- Kaspersky mengungkap penjahat siber menyalahgunakan fitur Team Invitation platform OpenAI untuk kampanye penipuan email.
- Penipu menyematkan pesan menyesatkan atau tautan berbahaya melalui kolom nama organisasi saat membuat akun fiktif.
- Dampak penipuan ini meliputi pencurian data pribadi atau kerugian finansial akibat mengklik tautan atau menghubungi nomor palsu.
Suara.com - Fitur Team Invitation di platform OpenAI bisa disalahgunakan oleh pelaku kejahatan siber untuk melancarkan kampanye penipuan melalui email yang tampak sepenuhnya sah. Temuan ini diungkap oleh perusahaan keamanan siber global, Kaspersky.
Menurut Kaspersky, para penyerang memanfaatkan mekanisme undangan tim OpenAI untuk mengirimkan email spam langsung dari alamat resmi OpenAI, sehingga sulit dibedakan dari komunikasi asli.
Modus ini berpotensi menipu korban agar mengklik tautan berbahaya atau menghubungi nomor telepon palsu, yang berujung pada pencurian data pribadi maupun kerugian finansial.
Skema penipuan ini dimulai ketika pelaku mendaftarkan akun di platform OpenAI. Dalam proses pendaftaran, pengguna diminta mengisi nama organisasi, yang ternyata dapat diisi dengan kombinasi simbol atau teks apa pun.
Celah inilah yang dieksploitasi. Penipu menyematkan pesan menyesatkan, tautan phishing, atau nomor telepon palsu langsung ke dalam kolom nama organisasi tersebut.
Setelah organisasi fiktif dibuat, pelaku menggunakan fitur “invite your team” untuk memasukkan alamat email calon korban.
Ketika undangan dikirim, email tersebut secara teknis berasal dari sistem OpenAI, sehingga terlihat kredibel dan lolos dari banyak filter keamanan email.
“Kami mendeteksi beberapa variasi pesan berbahaya yang dikirim dengan cara ini,” ungkap Kaspersky melalui keterangan resminya, Rabu (21/1/2026) .
Jenis penipuan yang ditemukan pun beragam. Salah satunya adalah email promosi palsu, termasuk penawaran layanan dewasa yang bertujuan memancing klik.
Baca Juga: Ancaman Siber Naik Level, ITSEC dan ADIGSI Bentuk Gerakan Nasional
Modus lainnya adalah vishing, yakni pesan yang mengklaim langganan pengguna telah diperpanjang dengan biaya besar.
Korban kemudian diarahkan untuk menghubungi nomor tertentu guna “membatalkan” tagihan, yang justru membuka pintu ke risiko keamanan lanjutan.
Kaspersky menegaskan bahwa jenis ancaman lain juga berpotensi menyebar melalui penyalahgunaan platform OpenAI ini.
Menariknya, teks berbahaya yang ingin ditonjolkan penyerang biasanya terlihat tidak selaras dengan struktur email undangan proyek OpenAI.
Namun, pelaku tampaknya mengandalkan asumsi bahwa sebagian besar korban tidak akan mencermati detail tersebut.
Analis spam senior Kaspersky, Anna Lazaricheva, menyebut kasus ini sebagai contoh nyata bagaimana fitur platform digital dapat dipersenjatai untuk serangan rekayasa sosial.
“Dengan menyematkan elemen-elemen menyesatkan di bidang yang tampaknya tidak berbahaya seperti nama organisasi, penyerang mencoba melewati filter email tradisional dan mengeksploitasi kepercayaan pengguna terhadap layanan bereputasi,” jelas Anna.
Ia menegaskan bahwa kewaspadaan pengguna menjadi kunci utama untuk menghindari jebakan ini.
“Kami mendesak semua pengguna agar selalu memverifikasi undangan secara menyeluruh dan menghindari mengklik tautan yang disematkan tanpa pemeriksaan,” ujarnya.
Tak hanya itu, Anna juga mengingatkan penyedia layanan digital agar lebih proaktif dalam menutup celah penyalahgunaan.
“Kami juga merekomendasikan brand dan pengelola platform untuk mengevaluasi apakah layanan online mereka berpotensi dimanfaatkan oleh penyerang,” tandasnya.
