Receba um E-mail da OpenAI: Abra e Entregue Segredos Corporativos Diretamente aos Hackers
Uma nova tática de phishing explora convites legítimos da OpenAI para criar espaços de trabalho falsos, visando roubar informações confidenciais de empresas de tecnologia e cibersegurança.
MundiX News·29 de junho de 2026·5 min de leitura·👁 1 views
Hackers estão utilizando uma tática sofisticada para enganar funcionários, criando espaços de trabalho falsos no ChatGPT e convidando usuários através de e-mails legítimos da OpenAI. Essa abordagem é particularmente perigosa, pois se disfarça de um convite corporativo padrão, com remetentes autênticos e informações precisas sobre a empresa-alvo, dificultando a detecção por filtros de segurança e pela própria vítima.
A Push Security, uma empresa de cibersegurança, identificou essa campanha quando alguns de seus funcionários receberam convites para uma organização OpenAI denominada "Push Security Inc.". O e-mail parecia legítimo, proveniente do endereço noreply@tm.openai.com, que faz parte da infraestrutura oficial da OpenAI. No entanto, a organização ChatGPT em questão não foi criada pela Push Security, mas sim por um indivíduo com um endereço de e-mail Gmail. A Push Security observou que outras empresas, principalmente no setor de tecnologia e cibersegurança, também foram alvo de convites semelhantes. A natureza direcionada desses convites, enviados para e-mails corporativos específicos de funcionários, sugere que os atacantes realizam uma pesquisa prévia sobre a estrutura das empresas e utilizam técnicas de engenharia social para selecionar alvos adequados.
Embora a OpenAI inclua um aviso em seus e-mails de convite quando o domínio do remetente não corresponde ao da empresa receptora, essa nota é discreta e pode ser facilmente ignorada em meio a um e-mail com aparência oficial e um nome de empresa familiar. Para investigar a natureza da ameaça, um executivo da Push Security aceitou o convite e acessou o espaço de trabalho falso. Lá, ele encontrou um único usuário, o atacante, com um endereço Gmail, que se apresentava como o CEO da Push Security. A todos os convidados foram concedidas permissões de proprietário, oferecendo acesso administrativo completo ao ambiente do ChatGPT. Essa configuração, incluindo a adição de um cartão Visa como método de pagamento, visava conferir autenticidade ao espaço de trabalho, fazendo-o parecer uma configuração corporativa legítima com acesso a funcionalidades pagas, em vez de uma simples armadilha.
Embora o conteúdo específico dos chats e projetos não tenha sido revelado, a Push Security especula que o objetivo principal da campanha é explorar o comportamento futuro dos usuários. Ao utilizar o ChatGPT como uma ferramenta corporativa, os funcionários podem inadvertidamente inserir informações confidenciais em suas interações, como código-fonte, documentos internos, dados de clientes, resultados de pesquisas de segurança e planos de produtos. Tais vazamentos de dados podem ser explorados para espionagem corporativa ou roubo de propriedade intelectual. Essa metodologia é mais vantajosa para os atacantes do que o phishing tradicional, pois elimina a necessidade de falsificar domínios, contornar filtros de e-mail ou direcionar as vítimas para sites suspeitos. A própria plataforma da OpenAI envia o convite, garantindo que o e-mail pareça inofensivo para os sistemas de segurança, e os detalhes adicionais, como o nome da empresa e a função de proprietário, diminuem ainda mais a desconfiança.
A Push Security associa essa campanha a uma tendência crescente onde os atacantes exploram funcionalidades legítimas de serviços SaaS, como convites, notificações e espaços de colaboração. Nesses ataques, o contexto criado dentro de uma plataforma confiável se torna a principal ferramenta maliciosa, em vez de um link em um e-mail. A empresa recomenda que os funcionários verifiquem cuidadosamente todos os convites inesperados para serviços corporativos, mesmo que provenientes de endereços de fornecedores legítimos. Para as organizações, é crucial implementar controles para monitorar quem cria espaços de trabalho em nome da empresa, quem se junta a eles e quais serviços SaaS externos recebem acesso a endereços corporativos. Ao selecionar esses serviços, as empresas devem priorizar aqueles com mecanismos robustos de proteção de contas, gerenciamento de sessões ativas e autenticação de dois fatores. O risco é particularmente elevado com serviços de IA, pois os usuários tendem a compartilhar dados confidenciais em chats que nunca seriam enviados através de formulários web convencionais.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Hackers estão utilizando uma tática sofisticada para enganar funcionários, criando espaços de trabalho falsos no ChatGPT e convidando usuários através de e-mails legítimos da OpenAI. Essa abordagem é particularmente perigosa, pois se disfarça de um convite corporativo padrão, com remetentes autênticos e informações precisas sobre a empresa-alvo, dificultando a detecção por filtros de segurança e pela própria vítima.
