FB 建議貼文

選取貼文複製成功(包含文章連結)!

OpenAI 官方邀請郵件竟變釣魚陷阱,駭客新手法連資安過濾器都躲過

OpenAI 官方邀請郵件竟變釣魚陷阱,駭客新手法連資安過濾器都躲過

資安公司 Push Security 近日揭露了一起新型網路釣魚攻擊手法,駭客巧妙利用 OpenAI 官方的「組織邀請」功能,假冒知名企業名義向員工寄出加入邀請,企圖誘騙受害者進入由駭客完全掌控的虛假 AI 協作環境。

由於郵件確實透過 OpenAI 官方系統發出,且能順利通過 SPF、DKIM 等標準郵件驗證機制,使得該攻擊極具欺騙性,成功避開了傳統企業郵件過濾系統的偵測。

駭客手法精密,降低受害者戒心

根據資安研究人員的分析,駭客在發動攻擊前進行了詳細的準備工作:

  • 冒用官方信箱: 攻擊者於 OpenAI 平台建立與目標公司同名的虛假組織,並透過官方通知信箱(noreply@tm.openai.com)發送邀請。

  • 繞過驗證機制: 由於信件由 OpenAI 官方伺服器寄出,傳統郵件安全防護難以阻擋。

  • 刻意營造合法性: 為了降低受害者的疑慮,攻擊者甚至會為虛假組織綁定有效的 Visa 信用卡,並直接賦予受邀員工「擁有者(Owner)」管理權限,避免受害者因權限或付費異常而提高警覺。

點擊即加入,缺乏二次驗證漏洞

Push Security 在進行實測時發現,整個加入流程異常簡便。受害者只要點擊郵件中的連結,無需再次輸入帳號密碼,亦無須完成額外的身分確認步驟,即可直接進入駭客建立的虛假組織。

雖然加入組織本身不代表帳號立即遭到入侵,但研究人員指出,駭客的目的在於建立一個看似合法的 AI 工作環境,藉此引導受害者上傳公司敏感文件、分享機密資訊,或是進一步執行其他惡意操作,嚴重增加企業資料外洩的風險。

AI 協作平台成為資安新戰場

這起事件顯示,隨著生成式 AI 平台日益融入企業運作,資安防護的範圍也必須隨之擴張。駭客不再僅依賴傳統釣魚郵件,而是轉而利用平台內建的協作、通知與邀請機制進行社交工程攻擊。

專家建議,企業應將 AI 平台的組織邀請、權限管理及協作流程納入資安監控政策,並加強員工安全意識教育。即使收到來自官方系統的通知信,員工在點擊前仍應務必確認邀請來源與目的,切勿因為對知名平台的信任而掉以輕心。

 

 

 

cnBeta
作者

cnBeta.COM(被網友簡稱為CB、cβ),官方自我定位「中文業界資訊站」,是一個提供IT相關新聞資訊、技術文章和評論的中文網站。其主要特色為遊客的匿名評論及線上互動,形成獨特的社群文化。

發表回應
謹慎發言,尊重彼此。按此展開留言規則