حذّر خبراء في الأمن السيبراني مستخدمي ChatGPT ومنصات OpenAI الأخرى من أسلوب احتيالي جديد يعتمد على استغلال نظام الدعوات داخل المنصة، ما يجعل الرسائل الاحتيالية تبدو وكأنها صادرة رسمياً عن الشركة.

ووفقاً لرصد أجرته شركة «كاسبرسكي»، تمكن باحثوها من اكتشاف قيام مهاجمين بإساءة استخدام ميزات إنشاء “المؤسسات” ودعوة أعضاء الفرق داخل منصة OpenAI، لإرسال رسائل احتيالية من عناوين بريد إلكتروني حقيقية تعود للشركة نفسها، الأمر الذي يمنح تلك الرسائل مصداقية تقنية عالية ويزيد من فرص تجاوزها لفلاتر البريد المزعج.

وأوضحت الشركة أن هذا الأسلوب لا يعتمد على اختراق أنظمة OpenAI، بل على التلاعب بخصائص مشروعة صُممت أساساً لتسهيل التعاون والعمل الجماعي، قبل تحويلها إلى أداة للهندسة الاجتماعية.

وتبدأ العملية بإنشاء حساب عادي على المنصة، ثم إنشاء “مؤسسة” جديدة، حيث يستغل المحتالون المرونة المتاحة في حقل الاسم لإدخال عبارات مضللة، مثل تحذيرات كاذبة أو عروض وهمية، وأحياناً أرقام هواتف أو روابط مشبوهة.

بعد ذلك، تستخدم خاصية “دعوة الفريق” لإرسال الدعوات إلى عناوين البريد الإلكتروني للضحايا، فتصلهم رسالة تبدو رسمية ومُرسلة من OpenAI.

ورصدت «كاسبرسكي» عدة أنماط من هذه الرسائل، من بينها ترويج خدمات احتيالية، أو إرسال إشعارات كاذبة بتجديد اشتراكات مرتفعة التكلفة، مع مطالبة الضحية بالاتصال برقم هاتف لإلغاء العملية.

ويُصنَّف هذا الأسلوب ضمن ما يُعرف بـ“التصيد الصوتي” (Vishing)، حيث يسعى المحتالون أثناء المكالمة إلى إقناع الضحية بالكشف عن بيانات شخصية أو مالية، أو تنفيذ خطوات قد تؤدي إلى اختراق أوسع، مستغلين عنصر الاستعجال وقلة التحقق.