凯明格资讯网凯明格资讯网

安全公司曝光黑客滥用OpenAI组织邀请功能向员工发起钓鱼攻击

IT之家 6 月 29 日讯—— 网络安全公司 Push Security 近日披露了一起极具隐蔽性的安全定向攻击事件。黑客利用 OpenAI 的公司功能工组织邀请机制,伪装成官方通知向 Push Security 内部员工发送钓鱼邮件,曝光企图诱导受害者接入由黑客控制的黑客 AI 工作环境。

攻击手法解析:高仿真的滥用“官方”伪装

根据 Push Security 的安全团队调查,此次攻击呈现出高度的组织针对性和技术欺骗性:

  1. 伪造组织身份:黑客首先注册了一个名为“Push Security Inc”的 OpenAI 组织,以此作为攻击载体。邀请鱼攻
  2. 利用官方通道:攻击者通过 OpenAI 官方通知邮箱 noreply@tm.openai.com向目标员工发送邀请邮件。起钓由于发件人域名经过 OpenAI 验证,安全邮件成功通过了 SPF、公司功能工DKIM 等标准邮件身份验证协议,曝光极大降低了用户的黑客警惕性。
  3. 弱化风险提示:虽然邮件内容中包含一行提示,滥用指出邀请方使用的组织是 gmail.com域名,与收件人所属的邀请鱼攻 pushsecurity.com企业域名不符,但该提示以普通文本形式呈现,极易被用户忽略。

权限滥用与支付陷阱消除

此次攻击最令人担忧的细节在于权限配置与支付门槛的处理:

  • 最高权限授予:被邀请的员工默认获得 Owner(所有者)权限,这是组织内的最高管理级别,赋予黑客完全控制组织设置、成员管理及数据访问的能力。
  • 预绑定支付方式:黑客在创建组织时提前绑定了一张 Visa 信用卡。此举旨在消除员工加入时可能遇到的付费墙或异常账单提示,确保受害者能无阻碍地进入预设的陷阱环境。

零验证加入流程与精准侦察

Push Security 分析认为,这并非随机的广撒网式攻击,而是经过严密前期侦察的定向打击。

  • 无二次验证:安全研究人员在接收邀请后测试发现,加入流程几乎没有任何额外验证环节。用户只需点击邮件链接,即可直接加入组织,无需重新输入账号密码或进行多因素身份认证。
  • 状态监控:研究人员进入该组织后发现,其他受邀员工仍处于“待接受邀请”状态,尚未完成加入。截至目前,未发现内部数据泄露的迹象。

应急响应与行业警示

事件曝光后,Push Security 迅速采取了以下应对措施:
1. 向全体员工发布紧急安全警告。
2. 部署邮件过滤规则,自动拦截来自此类可疑组织的邀请邮件。

行业启示:

Push Security 指出,随着 AI 服务日益成为企业协作的核心入口,基于 组织邀请、项目共享及平台通知的新型社会工程学攻击将愈发普遍。

企业安全团队需意识到,传统的邮件钓鱼防护已不足以应对此类威胁。建立针对 AI 平台协作机制的独立安全验证流程,特别是针对“所有者”等高权限邀请的二次确认机制,已成为企业 AI 安全防御的新必修课。

赞(41255)
未经允许不得转载:>凯明格资讯网 » 安全公司曝光黑客滥用OpenAI组织邀请功能向员工发起钓鱼攻击