Waspada! Penipu Catut Fitur Team Invitation OpenAI untuk Sebar Spam dan Vishing

KASPERSKY mendeteksi taktik penipuan baru yang menyalahgunakan platform OpenAI untuk menyebarkan ancaman siber. 

Para pelaku mengeksploitasi fitur undangan grup (team invitation) untuk mengirimkan email spam dari alamat resmi OpenAI, sehingga pesan tersebut tampak sah dan berpotensi menipu pengguna agar mengklik tautan berbahaya atau menghubungi nomor telepon palsu.

Manipulasi Nama Organisasi

Serangan ini dimulai dengan cara yang cukup sederhana. Penyerang mendaftarkan akun di platform OpenAI dan memanfaatkan celah pada proses pengisian nama organisasi. 

Baca juga : OpenAI Uji Coba Iklan di ChatGPT demi Perluas Akses Global

Sistem OpenAI saat ini memungkinkan pengguna memasukkan kombinasi simbol apa pun dalam kolom nama tersebut.

Penipu mengeksploitasi kebebasan ini dengan menyematkan teks menyesatkan, tautan penipuan, hingga nomor telepon palsu langsung ke dalam kolom "nama organisasi". 

Setelah organisasi dibuat, mereka menggunakan fitur "undang tim Anda" untuk mengirimkan email ke alamat-alamat target. 

Baca juga : OpenAI Luncurkan ChatGPT Health: Asisten Kesehatan Pribadi Berbasis AI Kini Hadir di Indonesia

Karena undangan dikirim secara otomatis oleh sistem OpenAI, email tersebut memiliki reputasi teknis yang tepercaya dan sering kali lolos dari filter spam tradisional.

Dari Konten Dewasa hingga Ancaman Tagihan Palsu

Berdasarkan temuan Kaspersky, terdapat beberapa jenis pesan yang disebarkan melalui metode ini. Salah satunya adalah promosi layanan dewasa melalui tautan eksternal.

Selain itu, ditemukan pula taktik vishing (voice phishing). Dalam skenario ini, korban menerima pemberitahuan palsu yang mengklaim adanya pembaruan langganan otomatis dengan nominal besar, seperti $749.99. 

Penyerang kemudian menginstruksikan korban untuk menghubungi nomor telepon yang tertera guna membatalkan tagihan tersebut, yang sebenarnya bertujuan untuk menjebak korban ke dalam risiko keamanan lebih lanjut.

Meskipun secara struktural teks yang disisipkan penyerang sering kali tidak konsisten dengan templat undangan OpenAI yang asli, penyerang meyakini bahwa korban yang kurang waspada tidak akan memperhatikannya.

Peringatan Ahli dan Rekomendasi

Anna Lazaricheva, analis spam senior di Kaspersky, menekankan bahwa kasus ini menyoroti bagaimana fitur platform yang sah dapat dimanfaatkan sebagai senjata rekayasa sosial.

"Dengan menyematkan elemen-elemen yang menyesatkan di bidang yang tampaknya tidak berbahaya seperti nama organisasi, penyerang mencoba untuk melewati filter email tradisional dan mengeksploitasi kepercayaan pengguna pada layanan bereputasi. Kami mendesak semua pengguna untuk memverifikasi undangan dengan cermat dan menghindari mengklik tautan yang disematkan tanpa pemeriksaan," ujar Lazaricheva.

Untuk menghindari ancaman ini, Kaspersky memberikan beberapa rekomendasi keamanan bagi pengguna:

• Waspadai Undangan Tak Dikenal: Tetap curiga terhadap undangan masuk meskipun berasal dari platform tepercaya.
• Periksa URL dan Kontak: Verifikasi URL sebelum mengklik dan jangan menghubungi nomor telepon yang tertera dalam email mencurigakan. Carilah nomor dukungan resmi langsung di situs web layanan terkait.
• Gunakan Perlindungan Tambahan: Laporkan email mencurigakan ke penyedia platform dan gunakan otentikasi multi-faktor (MFA). Pengguna individu juga disarankan menggunakan solusi keamanan dengan fitur anti-phishing berbasis AI. (Z-1)