偷梁换柱!黑客利用OpenAI邀请机制精准钓鱼企业员工
近日,安全机构披露了一种新型网络钓鱼攻击手法,黑客通过滥用OpenAI组织邀请机制,绕过传统邮件防护,诱导员工进入其控制的伪造AI工作环境。
绕过验证的“合法”陷阱
在此次社工攻击中,黑客首先在OpenAI平台创建了一个与目标企业同名的组织,然后利用官方通知邮箱向员工发送加入邀请。由于邮件来自官方且通过标准身份验证,具有极高的欺骗性。
更令人迷惑的是,黑客提前在该组织账号中绑定了有效的Visa信用卡,并为受邀员工默认开启最高管理员权限。这种反常的“大方”行为消除了员工可能遇到的付费门槛或系统异常提示。
流程漏洞暴露安全盲区
安全研究人员在测试加入流程时发现,整个接纳过程几乎没有任何额外的身份二次验证。用户只需点击邮件中的链接即可直接进入该组织,无需再次确认账号密码,企业现有安全防线因此被轻易突破。
随着AI工具全面融入日常办公,这类借助平台协作机制和共享通知的社工模式日益增多。企业应将防御重心从传统邮件钓鱼扩展到针对AI平台协作机制的安全审查中。