A Kaspersky identificou recentemente uma tática de fraude sofisticada que utiliza a infraestrutura legítima da OpenAI para enganar utilizadores. Os atacantes aproveitam-se das funcionalidades de criação de organizações e convites de equipa da plataforma para disseminar mensagens maliciosas.
Ao utilizar os servidores oficiais da OpenAI, os criminosos garantem que os emails passem por filtros de segurança tradicionais, uma vez que a origem da mensagem é tecnicamente fidedigna.
O esquema baseia-se na exploração de campos de texto editáveis durante o registo de uma conta. Ao criar uma "organização", os burlões inserem URLs fraudulentos, números de telefone falsos ou mensagens alarmistas no campo destinado ao nome da empresa. Posteriormente, utilizam a ferramenta de convite de equipa para enviar estas informações diretamente para o email das vítimas, fazendo com que o conteúdo malicioso apareça em destaque no corpo de uma mensagem oficial.
Existem dois vetores principais identificados nesta campanha: o spam convencional e o vishing. No primeiro caso, os emails promovem serviços enganosos ou ofertas suspeitas. No segundo, as vítimas recebem notificações falsas sobre renovações de subscrições de valor elevado. Nestes casos, o objetivo é induzir o utilizador a ligar para um número de suporte falso, onde será convencido a fornecer dados sensíveis ou efetuar pagamentos indevidos.
A eficácia deste ataque reside na inconsistência visual que muitas vezes passa despercebida. O texto introduzido pelos atacantes costuma estar em negrito e destoa do modelo padrão de convite profissional da OpenAI. No entanto, a confiança depositada na marca OpenAI e a pressa do utilizador em resolver um suposto problema financeiro fazem com que muitos acabem por clicar em ligações perigosas sem verificar a coerência da mensagem.
Para mitigar estes riscos, a Kaspersky recomenda uma postura de ceticismo perante convites não solicitados, mesmo que pareçam vir de fontes reputadas. É crucial inspecionar URLs antes de qualquer clique e nunca utilizar números de telefone fornecidos em emails suspeitos para contactar o suporte de serviços. Em vez disso, os utilizadores devem procurar os canais de contacto oficiais nos sites das respetivas empresas e reportar qualquer atividade anómala à plataforma.
Especialistas sublinham que este caso serve de aviso tanto para utilizadores como para empresas tecnológicas. Enquanto os indivíduos devem reforçar a sua atenção e utilizar ferramentas de proteção com IA e autenticação multifatorial, as plataformas devem rever como os seus campos de introdução de dados podem ser abusados. A segurança digital em 2026 exige uma verificação constante, pois até serviços legítimos podem ser transformados em veículos para o cibercrime.
Comentários