A Push Security, uma empresa de cibersegurança, identificou essa campanha quando alguns de seus funcionários receberam convites para uma organização OpenAI denominada "Push Security Inc.". O e-mail parecia legítimo, proveniente do endereço noreply@tm.openai.com, que faz parte da infraestrutura oficial da OpenAI. No entanto, a organização ChatGPT em questão não foi criada pela Push Security, mas sim por um indivíduo com um endereço de e-mail Gmail. A Push Security observou que outras empresas, principalmente no setor de tecnologia e cibersegurança, também foram alvo de convites semelhantes. A natureza direcionada desses convites, enviados para e-mails corporativos específicos de funcionários, sugere que os atacantes realizam uma pesquisa prévia sobre a estrutura das empresas e utilizam técnicas de engenharia social para selecionar alvos adequados.
Embora a OpenAI inclua um aviso em seus e-mails de convite quando o domínio do remetente não corresponde ao da empresa receptora, essa nota é discreta e pode ser facilmente ignorada em meio a um e-mail com aparência oficial e um nome de empresa familiar. Para investigar a natureza da ameaça, um executivo da Push Security aceitou o convite e acessou o espaço de trabalho falso. Lá, ele encontrou um único usuário, o atacante, com um endereço Gmail, que se apresentava como o CEO da Push Security. A todos os convidados foram concedidas permissões de proprietário, oferecendo acesso administrativo completo ao ambiente do ChatGPT. Essa configuração, incluindo a adição de um cartão Visa como método de pagamento, visava conferir autenticidade ao espaço de trabalho, fazendo-o parecer uma configuração corporativa legítima com acesso a funcionalidades pagas, em vez de uma simples armadilha.
Embora o conteúdo específico dos chats e projetos não tenha sido revelado, a Push Security especula que o objetivo principal da campanha é explorar o comportamento futuro dos usuários. Ao utilizar o ChatGPT como uma ferramenta corporativa, os funcionários podem inadvertidamente inserir informações confidenciais em suas interações, como código-fonte, documentos internos, dados de clientes, resultados de pesquisas de segurança e planos de produtos. Tais vazamentos de dados podem ser explorados para espionagem corporativa ou roubo de propriedade intelectual. Essa metodologia é mais vantajosa para os atacantes do que o phishing tradicional, pois elimina a necessidade de falsificar domínios, contornar filtros de e-mail ou direcionar as vítimas para sites suspeitos. A própria plataforma da OpenAI envia o convite, garantindo que o e-mail pareça inofensivo para os sistemas de segurança, e os detalhes adicionais, como o nome da empresa e a função de proprietário, diminuem ainda mais a desconfiança.
A Push Security associa essa campanha a uma tendência crescente onde os atacantes exploram funcionalidades legítimas de serviços SaaS, como convites, notificações e espaços de colaboração. Nesses ataques, o contexto criado dentro de uma plataforma confiável se torna a principal ferramenta maliciosa, em vez de um link em um e-mail. A empresa recomenda que os funcionários verifiquem cuidadosamente todos os convites inesperados para serviços corporativos, mesmo que provenientes de endereços de fornecedores legítimos. Para as organizações, é crucial implementar controles para monitorar quem cria espaços de trabalho em nome da empresa, quem se junta a eles e quais serviços SaaS externos recebem acesso a endereços corporativos. Ao selecionar esses serviços, as empresas devem priorizar aqueles com mecanismos robustos de proteção de contas, gerenciamento de sessões ativas e autenticação de dois fatores. O risco é particularmente elevado com serviços de IA, pois os usuários tendem a compartilhar dados confidenciais em chats que nunca seriam enviados através de formulários web convencionais.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
