Co znajdziesz w tym artykule?
Wprowadzenie do problemu
Cyberprzestępcy coraz częściej odchodzą od klasycznego phishingu i zamiast fałszować wiadomości, wykorzystują legalne funkcje popularnych usług SaaS. Jednym z najnowszych przykładów jest kampania oparta na fałszywych zaproszeniach do organizacji OpenAI, które trafiają do pracowników firm technologicznych i bezpieczeństwa.
To podejście jest szczególnie niebezpieczne, ponieważ wiadomości wyglądają jak autentyczna komunikacja systemowa i pochodzą z prawidłowej infrastruktury dostawcy. W efekcie odbiorca może uznać je za element normalnego procesu onboardingu lub współpracy w firmowym środowisku AI.
W skrócie
- Atakujący tworzą organizacje OpenAI podszywające się pod realne firmy.
- Zaproszenia trafiają do konkretnych pracowników na służbowe adresy e-mail.
- Wiadomości są wysyłane z legalnego systemu powiadomień, dlatego przechodzą standardowe kontrole uwierzytelniania.
- Celem kampanii jest nakłonienie ofiar do pracy w środowisku kontrolowanym przez napastnika.
- Największym ryzykiem jest ujawnienie poufnych danych wpisywanych do promptów, czatów, projektów i przesyłanych plików.
Kontekst i historia
Incydent zwrócił uwagę badaczy po tym, jak pracownicy firm z branży cyberbezpieczeństwa oraz sektora technologicznego zaczęli otrzymywać zaproszenia do organizacji o nazwach odpowiadających rzeczywistym podmiotom. W odróżnieniu od tradycyjnych kampanii phishingowych nie wykorzystywano tu podszytej domeny, błędnego adresu nadawcy ani podejrzanego linku kierującego do fałszywego panelu logowania.
Zamiast tego przestępcy nadużyli natywnej funkcji zapraszania użytkowników do organizacji w usłudze OpenAI. To istotna zmiana taktyki, bo wiele mechanizmów obronnych w poczcie elektronicznej koncentruje się na wykrywaniu anomalii technicznych. Jeśli jednak wiadomość jest generowana przez zaufaną platformę, liczba sygnałów ostrzegawczych gwałtownie maleje.
Analiza techniczna
Schemat ataku był stosunkowo prosty, ale bardzo skuteczny. Napastnicy zakładali nową organizację OpenAI i nadawali jej nazwę sugerującą powiązanie z prawdziwą firmą. Następnie zapraszali do niej wybrane osoby, korzystając z ich służbowych adresów e-mail. Taki model wskazuje na wcześniejszy rekonesans oraz identyfikację wartościowych pracowników.
Kluczową rolę odgrywał fakt, że zaproszenia były prawidłowymi wiadomościami systemowymi. Dla odbiorcy wyglądały jak standardowe zaproszenie do firmowej przestrzeni roboczej. Choć w treści mogło znajdować się ostrzeżenie dotyczące niezgodności domeny, taki komunikat nie zawsze jest wystarczająco widoczny, by zatrzymać użytkownika przed akceptacją.
W analizowanych przypadkach po zaakceptowaniu zaproszenia użytkownik trafiał do organizacji kontrolowanej przez atakującego. W środowisku mogły znajdować się konta sprawiające wrażenie należących do kadry kierowniczej lub administratorów. Dodatkowo ofierze przypisywano podwyższone uprawnienia, co zwiększało wiarygodność całej konfiguracji i sugerowało, że ma do czynienia z legalnym, aktywnym tenantem.
Z technicznego punktu widzenia nie był to atak wynikający z przełamania zabezpieczeń OpenAI, lecz przykład nadużycia zaufanego kanału komunikacji. Tego typu scenariusz określa się często jako trusted-channel abuse. Jeśli ofiara zaczęłaby korzystać z takiej organizacji jak z prawdziwego środowiska firmowego, mogłaby samodzielnie przekazać napastnikowi wrażliwe dane bez użycia malware, exploita czy kradzieży poświadczeń.
