安全公司Push Security近日發佈緊急安全警示,曝光了一起針對企業員工的新型網絡釣魚攻擊。黑客通過惡意濫用OpenAI的組織邀請機制,成功繞過了傳統郵件安全防護,試圖誘導員工進入受其控制的虛假AI工作環境。

繞過驗證的“合法”陷阱

在這場精心策劃的社工攻擊中,黑客首先在平臺上創建了一個與目標企業同名的OpenAI組織。隨後,他們利用OpenAI官方通知郵箱向特定員工發送了加入邀請,由於郵件源自官方且通過了標準身份驗證,極具欺騙性。

更具迷惑性的是,黑客甚至提前在組織賬號中綁定了有效的Visa信用卡,併爲受邀員工默認開啓了最高級別的管理員權限。這種反常的“大方”舉動,完美消除了員工加入時可能遇到的付費門檻或系統異常提示。

流程漏洞暴露安全盲區

安全研究人員在親身測試加入流程時發現,整個接納過程幾乎沒有任何額外的身份二次驗證。用戶只需輕點郵件中的鏈接即可直接進入該組織,無需再次確認賬號密碼,企業現有的安全防線因此被輕易洞穿。

隨着AI工具全面融入日常辦公,這類基於平臺協作機制和共享通知的社工模式正愈演愈烈。專家提醒,各大企業亟需將防禦重心從傳統郵件釣魚,擴展到針對AI平臺協作機制的安全審查中。