JAKARTA (IndoTelko) Kaspersky mengungkap adanya modus penipuan siber baru yang memanfaatkan fitur undangan tim (team invitation) di platform OpenAI. Dalam skema ini, pelaku kejahatan siber menyalahgunakan mekanisme resmi OpenAI untuk mengirimkan email spam dari alamat yang terlihat sah, sehingga berpotensi menipu penerima agar mengklik tautan berbahaya atau menghubungi nomor palsu.
Berdasarkan temuan Kaspersky, kampanye penipuan diawali dengan pembuatan akun di platform OpenAI. Saat proses pendaftaran, pelaku mengisi kolom nama organisasi dengan kombinasi teks menyesatkan, termasuk tautan phishing atau nomor telepon palsu. Celah ini kemudian dimanfaatkan untuk menjalankan aksi penipuan.
Setelah organisasi dibuat, pelaku menggunakan fitur “invite your team” untuk mengirim undangan ke alamat email target. Karena undangan tersebut dikirim melalui sistem resmi OpenAI, email yang diterima korban tampak valid secara teknis dan berpotensi lolos dari filter keamanan email konvensional.
Kaspersky mencatat sejumlah variasi pesan penipuan yang disebarkan melalui metode ini. Salah satunya berupa promosi layanan palsu, termasuk konten dewasa. Modus lain yang teridentifikasi adalah vishing, yakni pemberitahuan fiktif terkait pembaruan langganan dengan nominal besar. Dalam pesan tersebut, korban diarahkan untuk menghubungi nomor tertentu dengan dalih membatalkan tagihan, yang justru dapat memicu risiko keamanan lanjutan.
Meski secara visual konten yang disisipkan pelaku tidak sepenuhnya selaras dengan struktur email undangan kolaborasi OpenAI, penyerang memanfaatkan asumsi bahwa sebagian pengguna tidak akan memeriksa detail pesan secara menyeluruh.
“Kasus ini menunjukkan bagaimana fitur platform digital dapat disalahgunakan untuk serangan rekayasa sosial. Dengan menanamkan konten berbahaya di kolom yang tampak tidak mencurigakan, pelaku berupaya melewati sistem penyaringan email dan memanfaatkan kepercayaan pengguna terhadap layanan bereputasi,” ujar Anna Lazaricheva, Senior Spam Analyst Kaspersky. Ia mengimbau pengguna agar lebih cermat memverifikasi setiap undangan dan tidak sembarangan mengakses tautan yang disertakan.
Sebagai langkah mitigasi, Kaspersky merekomendasikan pengguna untuk selalu waspada terhadap undangan yang tidak diharapkan, meskipun berasal dari platform ternama. Pengguna juga disarankan memeriksa alamat URL sebelum mengklik, tidak menghubungi nomor telepon yang tercantum dalam email mencurigakan, serta melaporkan pesan semacam itu ke penyedia layanan terkait.
Untuk perlindungan tambahan, Kaspersky menyarankan penggunaan otentikasi multi-faktor pada seluruh akun. Bagi segmen korporasi, solusi Kaspersky Security for Mail Server menawarkan perlindungan berlapis berbasis pembelajaran mesin guna menghadapi ancaman email yang terus berkembang. Sementara itu, pengguna individu dapat memanfaatkan Kaspersky Premium yang dilengkapi fitur anti-phishing berbasis AI untuk meningkatkan keamanan digital sehari-hari. (mas)