- 詐欺師は正規のOpenAIアドレスからメールを送信し、ユーザーをだまそうとする
- 欺瞞的な組織名が、機密情報を取得するために設計された悪意あるリンクを隠す
- 複数の従業員が同時に悪意ある招待を受け取る可能性があるため、企業が標的にされる
カスペルスキーは、OpenAIのチーム招待システムを悪用して無防備なユーザーを攻撃する巧妙な詐欺を発見しました。
詐欺師はアカウントを登録し、組織名フィールドに欺瞞的なリンクや電話番号を直接埋め込みます。
その後、「チームを招待」機能を使って正規のOpenAIアドレスからメールを送信し、メッセージが完全に本物であるかのように見せかけます。
メールの内容は欺瞞的
カスペルスキーは、これらのメールが受信者を容易にだまして悪意あるリンクをクリックさせたり、詐欺の番号に電話させたりし、深刻なデータ損失や金銭的損失を招く可能性があると警告しています。
これらの詐欺メールの内容はさまざまですが、目的は一貫しています。あるメッセージは、異常に高額な金額でサブスクリプションが更新されたと主張し、別のメッセージはアダルトサービスを含む詐欺的なオファーを宣伝します。
カスペルスキーによれば、攻撃者はメールと音声の手口を組み合わせることが多く、ビッシング(音声フィッシング)を用いて受信者に即時の対応を迫ります。
これらのメールの文面には構造上の不整合がしばしば見られますが、攻撃者は受信者がそうした不自然さを見落とすことに頼っています。
企業は、攻撃者が同時に複数の従業員を標的にできるため、より高いリスクにさらされます。
カスペルスキーは、信頼できるプラットフォームから来たように見える場合でも、身に覚えのない招待はすべて疑ってかかることを推奨しています。
ユーザーはクリックする前にすべてのURLを注意深く確認し、疑わしいメッセージに含まれる番号には電話せず、異常な活動をサービス提供者に報告すべきです。
ユーザーはリスクを減らすためにすべてのアカウントで多要素認証を有効にすべきですが、より強固な保護には技術的な防御も必要です。
エンドポイント保護と強固なファイアウォール構成は依然として不可欠であり、詐欺リンクと何らかの形でやり取りしてしまった場合は、直ちにマルウェアを除去する必要があります。
この攻撃は、犯罪者が信頼されているコラボレーション機能でさえ詐欺の道具に変え得ることを示しています。
これらの脅威を効果的に回避するには、組織と個人の双方が警戒を怠らないことが不可欠です。
「この事例は、プラットフォーム機能がソーシャルエンジニアリングによるメール攻撃のために武器化され得るという脆弱性を浮き彫りにしています。組織名のような一見無害なフィールドに欺瞞的要素を埋め込むことで、詐欺師は従来のメールフィルターを回避し、評判の良いサービスに対するユーザーの信頼を悪用しようとします」と、カスペルスキーのシニア・スパムアナリストであるアンナ・ラザリチェワ氏は述べています。
「私たちは、すべてのユーザーに対し、招待を慎重に検証し、精査せずに埋め込みリンクをクリックしないよう強く促します。また、ブランド各社には、攻撃者が自社のオンラインサービスやプラットフォームを悪用できないか検討することも推奨します。」
