Modus operandi ini memungkinkan penyerang mengirimkan email spam dari alamat email OpenAI yang sah secara teknis, berpotensi besar menipu pengguna agar mengklik tautan berbahaya atau menghubungi nomor telepon palsu.
Kampanye spam ini diawali dengan pendaftaran akun oleh penyerang di platform OpenAI. Penipu kemudian mengeksploitasi kolom nama organisasi yang memungkinkan kombinasi simbol apa pun, dengan menyisipkan teks menyesatkan, tautan penipuan, atau bahkan nomor telepon palsu langsung ke dalam kolom tersebut. Setelah organisasi fiktif ini dibuat, fitur mengundang tim digunakan untuk memasukkan alamat email target para korban.
Meskipun isinya berisi informasi yang menyesatkan, undangan tersebut berasal dari alamat OpenAI, menjadikannya tampak sepenuhnya sah di mata filter email tradisional dan pengguna. Kaspersky menemukan beberapa jenis ancaman email yang disebarkan melalui cara ini.
Salah satunya adalah email penipuan yang mempromosikan penawaran palsu, seperti layanan dewasa. Sudut serangan lain yang dideteksi adalah vishing (voice phishing), berupa pemberitahuan palsu yang mengklaim adanya perpanjangan langganan dalam jumlah besar. Penyerang menginstruksikan penerima untuk menghubungi nomor telepon yang tertera guna membatalkan tagihan.
Anna Lazaricheva, analis spam senior di Kaspersky, berkomentar bahwa kasus ini menyoroti kerentanan fitur platform yang dapat dimanfaatkan sebagai senjata untuk serangan email rekayasa sosial.
Dengan menyematkan elemen-elemen penipuan di bidang yang tampak tidak berbahaya seperti nama organisasi, penyerang berupaya melewati filter keamanan dan mengeksploitasi kepercayaan pengguna terhadap layanan bereputasi.
Sebagai perlindungan, Kaspersky mendesak pengguna untuk berhati-hati dan memberikan rekomendasi sebagai berikut:
1. Waspadai undangan yang tidak diminta dari platform mana pun, meskipun tampak berasal dari sumber tepercaya.
2. Periksa URL dengan cermat sebelum mengklik tautan.
3. Jangan menghubungi nomor telepon yang tertera dalam email mencurigakan. Jika perlu menghubungi dukungan layanan, cari nomor telepon di halaman web resmi layanan tersebut.
4. Laporkan email yang mencurigakan kepada penyedia platform dan selalu gunakan otentikasi multi-faktor untuk semua akun.
Kaspersky juga merekomendasikan brand atau perusahaan untuk mempertimbangkan potensi penyalahgunaan layanan online mereka oleh penyerang, guna memperketat keamanan. Untuk perlindungan lebih lanjut, Kaspersky menawarkan Kaspersky Security for Mail Server bagi pengguna korporat dan Kaspersky Premium dengan fitur anti-phishing berbasis AI untuk pengguna individu.
Cek Berita dan Artikel yang lain di
Google News
