Cibercriminosos estão explorando uma brecha na funcionalidade ‘convidar sua equipe’ da OpenAI para lançar ataques direcionados a empresas. A descoberta, detalhada por pesquisadores de segurança da Avanan, uma empresa da Check Point, revela uma nova tática de phishing que visa enganar funcionários e obter acesso a redes corporativas.
Tradicionalmente, a função ‘convidar sua equipe’ em plataformas como a OpenAI permite que usuários convidem colegas para colaborar em projetos. No entanto, os hackers adaptaram essa ferramenta para seus próprios fins maliciosos. Eles enviam convites falsos que, à primeira vista, parecem legítimos e originados da própria OpenAI. Esses e-mails maliciosos buscam induzir os destinatários a clicar em links que os redirecionam para páginas de login fraudulentas, projetadas para roubar credenciais de acesso.
O grande perigo dessa abordagem reside na sua capacidade de contornar muitas das defesas de segurança existentes. Como os e-mails são gerados a partir de um domínio legítimo da OpenAI, eles conseguem passar por filtros de spam e autenticação de e-mail (como SPF, DKIM e DMARC) com facilidade. Isso confere uma falsa sensação de segurança aos destinatários, tornando-os mais propensos a confiar na mensagem e clicar nos links maliciosos.
Ao clicar no link, as vítimas são direcionadas para uma página que imita perfeitamente a interface de login da OpenAI ou de outros serviços populares, como o Microsoft Outlook. Ao inserir suas credenciais, os usuários inadvertidamente as entregam aos cibercriminosos, que podem então utilizá-las para acessar sistemas corporativos, roubar dados sensíveis ou lançar ataques mais amplos, como ransomware. A sofisticação desses ataques é tamanha que até mesmo usuários atentos podem ser enganados.
A Avanan alerta que a popularidade crescente de ferramentas de inteligência artificial como o ChatGPT e outras soluções da OpenAI torna essa vetor de ataque particularmente eficaz. Muitas empresas estão integrando essas tecnologias em suas operações diárias, o que significa que seus funcionários estão acostumados a receber comunicações relacionadas à OpenAI, diminuindo a suspeita.
Para mitigar os riscos, as empresas e os usuários devem adotar uma abordagem de segurança multifacetada. É crucial que os funcionários sejam devidamente treinados para reconhecer e-mails de phishing, mesmo aqueles que parecem vir de fontes confiáveis. A verificação de URLs antes de clicar em links, a ativação da autenticação de dois fatores (2FA) em todas as contas e a utilização de soluções de segurança de e-mail avançadas são passos essenciais. Além disso, as organizações devem considerar a implementação de políticas de segurança que limitem o acesso a ferramentas de terceiros e monitorem atividades incomuns na rede. A vigilância constante e a educação são as melhores defesas contra essas táticas de engenharia social cada vez mais elaboradas.
Fonte: Artigo Original
