Modus Baru Penipuan OpenAI, Fitur Undangan Jadi Senjata Siber

• Pelaku memanfaatkan fitur resmi OpenAI, yaitu pendaftaran organisasi dan undangan tim, untuk menyebarkan tautan berbahaya.
• Email spam dikirim langsung dari alamat resmi OpenAI (@openai.com), memungkinkan serangan lolos dari filter keamanan tradisional.
• Modus penipuan bervariasi, meliputi promosi palsu hingga skema vishing yang mengarahkan korban menghubungi nomor palsu.

Perusahaan keamanan siber global, Kaspersky, baru saja mengungkap taktik penipuan siber yang cerdik dan sangat terorganisir. Pelaku kini mengeksploitasi fitur resmi pada platform OpenAI untuk melancarkan serangan spam dan phishing. Modus Penipuan OpenAI ini memanfaatkan sistem undangan tim, memungkinkan pengiriman email berbahaya dari alamat yang sah, sehingga berpotensi menipu pengguna.

Anna Lazaricheva, Analis Spam Senior Kaspersky, menjelaskan bahwa kasus ini menyoroti celah serius. Ia menegaskan kerentanan tersebut menunjukkan bagaimana fitur platform yang sah dapat dimanfaatkan sebagai senjata untuk serangan email rekayasa sosial.

Eksploitasi Celah Pendaftaran Organisasi

Serangan dimulai ketika penyerang mendaftarkan akun baru pada platform OpenAI. Mereka dengan sengaja memanfaatkan celah pada tahap pendaftaran organisasi. Di sini, pengguna diminta mengisi nama organisasi.

Penyerang kemudian menyematkan teks menyesatkan, tautan phishing, atau bahkan nomor telepon palsu langsung di kolom nama organisasi tersebut. Fitur ini seharusnya hanya mencantumkan nama, tetapi sistem menerima kombinasi simbol dan teks berbahaya.

Teknik Pemalsuan Identitas yang Mulus

Setelah "organisasi" fiktif dibuat, platform OpenAI menyediakan fitur undangan tim (team invitation). Fitur ini secara struktural memungkinkan pengguna mengirim undangan ke alamat email tertentu. Undangan inilah yang disalahgunakan untuk menjangkau korban.

Secara teknis, email undangan terkirim dari alamat resmi OpenAI, bukan dari pihak ketiga. Oleh karena itu, email terlihat sah dan berhasil melewati penyaringan email tradisional. Lazaricheva menambahkan bahwa penyerang mencoba melewati filter dan mengeksploitasi kepercayaan pengguna pada layanan bereputasi.

Variasi Serangan: Dari Phishing hingga Vishing

Kaspersky telah mendeteksi beberapa variasi pesan penipuan yang dikirim melalui skema eksploitasi ini. Setiap variasi dirancang untuk memicu rasa urgensi dan memaksa korban bertindak cepat.

Varian pertama adalah email promosi palsu. Pesan ini mencakup penawaran layanan yang sensitif, seperti layanan dewasa, untuk menarik perhatian korban.

Halaman Selanjutnya

Modus yang lebih berbahaya dikenal sebagai vishing. Penyerang mengirimkan pemberitahuan palsu yang mengklaim langganan pengguna telah diperpanjang dengan nilai transaksi besar. Korban diarahkan untuk segera menghubungi nomor tertentu guna “membatalkan” tagihan tersebut. Kontak telepon palsu ini justru membuka risiko keamanan lanjutan atau pencurian data.