Konsekwencje i ryzyko
Najpoważniejszym skutkiem jest utrata poufności danych. Narzędzia generatywnej AI są dziś używane do pracy na kodzie źródłowym, dokumentacji, procedurach operacyjnych, analizach bezpieczeństwa, materiałach strategicznych czy danych klientów. Jeśli takie informacje trafią do przestrzeni roboczej kontrolowanej przez osobę trzecią, dochodzi do bezpośredniego wycieku.
Drugie ryzyko dotyczy skutecznego obejścia klasycznych zabezpieczeń poczty. Legalna infrastruktura nadawcy sprawia, że tradycyjne filtry antyphishingowe mogą nie uznać wiadomości za podejrzaną. Oznacza to, że nawet organizacje o wysokiej dojrzałości bezpieczeństwa są narażone na powodzenie tego typu kampanii.
Trzecim aspektem jest podważenie zaufania do mechanizmów współdzielenia i zarządzania tożsamością w usługach SaaS. Sam fakt, że wiadomość jest technicznie poprawna i pochodzi z renomowanej platformy, nie stanowi już wystarczającej gwarancji bezpieczeństwa. Dla zespołów SOC, IAM i administracji chmurowej oznacza to potrzebę oceny również kontekstu biznesowego zaproszeń.
Rekomendacje
Organizacje powinny przyjąć zasadę, że każde nieoczekiwane zaproszenie do usługi SaaS wymaga dodatkowej weryfikacji. Szczególną ostrożność należy zachować w przypadku platform AI, narzędzi współpracy i systemów, do których użytkownicy mogą wprowadzać dane o wysokiej wartości biznesowej.
- Potwierdzać zaproszenia poza kanałem e-mail, najlepiej przez kontakt z działem IT lub właścicielem usługi.
- Monitorować członkostwo pracowników w zewnętrznych organizacjach SaaS.
- Ograniczać możliwość samodzielnego dołączania do niezatwierdzonych tenantów i przestrzeni roboczych.
- Szkolić użytkowników z rozpoznawania ataków wykorzystujących legalne funkcje platform.
- Klasyfikować dane, które mogą być używane w narzędziach generatywnej AI.
- Wdrażać mechanizmy DLP oraz rozwiązania CASB lub SSPM tam, gdzie jest to możliwe.
- Regularnie przeglądać uprawnienia i aktywność administracyjną w usługach SaaS.
Z perspektywy zespołów bezpieczeństwa warto także uwzględnić ten scenariusz w playbookach reagowania na incydenty. Jeśli pracownik błędnie dołączy do obcej organizacji AI, należy przeanalizować zakres potencjalnie ujawnionych danych, historię promptów, przesłane pliki oraz dalszą aktywność konta.
Podsumowanie
Kampania z fałszywymi organizacjami OpenAI pokazuje, że współczesne ataki coraz częściej opierają się nie na łamaniu zabezpieczeń, lecz na nadużywaniu zaufanych funkcji ekosystemu SaaS. W środowiskach, gdzie pracownicy rutynowo korzystają z AI do obsługi wrażliwych informacji, taki model działania może okazać się wyjątkowo skuteczny.
Skuteczna obrona wymaga dziś czegoś więcej niż tylko filtrowania wiadomości i kontroli reputacji nadawcy. Kluczowe staje się rozumienie kontekstu organizacyjnego, relacji między domeną a tenantem oraz sposobu, w jaki użytkownicy korzystają z narzędzi chmurowych i generatywnej AI.
Źródła
- BleepingComputer – Cybersecurity firms targeted by fraudulent OpenAI organization invites — https://www.bleepingcomputer.com/news/security/cybersecurity-firms-targeted-by-fraudulent-openai-organization-invites/
- Push Security – Poisoned Tenant: abusing trusted SaaS invites to target employees — https://pushsecurity.com/blog/poisoned-tenant-abusing-trusted-saas-invites-to-target-employees/