Nueva técnica de fraude que explota funciones internas de OpenAI
- Seguridad
Los ciberdelincuentes manipulan funciones legítimas de la plataforma para enviar correos engañosos, eludir filtros y ganar credibilidad. Las invitaciones se envían desde direcciones oficiales, lo que dificulta su detección. Kaspersky alerta de un aumento de fraudes y vishing basados en esta técnica.
Kaspersky ha detectado una estafa emergente que aprovecha funciones legítimas de la plataforma de OpenAI para enviar correos fraudulentos con apariencia totalmente auténtica. Los atacantes manipulan el sistema de creación de organizaciones e invitaciones a equipos para introducir mensajes engañosos que llegan a las víctimas desde direcciones oficiales de OpenAI, lo que incrementa su credibilidad y complica su detección.
Los ciberdelincuentes comienzan registrando una cuenta en OpenAI y, durante el proceso, introducen en el campo “nombre de la organización” textos fraudulentos, enlaces maliciosos o números de teléfono falsos. Este campo admite cualquier combinación de caracteres, lo que permite insertar contenido engañoso sin restricciones.
Una vez creada la organización, los atacantes utilizan la función de invitación a miembros del equipo para introducir directamente las direcciones de correo de las víctimas. El texto malicioso incluido en el nombre de la organización aparece después en los correos de invitación, que se envían desde una dirección oficial de OpenAI. Este detalle hace que los mensajes superen filtros de seguridad y resulten especialmente convincentes.
Desde ofertas falsas al vishing
Kaspersky ha identificado múltiples variantes de correos enviados mediante este método, desde promociones fraudulentas, incluidos supuestos servicios para adultos, hasta campañas de vishing. En este último caso, las víctimas reciben notificaciones falsas sobre la renovación de una suscripción por un importe elevado y se les insta a llamar a un número para cancelar el cargo. Estas llamadas pueden derivar en nuevas estafas o en un mayor compromiso de la seguridad del usuario.
Los investigadores advierten de que esta técnica podría emplearse para distribuir nuevas amenazas en el futuro. “Este caso pone de manifiesto cómo determinadas funciones de las plataformas pueden ser utilizadas con fines maliciosos en ataques de ingeniería social”, señala Anna Lazaricheva, analista senior de spam en Kaspersky. La experta recomienda verificar cualquier invitación recibida y evitar hacer clic en enlaces sin comprobar su legitimidad, además de que las empresas revisen si sus propios servicios podrían ser susceptibles de un uso abusivo.
