Perusahaan keamanan siber global, Kaspersky, baru-baru ini mengungkap metode penipuan yang memanfaatkan fitur resmi dari platform OpenAI. Taktik ini memungkinkan pelaku kejahatan siber mengirimkan email spam dengan alamat resmi OpenAI, sehingga berisiko menipu pengguna agar mengklik tautan berbahaya atau menghubungi nomor telepon palsu.
Anna Lazaricheva, Analis Spam Senior dari Kaspersky, menyoroti celah ini sebagai sebuah ancaman serius. Dalam pernyataannya pada Rabu (21/1/2025), ia menjelaskan, “Kasus ini memperlihatkan bagaimana fitur platform dapat disalahgunakan menjadi alat untuk serangan email rekayasa sosial.”
Getwebpress menyajikan berbagai artikel informatif untuk para pembaca di GETWEBPRESS.COM.
Bagaimana Modus Penipuan Ini Berjalan?
Menurut pengamatan Getwebpress, kampanye spam ini dimulai dengan pendaftaran akun oleh pelaku di platform OpenAI. Saat mendaftar, pengguna diminta mengisi nama organisasi, yang ternyata dapat diisi dengan berbagai simbol bebas. Celah ini dimanfaatkan untuk menyisipkan teks menyesatkan, tautan phishing, atau nomor telepon palsu langsung pada kolom nama organisasi.
Setelah ‘organisasi’ palsu berhasil dibuat, fitur undangan tim (team invitation) di OpenAI digunakan untuk mengirim email undangan ke target korban. Fitur ini kemudian disalahgunakan sebagai sarana serangan.
Lazaricheva menambahkan, “Dengan menaruh elemen menyesatkan di bidang yang tampak tidak berbahaya seperti nama organisasi, penyerang berusaha melewati filter email konvensional dan mengeksploitasi kepercayaan pengguna terhadap layanan bereputasi.”
Secara teknis, email undangan dikirim dari alamat resmi OpenAI, sehingga tampak sah dan berpotensi lolos dari saringan email standar. Kaspersky menemukan beberapa variasi pesan penipuan yang memakai skema ini.
Variasi Serangan dan Saran Keamanan
Salah satu variasi yang teridentifikasi adalah email promosi palsu, termasuk penawaran layanan dewasa. Taktik lain yang terdeteksi adalah vishing, di mana korban menerima pemberitahuan palsu mengenai perpanjangan langganan dengan nilai transaksi besar, dan diminta menghubungi nomor tertentu untuk ‘membatalkan’ tagihan. Kontak ini justru membuka risiko keamanan lebih lanjut.
Isi pesan penipuan biasanya ditulis dengan huruf tebal dan strukturnya tidak sesuai format email asli yang seharusnya dipakai untuk undangan kolaborasi proyek. Namun, penyerang mengandalkan ketidaktelitian korban.
Menanggapi hal ini, Lazaricheva menyarankan agar pengguna selalu memeriksa undangan yang diterima dengan teliti dan berhati-hati sebelum mengklik tautan. Pengguna juga dianjurkan untuk tidak menghubungi nomor telepon yang tercantum dalam email mencurigakan. Segera laporkan email tersebut ke penyedia platform dan aktifkan otentikasi multi-faktor (MFA) untuk meningkatkan keamanan akun.
“Kami juga menyarankan para pemilik merek untuk mengevaluasi apakah layanan atau platform online mereka berpotensi disalahgunakan oleh penyerang,” tutup Lazaricheva, mengajak perusahaan agar lebih proaktif dalam mengidentifikasi dan menutup kerentanan.