Penipu Kini Manfaatkan Fitur ‘Team Invitation’ OpenAI untuk Kuras Data Korban

Pakar keamanan dari Kaspersky baru-baru ini mengungkap taktik baru yang dilakukan oleh aktor jahat dalam memanfaatkan infrastruktur OpenAI. Para penyerang diketahui menyalahgunakan fitur undangan tim (team invitation) untuk mendistribusikan email spam yang berbahaya. Karena pesan tersebut dikirim langsung melalui sistem resmi OpenAI, email tersebut tampak kredibel dan sulit dideteksi oleh filter keamanan biasa.

​Strategi ini bermula ketika pelaku mendaftarkan akun baru di platform OpenAI. Dalam proses registrasi, mereka diminta mengisi kolom nama organisasi. Di sinilah celah tersebut dimanfaatkan; pelaku mengisi kolom nama organisasi dengan teks manipulatif, tautan jebakan, hingga nomor telepon palsu yang dirancang untuk mengelabui calon korban.

​Setelah akun organisasi palsu tersebut siap, penyerang menggunakan fitur “undang tim” untuk memasukkan daftar alamat email target. Dengan menekan tombol kirim, sistem OpenAI secara otomatis akan mengirimkan undangan resmi kepada para korban. Hal ini membuat pesan tersebut memiliki kredibilitas teknis karena berasal dari alamat pengirim yang sah milik platform AI ternama.

​Varian ancaman yang ditemukan cukup beragam, mulai dari penawaran konten dewasa hingga skema vishing (phishing suara). Dalam modus vishing, korban menerima notifikasi palsu mengenai tagihan langganan dalam jumlah besar. Mereka kemudian diarahkan untuk menghubungi nomor telepon tertentu guna membatalkan transaksi tersebut, yang sebenarnya adalah jebakan untuk mencuri informasi lebih lanjut.

​Meskipun isi pesan terlihat janggal karena struktur kalimat yang dipaksakan masuk ke dalam templat resmi, penyerang tetap berharap korban tidak teliti. Ketidakkonsistenan antara bahasa formal OpenAI dan teks penipuan yang dicantumkan sering kali terabaikan oleh pengguna yang sedang terburu-buru atau merasa panik karena masalah tagihan palsu tersebut.

​Anna Lazaricheva dari Kaspersky menekankan bahwa insiden ini merupakan contoh nyata dari rekayasa sosial yang memanfaatkan reputasi platform besar. Dengan menyisipkan elemen berbahaya pada bagian yang dianggap tidak berbahaya, penipu mencoba meruntuhkan kewaspadaan pengguna. Perusahaan penyedia platform juga diminta untuk lebih memperhatikan potensi penyalahgunaan fitur yang mereka miliki.

​Sebagai langkah pencegahan, pengguna sangat disarankan untuk selalu memverifikasi setiap undangan yang masuk secara mandiri. Jangan pernah tergiur untuk mengklik tautan atau menghubungi nomor telepon yang tertera di dalam email tanpa melakukan pengecekan ulang melalui situs web resmi layanan yang bersangkutan guna memastikan kebenaran informasi tersebut.

​Selain kewaspadaan pribadi, perlindungan tambahan melalui perangkat lunak keamanan berbasis AI dan autentikasi multi-faktor sangat dianjurkan. Baik bagi pengguna korporat maupun individu, penggunaan sistem pertahanan berlapis dapat membantu menyaring ancaman siber yang terus berkembang dan menjaga keamanan data sensitif dari serangan phishing yang semakin canggih.