カスペルスキーがOpenAIのチーム招待機能を利用した詐欺を発見

ジャカルタ - カスペルスキーは、攻撃者がグループ招待機能を悪用するOpenAIプラットフォームを利用した詐欺の戦術を検出しました。

スパムキャンペーンは、攻撃者がOpenAIプラットフォームにアカウントを登録することから始まりました。登録中に、ユーザーは任意の記号の組み合わせで構成される組織名を入力するように求められます。

詐欺師は、誤解を招くテキストと偽の電話番号や電話番号を組織の名前の欄に直接埋め込むことでこれを悪用します。

「組織」が作成されると、OpenAIは「あなたのチームを招待」するオプションを提供し、被害者のターゲットの電子メールアドレスを入力できるようにします。[あなたのチームを招待]列を使用すると、攻撃者は特定の電子メールアドレスをターゲットにすることができます。

招待状が送信されると、招待状はOpenAIの公式アドレスから送信されるため、合法的に見えます。しかし、Kasperskyは、偽のオファーを宣伝する詐欺など、電子メールに脅威を含むメッセージを検出しました。

さらに、グローバルなサイバーセキュリティ企業は、攻撃者がボイスフィッシング(voice phishing)を実行したケースも発見しました。

このスキームでは、攻撃者は受信者に、請求書を「キャンセル」したり、さらなるセキュリティリスクを引き起こす他の行動を実行するために、指定された電話番号に連絡するように指示します。

「このケースは、プラットフォーム機能がソーシャルエンジニアリングメール攻撃の武器としてどのように利用される可能性があるかについての脆弱性を強調しています」と、KasperskyのAnna Lazaricheva上級スパムアナリストは述べています。

アンナは、OpenAIのようなサービスプロバイダーが、オンラインサービスやプラットフォームが攻撃者によって悪用される可能性があるかどうかを検討することを推奨しています。