كشفت شركة كاسبرسكي (Kaspersky) للأمن السيبراني عن حملة احتيال إلكتروني معقدة تستغل ميزة "دعوة فريقك" في منصة OpenAI، بهدف خداع المستخدمين واختراق الشركات عبر رسائل بريد إلكتروني تبدو رسمية تمامًا.
رسائل رسمية بمضامين مزيفة
وفقًا لتقرير نشره موقع TechRadar واطّلعت عليه tech1new، يقوم المهاجمون بإنشاء حسابات مزيفة على OpenAI، وإدراج روابط خبيثة أو أرقام هواتف احتيالية ضمن خانة اسم المؤسسة في إعدادات الحساب.
بعد ذلك يستخدمون ميزة دعوة الفريق لإرسال رسائل عبر البريد الإلكتروني من عناوين OpenAI الحقيقية، ما يمنح هذه الرسائل مصداقية عالية ويجعل اكتشافها أكثر صعوبة.
وتُحذر كاسبرسكي من أن هذه الرسائل قد تحمل إشعارات تجديد اشتراكات مزيفة أو عروض ترويجية كاذبة، بل إن بعضها يضم محتوى غير لائق أو روابط تصيد مصممة لخداع الضحايا ودفعهم للنقر أو الاتصال بأرقام وهمية — وهو ما قد يؤدي إلى خسائر مالية أو تسريب بيانات حساسة.
دمج الاحتيال الصوتي مع البريد الإلكتروني
في بعض الحالات، يمزج المهاجمون بين البريد الإلكتروني والاتصال الصوتي (Vishing)، حيث يتصل شخص منتحل لهوية “دعم فني” مزعوم لتأكيد الرسالة وتشجيع الضحية على اتخاذ إجراء سريع قبل "انتهاء الاشتراك"، ما يضاعف فاعلية الخداع.
ورغم احتواء الرسائل أحيانًا على تناقضات لغوية أو تنسيقية بسيطة، إلا أن المهاجمين يراهنون على أن ثقة المتلقين في اسم OpenAI كمنصة مرموقة ستجعلهم يتجاهلون تلك الأخطاء.
الشركات أهداف رئيسية للهجمات
تشير كاسبرسكي إلى أن الشركات تمثل الهدف الأكبر في هذه الحملة، إذ يمكن للمهاجمين استغلال الميزة لإرسال الدعوات المزيفة إلى عدد كبير من الموظفين دفعة واحدة، مما يزيد احتمالية وقوع بعضهم في الفخ.
لذلك، توصي الشركة المستخدمين والمؤسسات بـ:
- التعامل بحذر مع أي دعوات غير متوقعة، حتى لو بدت قادمة من منصات معروفة.
- تجنّب النقر على الروابط المضمّنة أو الاتصال بأرقام غير موثوقة.
- الإبلاغ عن أي نشاط مشبوه إلى فرق الأمن الداخلي أو إلى المنصة نفسها.
الدفاع يبدأ بالوعي
تؤكد كاسبرسكي أن تفعيل المصادقة متعددة العوامل (MFA) يبقى من أساسيات الحماية، لكنه لا يغني عن حلول الأمن الشامل مثل برامج مكافحة البرمجيات الخبيثة، وأنظمة المراقبة الشبكية، وجدران الحماية المتقدمة.
كما شددت الشركة على أن هذه الحادثة تُبرز كيف يمكن للمهاجمين استغلال حتى الميزات الشرعية والبريئة في المنصات الرقمية للتحايل على المستخدمين.
تعليق من كاسبرسكي
قالت آنا لازاريتشيفا، كبيرة محللي الرسائل المزعجة في كاسبرسكي:
"توضح هذه القضية كيف يمكن أن تتحول ميزات التعاون الموثوقة إلى أدوات للهندسة الاجتماعية. من خلال إدخال بيانات مضللة في حقول تبدو غير مؤذية، مثل اسم المؤسسة، يحاول المحتالون تجاوز فلاتر الأمان واستغلال ثقة المستخدمين في العلامات التجارية الكبرى."
وأضافت أن وعي المستخدمين يبقى خط الدفاع الأول:
"يجب التحقق من مصدر أي دعوة وتصديقها قبل التفاعل معها، وعدم النقر على أي روابط غير مؤكدة المصدر، مع تشديد الشركات على تقييم إمكانية إساءة استخدام خدماتها الرقمية مستقبلاً."
ومع تصاعد هذه التكتيكات الجديدة، تتضح حقيقة أن حتى خدمات الذكاء الاصطناعي الموثوقة قد تتحول إلى ساحة محتملة للهجمات الإلكترونية متى وُجدت ثغرات بشرية يمكن استغلالها.
تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على منصة إكس (تويتر سابقاً) ، للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية.
ليست هناك تعليقات:
إرسال تعليق