuat tautan berbahaya atau nomor telepon fiktif. OpenAI menyediakan fitur undangan tim, yang dipakai untuk mengirim email secara resmi dari domain OpenAI kepada target.
Email ini mengambil keuntungan dari kepercayaan pengguna terhadap domain resmi dan melewati filter email tradisional. Analis Spam Senior Kaspersky, Anna Lazaricheva, menegaskan bahwa teknik ini mengeksploitasi celah pada fitur platform dan kelemahan sistem email yang cenderung percaya pada email dari alamat resmi.
Variasi Pesan Penipuan
Terdapat beberapa bentuk serangan yang ditemukan, antara lain:
- Email promosi palsu yang menawarkan layanan dewasa.
- Pesan vishing yang menipu korban dengan klaim langganan berbayar telah diperpanjang tanpa izin.
- Email yang mengarahkan korban untuk menghubungi nomor telepon tertentu demi membatalkan tagihan palsu, sehingga membuka risiko penipuan lanjutan.
Pesan-pesan ini sering kali menggunakan huruf tebal untuk menekankan isi, namun dengan format yang tidak profesional dan tidak sesuai dengan email undangan asli dari OpenAI.
Rekomendasi Keamanan dari Kaspersky
Untuk mencegah menjadi korban, Kaspersky menyarankan pengguna untuk selalu memverifikasi keaslian undangan secara menyeluruh. Pengguna harus berhati-hati terhadap tautan yang terdapat dalam email dan menghindari menghubungi nomor telepon yang dicantumkan.
Penggunaan otentikasi multi-faktor (MFA) sangat dianjurkan untuk meningkatkan perlindungan akun. Selain itu, pelaporan email mencurigakan kepada penyedia layanan adalah kunci untuk membantu memitigasi penyebaran penipuan ini.
Anna Lazaricheva juga mengingatkan agar pemilik merek dan layanan daring melakukan evaluasi keamanan terhadap fitur yang mereka sediakan. Modalitas serangan dari misfungsi fitur internal platform dapat menjadi celah besar jika tidak segera diperbaiki.
Modus penyalahgunaan fitur resmi seperti ini menunjukkan bahwa serangan siber terus berevolusi, memanfaatkan kepercayaan pengguna terhadap platform ternama. Oleh karena itu, kewaspadaan dan edukasi keamanan siber menjadi kebutuhan utama dalam menghadapi ancaman yang semakin canggih ini.
