Lühidalt: Ründajad loovad päris ettevõtete nimede all võltsitud OpenAI organisatsioone ja saadavad OpenAI enda infrastruktuurist kutseid, et meelitada õiguspäraseid töötajaid neid kasutama ning pealt kuulata nende sisestatud tundlikke andmeid.
Push Security turbeuurijad avastasid ründekampaania, mille käigus kurjategijad loovad päris ettevõtete nimede all võltsitud OpenAI organisatsioonikontosid ja saadavad OpenAI ametliku infrastruktuuri kaudu e-kirjaga kutseid, et koguda tundlikke ettevõtteandmeid. Ründajate kontrolli all olevatele töökeskkondadele antakse administraatoriõigused ja lisatakse krediitkaardiandmed, et jätta usaldusväärne mulje.
Ründemeetod, mida nimetatakse „Poisoned Tenant” ehk mürgitatud rentnikuks, kasutab ründevektorina ära OpenAI usaldusväärsust. Ründajad loovad OpenAI platvormil organisatsioonikontosid, mis kannavad päriselt eksisteerivate ettevõtete nimesid – uuritud juhtumi puhul registreeriti võltsitud organisatsioon Push Security Inc. nime all. Nendest kompromiteeritud kontodest saadavad kurjategijad sihipäraselt kutseid jäljendatava ettevõtte töötajate ärilistele e-posti aadressidele.
Ründajate jaoks keskne eelis seisneb selles, et kutsed saadetakse otse OpenAI ametlikust infrastruktuurist (noreply@tm.openai.com) ja läbivad seetõttu kõik levinud e-posti autentimiskontrollid, nagu SPF, DKIM ja DMARC. Turbefiltrid tavaliselt neid sõnumeid ei blokeeri. Visuaalselt on kutsed identsed legitiimsete teadetega ChatGPT töökeskkonnaga liitumise kohta.
Push Security uurija Luke Jennings võttis sellise kutse vastu ja dokumenteeris kasutatud infrastruktuuri: võltsitud organisatsioon oli seadistatud ründajate kontrollitava Gmaili kontoga, mis kandis päris tegevjuhi nime. Kutsutud töötajad said automaatselt administraatori-omaniku õigused ning arveldusalasse oli juba lisatud Visa krediitkaart – meede, mis suurendab nii usutavust kui aktiveerib preemiumfunktsioonid, ilma et kasutajale kuvataks hoiatusi puuduvate maksmisandmete kohta.
Selle kampaania eesmärk on pidev andmete kogumine: kui töötajad kasutavad väidetavat töökeskkonda tavapäraselt, saavad ründajad ligipääsu kõigile sisestatud andmetele ja päringutele – eelkõige tundlikule teabele, nagu lähtekood, sisedokumendid, kliendiandmed või strateegilised plaanid. Push Security rõhutab, et selline vaev (sihtettevõtete tausta uurimine, nimetamine päris ettevõtete järgi, krediitkaartide lisamine) tasub end ära ainult äärmiselt tundlike sihtmärkide puhul, kes töötlevad regulaarselt kriitilisi andmeid.
Tegevusmuster peegeldab laiemat trendi: ründajad kasutavad üha enam ära SaaS-platvormide sisemisi teavitus- ja kutsefunktsioone, et hoida kõrvale traditsioonilistest e-posti turbetõketest ning ära kasutada usaldust väljakujunenud teenuste vastu.
Allikas: www.it-daily.net · Avaldatud 1. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimise ja klassifitseerimise teostas Lumi News Pipeline v1.7.2.