安全公司Push Security近日发布紧急安全警示,曝光了一起针对企业员工的新型网络钓鱼攻击。黑客通过恶意滥用OpenAI的组织邀请机制,成功绕过了传统邮件安全防护,试图诱导员工进入受其控制的虚假AI工作环境。
绕过验证的“合法”陷阱
在这场精心策划的社工攻击中,黑客首先在平台上创建了一个与目标企业同名的OpenAI组织。随后,他们利用OpenAI官方通知邮箱向特定员工发送了加入邀请,由于邮件源自官方且通过了标准身份验证,极具欺骗性。
更具迷惑性的是,黑客甚至提前在组织账号中绑定了有效的Visa信用卡,并为受邀员工默认开启了最高级别的管理员权限。这种反常的“大方”举动,完美消除了员工加入时可能遇到的付费门槛或系统异常提示。
流程漏洞暴露安全盲区
安全研究人员在亲身测试加入流程时发现,整个接纳过程几乎没有任何额外的身份二次验证。用户只需轻点邮件中的链接即可直接进入该组织,无需再次确认账号密码,企业现有的安全防线因此被轻易洞穿。
随着AI工具全面融入日常办公,这类基于平台协作机制和共享通知的社工模式正愈演愈烈。专家提醒,各大企业亟需将防御重心从传统邮件钓鱼,扩展到针对AI平台协作机制的安全审查中。
