Ancaman siber terus berevolusi mengikuti perkembangan teknologi. Terbaru, Kaspersky mengungkap adanya modus penipuan digital yang memanfaatkan fitur undangan tim (team invitation) di platform OpenAI.
Celah ini dimanfaatkan pelaku untuk menyebarkan email penipuan yang tampak sah karena dikirim langsung dari alamat resmi OpenAI, sehingga berpotensi mengecoh banyak pengguna.
Dalam temuan Kaspersky, penipuan ini diawali dengan pembuatan akun OpenAI oleh pelaku. Pada tahap pendaftaran, pengguna diminta mengisi nama organisasi.
Celah inilah yang kemudian dieksploitasi. Alih-alih mengisi nama perusahaan secara normal, penyerang memasukkan teks menyesatkan, tautan phishing, hingga nomor telepon palsu ke dalam kolom tersebut.
Setelah organisasi palsu dibuat, pelaku memanfaatkan fitur “invite your team” atau undangan tim. Fitur ini memungkinkan pengirim memasukkan alamat email target secara langsung.
Ketika undangan dikirim, sistem OpenAI secara otomatis mengirim email dari domain resmi OpenAI, membuat pesan tersebut terlihat sepenuhnya valid dari sisi teknis.
Menurut Kaspersky, metode ini digunakan untuk berbagai jenis penipuan. Salah satu yang paling sering ditemukan adalah email promosi palsu, termasuk penawaran layanan ilegal atau dewasa. Modus lainnya yang tak kalah berbahaya adalah vishing, yaitu penipuan yang mendorong korban menelepon nomor tertentu.
Biasanya, email tersebut mengklaim adanya pembaruan langganan dengan biaya besar, lalu meminta korban segera menghubungi nomor yang tercantum untuk membatalkan tagihan. Saat korban menghubungi nomor tersebut, risiko pencurian data hingga kerugian finansial pun meningkat.
Menariknya, secara visual dan struktur, email penipuan ini sebenarnya tidak sepenuhnya konsisten. Bagian pesan yang berisi teks jebakan sering kali terlihat tidak selaras dengan template asli undangan kolaborasi OpenAI.
Namun, pelaku mengandalkan asumsi bahwa sebagian penerima tidak akan memeriksa detail tersebut dengan teliti, apalagi jika email datang dari nama besar yang sudah dipercaya.
Anna Lazaricheva, Senior Spam Analyst di Kaspersky, menilai kasus ini sebagai contoh nyata bagaimana fitur platform digital bisa disalahgunakan untuk serangan rekayasa sosial.
“Kasus ini menyoroti kerentanan tentang bagaimana fitur platform dapat dimanfaatkan sebagai senjata untuk serangan email rekayasa sosial. Dengan menyematkan elemen-elemen yang menyesatkan di bidang yang tampaknya tidak berbahaya seperti nama organisasi, penyerang mencoba untuk melewati filter email tradisional dan mengeksploitasi kepercayaan pengguna pada layanan bereputasi”, ungkapnya.
Dengan menyelipkan konten berbahaya di kolom yang terlihat tidak mencurigakan, pelaku berusaha melewati sistem penyaring email tradisional sekaligus mengeksploitasi kepercayaan pengguna terhadap layanan bereputasi.
Kaspersky pun mengingatkan pengguna agar lebih waspada terhadap undangan yang tidak diminta, bahkan jika email tersebut terlihat berasal dari sumber tepercaya.
Pengguna disarankan selalu memeriksa ulang URL sebelum mengklik, serta menghindari menghubungi nomor telepon yang tercantum dalam email mencurigakan. Jika perlu menghubungi layanan tertentu, sebaiknya cari kontak resmi langsung dari situs web perusahaan terkait.
Untuk perlindungan tambahan, Kaspersky menyarankan penggunaan otentikasi multi-faktor pada seluruh akun digital. Bagi perusahaan, solusi keamanan email berlapis dengan dukungan pembelajaran mesin dapat membantu mendeteksi ancaman lebih dini.
Sementara itu, pengguna individu dianjurkan memanfaatkan solusi keamanan dengan fitur anti-phishing berbasis AI agar terhindar dari serangan siber yang semakin canggih.
Kasus ini menjadi pengingat bahwa di era digital, kewaspadaan tetap menjadi kunci utama. Bahkan platform besar sekalipun bisa dimanfaatkan sebagai alat oleh pelaku kejahatan siber jika pengguna lengah.
Scr/Mashable
