Fitur undangan tim pada platform OpenAI kini disalahgunakan oleh kelompok hacker untuk mencuri data pengguna. Penipuan ini melibatkan pengiriman email palsu yang tampak resmi, memanfaatkan reputasi teknis alamat email resmi OpenAI sehingga sulit terdeteksi oleh filter spam.
Pelaku memulai aksi dengan mendaftar akun dan membuat organisasi fiktif pada platform OpenAI. Mereka menyisipkan teks menyesatkan atau tautan berbahaya di kolom nama organisasi, yang tidak melakukan penyaringan ketat terhadap karakter atau simbol khusus.
Setelah organisasi palsu terbentuk, hacker menggunakan fitur undangan tim untuk mengirim email undangan ke target. Karena email dikirim oleh sistem OpenAI, korban menganggap pesan itu asli dan lebih mudah terperangkap dalam jebakan tautan berbahaya atau nomor telepon palsu yang disertakan.
Isi email bervariasi, mulai dari klaim perpanjangan langganan dengan biaya besar seperti $749.99 hingga promosi layanan dewasa palsu. Strategi ini juga dikombinasikan dengan metode vishing, yakni teknik penipuan melalui panggilan suara agar korban segera merespons.
Modus ini membawa risiko serius terutama bagi perusahaan. Penyerang dapat menyasar banyak karyawan sekaligus dan berpotensi mengakses data sensitif atau menyebabkan kerugian finansial besar. Hal ini menunjukkan bagaimana fitur kolaborasi yang semula positif bisa dieksploitasi sebagai sarana kriminal.
Analis spam senior dari Kaspersky, Anna Lazaricheva, menyoroti celah keamanan pada fitur platform ini. Dia menjelaskan bahwa penyematan elemen menyesatkan di bidang nama organisasi dimanfaatkan untuk melewati filter email dan mengeksploitasi kepercayaan pengguna terhadap layanan ternama.
Untuk menghindari risiko tersebut, Kaspersky memberikan sejumlah rekomendasi penting:
1. Waspadai undangan email yang tidak dikenal, meski tampak berasal dari OpenAI atau platform tepercaya lain.
2. Cermati URL di dalam email sebelum mengklik, dan jangan hubungi nomor telepon yang disertakan tanpa verifikasi resmi.
3. Aktifkan otentikasi multi-faktor (MFA) untuk melindungi akun dari akses tidak sah.
4. Laporkan segera setiap aktivitas mencurigakan kepada penyedia layanan agar dapat ditindaklanjuti.
5. Gunakan perlindungan perangkat seperti endpoint security dan firewall yang mutakhir. Segera lakukan pembersihan malware bila terjadi interaksi dengan tautan mencurigakan.
Taktik peretasan ini menekankan pentingnya kewaspadaan dan penguatan keamanan digital dalam menghadapi serangan rekayasa sosial. Pengguna disarankan selalu memeriksa dan mengonfirmasi keaslian pesan sebelum mengambil tindakan apa pun untuk melindungi data pribadi dan aset perusahaan. Teknik baru ini menjadi pengingat bahwa ancaman siber terus berevolusi mengikuti pemanfaatan fitur teknologi terbaru.
Penting untuk memantau perkembangan keamanan di platform yang digunakan sehari-hari, termasuk OpenAI, dan menerapkan protokol keamanan yang ketat agar tidak menjadi korban dari penipuan canggih yang memanfaatkan kepercayaan pengguna.
-
-
-
-
