Modus Baru Penipuan OpenAI, Fitur Undangan Jadi Senjata Siber
- Istimewa
- Pelaku memanfaatkan fitur resmi OpenAI, yaitu pendaftaran organisasi dan undangan tim, untuk menyebarkan tautan berbahaya.
- Email spam dikirim langsung dari alamat resmi OpenAI (@openai.com), memungkinkan serangan lolos dari filter keamanan tradisional.
- Modus penipuan bervariasi, meliputi promosi palsu hingga skema vishing yang mengarahkan korban menghubungi nomor palsu.
Perusahaan keamanan siber global, Kaspersky, baru saja mengungkap taktik penipuan siber yang cerdik dan sangat terorganisir. Pelaku kini mengeksploitasi fitur resmi pada platform OpenAI untuk melancarkan serangan spam dan phishing. Modus Penipuan OpenAI ini memanfaatkan sistem undangan tim, memungkinkan pengiriman email berbahaya dari alamat yang sah, sehingga berpotensi menipu pengguna.
Anna Lazaricheva, Analis Spam Senior Kaspersky, menjelaskan bahwa kasus ini menyoroti celah serius. Ia menegaskan kerentanan tersebut menunjukkan bagaimana fitur platform yang sah dapat dimanfaatkan sebagai senjata untuk serangan email rekayasa sosial.
Eksploitasi Celah Pendaftaran Organisasi
Serangan dimulai ketika penyerang mendaftarkan akun baru pada platform OpenAI. Mereka dengan sengaja memanfaatkan celah pada tahap pendaftaran organisasi. Di sini, pengguna diminta mengisi nama organisasi.
Penyerang kemudian menyematkan teks menyesatkan, tautan phishing, atau bahkan nomor telepon palsu langsung di kolom nama organisasi tersebut. Fitur ini seharusnya hanya mencantumkan nama, tetapi sistem menerima kombinasi simbol dan teks berbahaya.
Teknik Pemalsuan Identitas yang Mulus
Setelah "organisasi" fiktif dibuat, platform OpenAI menyediakan fitur undangan tim (team invitation). Fitur ini secara struktural memungkinkan pengguna mengirim undangan ke alamat email tertentu. Undangan inilah yang disalahgunakan untuk menjangkau korban.
Secara teknis, email undangan terkirim dari alamat resmi OpenAI, bukan dari pihak ketiga. Oleh karena itu, email terlihat sah dan berhasil melewati penyaringan email tradisional. Lazaricheva menambahkan bahwa penyerang mencoba melewati filter dan mengeksploitasi kepercayaan pengguna pada layanan bereputasi.
Variasi Serangan: Dari Phishing hingga Vishing
Kaspersky telah mendeteksi beberapa variasi pesan penipuan yang dikirim melalui skema eksploitasi ini. Setiap variasi dirancang untuk memicu rasa urgensi dan memaksa korban bertindak cepat.
Varian pertama adalah email promosi palsu. Pesan ini mencakup penawaran layanan yang sensitif, seperti layanan dewasa, untuk menarik perhatian korban.
Modus yang lebih berbahaya dikenal sebagai vishing. Penyerang mengirimkan pemberitahuan palsu yang mengklaim langganan pengguna telah diperpanjang dengan nilai transaksi besar. Korban diarahkan untuk segera menghubungi nomor tertentu guna “membatalkan” tagihan tersebut. Kontak telepon palsu ini justru membuka risiko keamanan lanjutan atau pencurian data.
Penyerang sengaja menonjolkan isi penipuan dengan format huruf tebal. Meskipun secara struktural pesan tersebut tidak selaras dengan format undangan kolaborasi proyek yang asli, penyerang meyakini korban tidak akan memperhatikan anomali ini.
Langkah Mitigasi dan Tanggung Jawab Platform
Mengingat modus Penipuan OpenAI ini mengandalkan kepercayaan pada brand besar, pengguna harus meningkatkan kewaspadaan. Selalu verifikasi undangan yang diterima dengan cermat, bahkan jika berasal dari domain terpercaya.
Pengguna wajib menghindari mengklik tautan yang disematkan atau menghubungi nomor telepon yang tertera dalam email mencurigakan. Gunakan selalu otentikasi multi-faktor (MFA) untuk semua akun digital yang sensitif.
Lazaricheva juga mendorong pengguna segera melaporkan email mencurigakan kepada penyedia platform. Lebih lanjut, Ia merekomendasikan brand teknologi besar seperti OpenAI untuk mempertimbangkan ulang fitur-fitur mereka agar tidak dapat disalahgunakan penyerang siber.
