Cibercriminosos estão utilizando a funcionalidade “invite your team” (convidar sua equipe) da OpenAI para disparar campanhas de phishing altamente convincentes contra usuários corporativos. A fraude, identificada pela Kaspersky segundo sua assessoria de imprensa no Brasil, aproveita o fato de os e-mails serem enviados a partir de endereços legítimos da OpenAI, o que permite que as mensagens ignorem filtros tradicionais de spam.
Análise Editorial
O sequestro da função de convite da OpenAI prova que a reputação de um domínio não é mais garantia de segurança. No CISO Advisor, temos alertado que a “Shadow AI” e o uso legítimo de ferramentas de IA estão criando novos vetores onde o atacante não precisa forjar o e-mail (spoofing), ele simplesmente usa a própria ferramenta da vítima contra ela mesma.
Segundo as informações da companhia, os atacantes registram contas e inserem links maliciosos ou números de telefone fraudulentos diretamente no campo destinado ao nome da organização. Ao disparar o convite, o sistema da OpenAI gera uma notificação oficial que exibe o nome adulterado, induzindo o destinatário a acreditar em renovações de assinaturas inexistentes ou em ofertas exclusivas desenhadas para capturar dados sensíveis.
Abuso de recursos legítimos eleva taxa de sucesso do phishing
A tática combina o envio de e-mails com técnicas de vishing (voz), visando pressionar as vítimas a agirem sob urgência. De acordo com Anna Lazaricheva, analista sênior de spam da Kaspersky, o caso destaca uma vulnerabilidade na forma como recursos de plataformas confiáveis podem ser “armamentizados” para engenharia social, explorando a confiança do usuário em serviços de alta reputação como o ChatGPT.




“Recomendamos que as marcas considerem se atacantes poderiam abusar de seus serviços ou plataformas online através de campos customizáveis”, alerta Lazaricheva. Ela explica que o uso de elementos enganosos em campos aparentemente inofensivos, como o nome da empresa, é uma estratégia eficaz para burlar as defesas técnicas de segurança de e-mail.
Empresas enfrentam um risco elevado, pois o recurso permite que múltiplos funcionários recebam o convite simultaneamente, ampliando a superfície de ataque em uma única operação. A Kaspersky observa que as mensagens frequentemente apresentam inconsistências estruturais, mas os criminosos contam com a desatenção dos colaboradores diante de notificações que chegam de domínios verificados da OpenAI.
Para mitigar o risco, especialistas recomendam a inspeção rigorosa de URLs antes de qualquer clique e a ativação obrigatória de autenticação multifator (MFA). A educação dos stakeholders sobre o uso de campos de texto livre por criminosos é fundamental, uma vez que a confiança cega em remetentes institucionais tornou-se um dos principais pontos cegos na defesa de ativos digitais modernos, pondera Lazaricheva.






