Co znajdziesz w tym artykule?
Wprowadzenie do problemu
Nowa kampania socjotechniczna pokazuje, że cyberprzestępcy coraz częściej nadużywają legalnych funkcji popularnych platform SaaS zamiast tworzyć klasyczne strony phishingowe. W opisywanym scenariuszu atakujący zakładają fałszywe organizacje w ekosystemie OpenAI, podszywają się pod prawdziwe firmy i wysyłają autentycznie wyglądające zaproszenia do przestrzeni roboczej ChatGPT.
To szczególnie niebezpieczne, ponieważ wiadomości nie pochodzą z podrobionej infrastruktury, lecz z legalnego mechanizmu zaproszeń. W efekcie ofiara może uznać, że ma do czynienia z prawdziwym środowiskiem firmowym i sama przekazać poufne dane w ramach codziennej pracy.
W skrócie
Kampania określana jako „Poisoned Tenant” polega na tworzeniu organizacji OpenAI o nazwach imitujących legalne przedsiębiorstwa. Następnie atakujący wysyłają zaproszenia do wybranych pracowników, wykorzystując ich służbowe adresy e-mail.
- zaproszenia są dostarczane przez legalną usługę,
- celem są głównie firmy z sektora cyberbezpieczeństwa i technologii,
- atak nie wymaga malware ani kradzieży haseł,
- największe ryzyko dotyczy ujawnienia danych wpisywanych do promptów i projektów AI.
Kontekst i historia
Incydent wpisuje się w szerszy trend nadużywania zaufanych funkcji platform chmurowych. W przeszłości atakujący często wykorzystywali zaproszenia do dokumentów, komentarze systemowe czy powiadomienia o współdzielonych zasobach. Teraz podobny model został przeniesiony do środowisk generatywnej AI.
Atak nie był prowadzony masowo. Wszystko wskazuje na selektywne działanie wobec konkretnych organizacji i pracowników, co sugeruje wcześniejsze rozpoznanie. To ważne, ponieważ firmy cyberbezpieczeństwa przetwarzają informacje o wysokiej wartości operacyjnej, w tym analizy zagrożeń, dane klientów, próbki malware, dokumentację techniczną i informacje o podatnościach.
Analiza techniczna
Mechanizm ataku jest relatywnie prosty, ale bardzo skuteczny. Przestępcy tworzą nową organizację OpenAI i nadają jej nazwę odpowiadającą prawdziwej firmie. Następnie zapraszają do niej pracowników ofiary, korzystając z firmowych adresów e-mail.
Najważniejszym elementem jest to, że samo zaproszenie pochodzi z legalnego kanału powiadomień. Dzięki temu nie nosi typowych cech phishingu, takich jak podejrzana domena, błędny certyfikat czy sfałszowany nadawca. Użytkownik otrzymuje wiadomość, która technicznie wygląda wiarygodnie i może przejść standardowe kontrole bezpieczeństwa poczty.
Po zaakceptowaniu zaproszenia ofiara trafia do środowiska przypominającego oficjalny tenant firmowy. Badacze wskazali, że w takim środowisku znajdowało się konto kontrolowane przez atakującego, prezentowane tak, jakby należało do osoby zajmującej stanowisko kierownicze. Dodatkowo zaproszony użytkownik mógł otrzymać wysokie uprawnienia w organizacji, co wzmacniało pozory legalności.
W praktyce atak nie musi zawierać żadnego złośliwego pliku ani linku prowadzącego do fałszywego formularza logowania. Wystarczy stworzyć wiarygodny kontekst pracy i skłonić ofiarę do normalnego korzystania z narzędzia. To oznacza, że dane mogą zostać ujawnione dobrowolnie przez samego użytkownika podczas analizy kodu, opracowywania raportu czy konsultowania incydentu.
Konsekwencje i ryzyko
Najpoważniejszym skutkiem takiej kampanii może być wyciek danych wrażliwych przekazywanych do narzędzia AI. Zagrożone są nie tylko informacje biznesowe, ale również materiały o znaczeniu operacyjnym i bezpieczeństwa.
- fragmenty kodu źródłowego,
- dokumentacja wewnętrzna,
- dane klientów,
- wyniki analiz złośliwego oprogramowania,
- treści raportów z incydentów,
- informacje o architekturze bezpieczeństwa,
- plany strategiczne i materiały operacyjne.
To szczególnie trudny do wykrycia scenariusz, ponieważ sukces ataku nie zależy od obejścia MFA, instalacji malware czy kradzieży poświadczeń. Wystarczy, że użytkownik zaufa pozornie legalnemu środowisku i sam umieści w nim cenne informacje. Tradycyjne filtry antyphishingowe, analiza reputacji nadawcy czy podstawowe mechanizmy pocztowe mogą okazać się niewystarczające.
Rekomendacje
Organizacje korzystające z narzędzi AI powinny potraktować ten model działania jako nową kategorię zagrożenia związaną z nadużyciem zaufanych usług SaaS.
- weryfikować każde nieoczekiwane zaproszenie do organizacji, workspace’u lub tenanta poza kanałem e-mail,
- monitorować członkostwo pracowników w zewnętrznych organizacjach SaaS,
- wdrożyć jasne zasady określające, jakie dane mogą trafiać do promptów,
- korzystać z centralnie zarządzanych kont firmowych do narzędzi AI,
- integrować nadzór nad aplikacjami z mechanizmami CASB, SSPM i DLP,
- aktualizować szkolenia świadomościowe o scenariusze oparte na legalnych usługach,
- przygotować reguły detekcyjne dla SOC i IAM dotyczące nowych, nietypowych tenantów oraz wzrostu aktywności w niezatwierdzonych usługach AI.
Kluczowe staje się również budowanie świadomości, że zagrożeniem nie są już wyłącznie fałszywe strony logowania. Coraz częściej ryzyko wynika z legalnych funkcji platform, użytych w sposób złośliwy i trudny do odróżnienia od codziennej komunikacji biznesowej.
Podsumowanie
Kampania „Poisoned Tenant” pokazuje wyraźną ewolucję socjotechniki. Zamiast imitować usługę, atakujący wykorzystują jej prawdziwe funkcje i infrastrukturę, aby zbudować wiarygodny scenariusz operacyjny. To sprawia, że klasyczne wzorce phishingu stają się mniej użyteczne jako jedyny punkt odniesienia.
Dla firm oznacza to konieczność rozszerzenia ochrony poza samą pocztę i tożsamość użytkownika. Równie ważna staje się kontrola kontekstu użycia narzędzi AI, nadzór nad zewnętrznymi tenantami oraz ograniczanie możliwości przekazywania poufnych danych do środowisk, które nie zostały formalnie zatwierdzone.