Auf den Punkt: Angreifer erstellen gefälschte OpenAI-Organisationen unter echten Firmennamen und versenden von OpenAIs Infrastruktur aus Einladungen, um berechtigte Mitarbeiter zur Nutzung zu bewegen und deren eingegebene sensible Daten abzufangen.
Sicherheitsforscher von Push Security haben eine Angriffskampagne aufgedeckt, bei der Täter gefälschte OpenAI-Organisationskonten unter echten Firmennamen anlegen und E-Mail-Einladungen über OpenAIs offizielle Infrastruktur versenden, um sensible Unternehmensdaten abzugreifen. Die von den Angreifern kontrollierten Workspaces werden mit administrativen Rechten und hinterlegten Kreditkarten ausgestattet, um Legitimität zu suggerieren.
Die als „Poisoned Tenant“ bezeichnete Angriffsmethode nutzt die Vertrauenswürdigkeit von OpenAI als Angriffsvektor. Angreifer erstellen innerhalb der OpenAI-Plattform Organisationskonten, die den Namen realer Unternehmen tragen – in dem untersuchten Fall wurde eine gefälschte Organisation im Namen von Push Security Inc. registriert. Von diesen kompromittierten Konten versenden die Täter gezielt Einladungen an geschäftliche E-Mail-Adressen von Mitarbeitern der imitierten Firmen.
Ein zentraler Vorteil für die Angreifer: Die Einladungen werden direkt über OpenAIs offizielle Infrastruktur (noreply@tm.openai.com) versendet und bestehen daher alle gängigen E-Mail-Authentifizierungsprüfungen wie SPF, DKIM und DMARC. Sicherheitsfilter blockieren die Nachrichten typischerweise nicht. Optisch sind die Einladungen identisch mit legitimen Benachrichtigungen zum Beitritt in einen ChatGPT-Arbeitsbereich.
Push-Security-Forscher Luke Jennings nahm eine solche Einladung an und dokumentierte die Infrastruktur: Die gefälschte Organisation war mit einem von den Angreifern kontrollierten Gmail-Konto unter dem Namen des echten Geschäftsführers konfiguriert. Eingeladene Mitarbeiter erhielten automatisch administrative Besitzer-Rechte, und im Abrechnungsbereich war bereits eine Visa-Kreditkarte hinterlegt – eine Maßnahme, die sowohl die Glaubwürdigkeit erhöht als auch Premium-Funktionen aktiviert, ohne dass Nutzerwarnungen zu fehlenden Zahlungsdaten erscheinen.
Das Ziel dieser Kampagne liegt in der kontinuierlichen Datenabschöpfung: Wenn Angestellte den vermeintlichen Arbeitsbereich regulär nutzen, haben die Angreifer Zugriff auf alle eingegeben Daten und Prompts – insbesondere sensible Informationen wie Quellcode, interne Dokumente, Kundendaten oder strategische Pläne. Push Security weist darauf hin, dass dieser Aufwand (Recherche zu Zielunternehmen, Benennung nach echten Firmen, Hinterlegung von Kreditkarten) nur bei Zielen hochgradig sensibel ist, die regelmäßig mit kritischen Daten arbeiten.
Das Vorgehen spiegelt einen breiteren Trend wider: Angreifer missbrauchen zunehmend interne Benachrichtigungs- und Einladungsfunktionen von SaaS-Plattformen, um traditionelle E-Mail-Sicherheitsbarrieren zu umgehen und Vertrauen in etablierte Dienste auszunutzen.
Quelle: www.it-daily.net · Erschienen 1. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.